DNS curenja (uzroci i ispravci)

Što je DNS curenjePreglednici koriste sustav naziva domena (DNS) kako bi premostili jaz između internetskih IP adresa (brojeva) i naziva domena web mjesta (riječi).

Kad se upiše web ime, ono se prvo šalje na DNS poslužitelj gdje se naziv domene podudara s pridruženom IP adresom kako bi se zahtjev mogao proslijediti na ispravno računalo.

Ovo je ogroman problem za privatnost budući da sav standardni internetski promet mora proći kroz DNS poslužitelj na kojem su zabilježeni i pošiljatelj i odredište.

Taj DNS poslužitelj obično pripada korisnikovom davatelju internetskih usluga i pod jurisdikcijom je nacionalnih zakona. Na primjer, u Velikoj Britaniji informacije koje posjeduju pružatelji internetskih usluga moraju na zahtjev predati policiji. Slično se događa i u SAD-u, ali uz dodatnu mogućnost da ISP prodaje podatke marketinškim tvrtkama.

Iako se sadržaj komunikacije između korisničkog lokalnog računala i udaljene web stranice može šifrirati SSL / TLS (prikazuje se kao "https" u URL-u), adrese pošiljatelja i primatelja ne mogu se šifrirati. Kao rezultat toga, svako posjećeno odredište bit će poznato onome tko ima zakonski (ili kazneni) pristup evidencijama DNS-a - to jest, u normalnim okolnostima, korisnik nema privatnost tamo gdje ide putem interneta.

VPN-ovi dizajnirani su za rješavanje ovog problema stvaranjem praznine između korisničkog računala i odredišne ​​web stranice. Ali ne rade uvijek savršeno. Niz izdanja znači da se u određenim okolnostima podaci DNS-a mogu prebaciti na davatelja internetskih usluga i prema tome u nadležnost državnih i marketinških tvrtki..

Problemi su poznati kao curenje DNS-a. U svrhu ove rasprave o DNS propuštanjima, uveliko ćemo pretpostaviti da vaš VPN koristi najčešći VPN protokol, OpenVPN.

Što je curenje DNS-a?

VPN uspostavlja šifriranu vezu (obično se naziva 'tunel') između vašeg računala i VPN poslužitelja; a VPN poslužitelj šalje vaš zahtjev na traženo web mjesto. Pod uvjetom da VPN ispravno radi, sve što vidi vaš internetski pružatelj jest da se povezujete na VPN - ne može vidjeti gdje vas VPN povezuje. Internetski snooperi (državni ili kriminalni) ne mogu vidjeti nijedan sadržaj jer je šifriran.

DNS curenje nastaje kada se dogodi nešto nenamjerno, a VPN poslužitelj se zaobiđe ili zanemari. U ovom slučaju, operator DNS poslužitelja (često vaš ISP) vidjet će kamo idete na internet, dok vjerujete da on ne može.

Ovo je loša vijest, jer pobija svrhu upotrebe VPN-a. Sadržaj vašeg web prometa i dalje je skriven (šifriranjem VPN-a), ali najvažniji dijelovi za anonimnost - vaša lokacija i podaci pregledavanja - ostaju nezaštićeni i najvjerojatnije ih bilježi vaš davatelj internetskih usluga..

Kako reći ima li moj VPN curenje DNS-a?

Postoje dobre i loše vijesti za otkrivanje curenja DNS-a. Dobra vijest je da je provjeravanje da li vaš VPN curi vaše DNS zahtjeve brzo, jednostavno i jednostavno; loša vijest je da bez provjere, malo je vjerojatno da ćete ikada znati za curenje dok ne bude prekasno.

Postoji mnogo alata u pretraživaču za provjeru ima li vaš VPN DNS ili neki drugi oblik propuštanja podataka, uključujući neke koji su napravili davatelji VPN-a kao što su AirVPN (pregled) ili VPN.ac. Ako niste sigurni što biste trebali učiniti, jednostavno idite na ipleak.net dok vjerujete da vaš VPN funkcionira. Ova će stranica automatski provjeriti ima li DNS-a curenje (i usput, pruža puno više podataka).

  1. Unesi ipleak.net u adresnu traku preglednika.
  2. Nakon što se web stranica učita, test se automatski pokreće i prikazat će vam se IP adresa.
  3. Ako je adresa koju vidite vaša IP adresa i prikazuje vašu lokaciju, a vi koristite VPN, to znači da imate curenje DNS-a. Ako se prikaže IP adresa vaše VPN, onda radi normalno.

Ako je moguće, dobra je ideja testirati se s više mrežnih damera.

Slika 1 prikazuje ipleak.net koji se koristi s loše konfiguriranim VPN-om. Vraća ispravnu IP adresu. To je curenje DNS-a.

Vaša IP adresa br. 2

Slika 1

Slika 2 prikazuje ipleak koji se koristi s ExpressVPN konfiguriranim za korištenje belgijskog poslužitelja (ExpressVPN omogućuje vam odabir iz niza različitih zemalja). Nije vidljivo curenje DNS-a.

Vaša IP adresa

Slika 2

Za većinu korisnika provedba ove provjere prije nego što nastavi pregledavati druge web stranice bit će dovoljna. Za neke korisnike to neće biti savršeno rješenje, jer zahtijeva da se povežete s internetom i pošaljete DNS zahtjeve za pristup alatima za provjeru..

Moguće je testirati na DNS i druge propuste bez korištenja jedne od ovih web lokacija, mada to zahtijeva poznavanje vlastite IP adrese i korištenje Windows naredbenog retka, a isto tako zahtijeva i pouzdan testni poslužitelj da biste mogli direktno pingati ; to može biti privatni poslužitelj kojeg poznajete i kojem vjerujete ili jedan od sljedećih javnih testnih servera:

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

Da biste to učinili, otvorite naredbeni redak (idite na izbornik Start, upišite "cmd" i pritisnite Enter), a zatim unesite sljedeći tekst:

  • ping [ime poslužitelja] -n 1

Zamijenite [ime poslužitelja] adresom vašeg odabranog testnog poslužitelja (na primjer, "ping whoami.akamai.net -n 1") i pritisnite Enter. Ako se bilo koja IP adresa pronađena u rezultirajućem tekstu podudara s vašim osobnim ili lokalnim IP-om, to je pokazatelj da je došlo do curenja DNS-a; mora biti prikazana samo IP adresa vaše VPN.

Slika 3 prikazuje rezultat s ExpressVPN trčanjem. Primijetite da je jedina vraćena IP adresa belgijski IP kao što je prikazano na slici 2. Ne postoji očigledno curenje DNS-a.

FREEDOME

Slika 3

Ako ustanovite da vaš VPN ima curenje DNS-a, vrijeme je da prekinete pregledavanje dok ne pronađete uzrok i riješite problem. U nastavku su navedeni neki od najvjerojatnijih uzroka curenja DNS-a i njihova rješenja.

DNS propušta probleme i rješenja

Problem br. 1: Nepravilno konfigurirana mreža

DNS Problemi i ispravci curenja

To je jedan od najčešćih uzroka curenja DNS-a za korisnike koji se povezuju na Internet putem različitih mreža; na primjer, netko koji često prebacuje između kućnog usmjerivača, WiFi kafića i javnih vrućih mjesta. Prije povezivanja s šifriranim tunelom VPN-a, vaš se uređaj prvo mora povezati s lokalnom mrežom.

Bez primjerenih postavki možete se prepustiti otvorenom propuštanju podataka. Kada se povezujete s bilo kojom novom mrežom, DHCP postavke (protokol koji određuje IP adresu vašeg računala u mreži) mogu automatski dodijeliti DNS poslužitelj koji će obraditi vaše zahtjeve za pretraživanjem - onaj koji može pripadati internetskim stranicama ili onaj koji možda nije ispravno osiguran. Čak i ako se na ovu mrežu povežete s VPN-om, vaši DNS zahtjevi zaobići će šifrirani tunel, uzrokujući curenje DNS-a.

Popravak:

U većini slučajeva konfiguriranje VPN-a na vašem računalu za korištenje DNS poslužitelja kojeg pruža ili preferira vaš VPN prisilit će DNS zahtjeve da prolaze kroz VPN, a ne izravno iz lokalne mreže. Međutim, nemaju svi davatelji VPN-a vlastite DNS poslužitelje, u tom slučaju bi pomoću neovisnog DNS poslužitelja, poput OpenDNS-a ili Google-ovog javnog DNS-a, trebalo omogućiti DNS zahtjevima da prođu kroz VPN, a ne izravno s vašeg računala. Nažalost, promjena konfiguracije na ovaj način uvelike ovisi o vašem konkretnom dobavljaču VPN-a i protokolu koji koristite - možda ćete im moći postaviti da se automatski povezuju na ispravan DNS poslužitelj bez obzira na to s kojom lokalnom mrežom se povezujete; ili ćete se možda morati svaki put ručno povezati s željenim poslužiteljem. Provjerite podršku svog VPN klijenta za posebne upute.

Ako morate ručno konfigurirati svoje računalo za upotrebu odabranog neovisnog DNS poslužitelja, detaljne upute potražite u odjeljku "Promjena postavki na pouzdan, neovisan DNS poslužitelj" u nastavku.

Problem br. 2: IPv6

Kad razmišljate o IP adresi, obično mislite na 32-bitni kôd koji se sastoji od 4 skupa s do 3 znamenke, poput 123.123.123.123 (kao što je gore opisano). Ovo je IP verzija 4 (IPv4), trenutno najčešći oblik IP adrese. Međutim, skup dostupnih neiskorištenih IPv4 adresa postaje vrlo mali, a IPv4 zamjenjuje (vrlo sporo) IPv6.

IPv6 adrese sastoje se od 8 skupova od 4 znaka koji mogu biti slova ili brojevi, poput 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334.

Internet je i dalje u fazi prijelaza između IPv4 i IPv6. To stvara puno problema, posebno za VPN-ove. Ako VPN izričito nema podršku za IPv6, svaki zahtjev na vaš uređaj ili s vašeg računala poslan preko IPv6 - ili poslan dvokapnim tunelom za pretvaranje IPv4 u IPv6 (vidi Teredo dolje) - u potpunosti će zaobići VPN tunel, ostavljajući vaše osobne podatke nezaštićenima , Ukratko, IPv6 može poremetiti vaš VPN a da toga niste svjesni.

Većina web stranica ima i IPv6 adrese i IPv4 adrese, iako je značajan broj i dalje samo za IPv4. Postoji i nekoliko web stranica koje su samo IPv6. Da li su vaši DNS zahtjevi za IPv4 ili IPv6 adrese obično ovise o vašem davatelju internetskih usluga, mrežnoj opremi (kao što je bežični usmjerivač) i određenoj web stranici kojoj pokušavate pristupiti (s uvođenjem IPv6 još uvijek nepotpuno, neće svi korisnici biti u mogućnosti za pristup web lokacijama samo za IPv6). Većina DNS pretraživanja i dalje će biti IPv4, ali većina korisnika neće biti svjesna podnose li IPv4 ili IPv6 zahtjeve ako mogu oba.

Studija istraživača sa Rimskog sveučilišta Sapienza i sveučilišta Queen Mary u Londonu 2015. ispitala je 14 komercijalnih dobavljača VPN-a i otkrila da je njih 10 - zabrinjavajuće visok udio - podvrgnuto propuštanju IPv6.

  • HideMyAss
  • IPVanish
  • Astrill
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • Tunnelbear
  • ProXPN
  • Hotspot Shield Elite

Iako istjecanje IPv6 nije potpuno isto kao standardno curenje DNS-a, ima puno jednak učinak na privatnost. To je problem kojeg bi svaki VPN korisnik trebao biti svjestan.

Popravak:

Ako vaš davatelj VPN-a već ima potpunu podršku za IPv6 promet, tada vam takvo propuštanje ne bi trebalo predstavljati problem. Neki će VPN-ovi bez podrške za IPv6 imati mogućnost blokiranja IPv6 prometa. U svakom slučaju preporučuje se korištenje VPN-a koji podržava IPv6, jer bi tuneli s dvostrukim slamkama još uvijek mogli zaobići IPv6 blok. (Pogledajte Teredo u nastavku.) Većina VPN-ova, nažalost, neće predvidjeti IPv6 i stoga će uvijek propuštati IPv6 promet. Prije korištenja komercijalne VPN provjerite jesu li odredili IPv6 i odaberite samo onaj koji ima potpunu podršku za protokol.

Problem br. 3: Prozirni DNS proxy-i

Neki davatelji internetskih usluga usvojili su pravilo prisiljavanja vlastitog DNS poslužitelja u sliku ako korisnik promijeni svoje postavke za korištenje trećeg poslužitelja. Ako se otkriju promjene u DNS postavkama, davatelj internetskih usluga upotrijebit će prozirni proxy - zasebni poslužitelj koji presreće i preusmjerava web promet - kako bi osigurao da je vaš DNS zahtjev poslan na njihov vlastiti DNS poslužitelj. To je davatelj internetskih usluga "prisiljava" curenje DNS-a i pokušava ga prikriti s korisnikom. Većina DNS alata za otkrivanje propuštanja moći će otkriti prozirni DNS proxy na isti način kao i standardni propust.

Popravak:

Srećom, nedavne verzije OpenVPN protokola imaju jednostavnu metodu za borbu protiv prozirnih DNS proxyja. Prvo pronađite .conf ili .ovpn datoteku za poslužitelj na koji se želite povezati (pohranjuju se lokalno i obično će biti u C: \ Program Files \ OpenVPN \ config; za više detalja pogledajte priručnik OpenVPN), otvorite u uređivač teksta poput bilježnice i dodaj redak:

  • blok-izvan-DNS

Korisnici starijih verzija OpenVPN-a trebali bi ažurirati na najnoviju OpenVPN verziju. Ako vaš pružatelj VPN-a to ne podržava, možda je vrijeme da potražite noviji VPN. Uz OpenVPN ispravku, mnogi bolje napravljeni VPN klijenti imat će ugrađene vlastite odredbe za borbu protiv prozirnih DNS proxyja. Za dodatne pojedinosti potražite podršku vašeg VPN-a.

Problem br. 4: nesigurne "značajke" sustava Windows 8, 8.1 ili 10

Windows operativni sustavi od 8 na dalje uveli su značajku "Smart Multi-Homed Name Resolution", namijenjenu poboljšanju brzine pretraživanja weba. To šalje sve DNS zahtjeve na sve dostupne DNS poslužitelje. Izvorno, ovo bi prihvatilo odgovore samo sa nestandardnih DNS poslužitelja ako favoriti (obično ISP-ovi vlastiti poslužitelji ili oni koje je postavio korisnik) nisu uspjeli odgovoriti. To je dovoljno loše za VPN korisnike jer uvelike povećava učestalost curenja DNS-a, ali kao i kod Windowsa 10, ova će značajka prema zadanim postavkama prihvatiti odgovor onoga što DNS poslužitelj najbrže odgovori. To ne samo da ima isti problem curenja DNS-a, nego također ostavlja korisnike podložne napadima podmetanja DNS-a.

Popravak:

Ovo je možda najteža vrsta uklanjanja DNS-a, posebno u sustavu Windows 10, jer je to ugrađeni dio Windows-a i gotovo ga je nemoguće promijeniti. Za VPN korisnike koji koriste OpenVPN protokol, slobodno dostupni dodatak otvorenog koda (dostupan ovdje) je možda najbolje i najpouzdanije rješenje.

Smart Multi-Homed Resolution Name može se ručno isključiti u Windows uređivaču lokalnih pravila, osim ako ne koristite Windows Edition Windows. U ovom slučaju Microsoft vam jednostavno ne dopušta mogućnost isključivanja ove značajke. Čak i ako ga uspijete isključiti na taj način, Windows će ipak poslati zahtjev na sve dostupne poslužitelje u slučaju da prvi poslužitelj ne odgovori. Da biste u potpunosti riješili ovaj problem, upotrijebite dodatak OpenVPN.

Također bi moglo biti korisno provjeriti US-CERT-ove smjernice. Pametno višestruko rješavanje imena povezano je s tim značajnim sigurnosnim problemima da je vladina agencija izdala svoje upozorenje na tu temu.

Problem br. 5: Teredo

Teredo je Microsoftova tehnologija za poboljšanje kompatibilnosti između IPv4 i IPv6 i ugrađena je značajka Windows operativnih sustava. Za neke je ključna prijelazna tehnologija koja omogućuje da koegzistiraju IPv4 i IPv6 bez problema, što omogućava slanje, primanje i razumijevanje v6 adresa na v4 vezama. Za VPN korisnike važnija je sjajna sigurnosna rupa. Budući da je Teredo protokol za tuneliranje, često može imati prednost nad vašim šifriranim tunelom VPN-a, zaobilazeći ga i tako uzrokujući curenje DNS-a.

Popravak:

Srećom, Teredo je značajka koja se lako onemogućuje u sustavu Windows. Otvorite naredbeni redak i utipkajte:

onemogućeno stanje mrežnog sučelja teredo

Iako vam se mogu javiti neki problemi pri povezivanju s određenim web stranicama ili poslužiteljima ili korištenje torrent aplikacija, onemogućavanje Teredo-a je mnogo sigurniji izbor za VPN korisnike. Također se preporučuje da isključite Teredo i ostale IPv6 opcije u postavkama usmjerivača ili mrežnog adaptera kako ne bi zaobišao niti jedan promet da zaobiđe tunel vašeg VPN-a..

Sprječavanje budućih curenja

sprečavanje propuštanja dns vpn-aSada kad ste testirali DNS curenje i ili izlazili čisti, otkrili i otklonili curenje, vrijeme je da razmotrite što je moguće manje ubuduće da vam VPN pokrene curenje..

Prije svega, provjerite jesu li sva gornja ispravka izvedena unaprijed; onemogućite Teredo i Smart Multi-Homed Resolution Name, provjerite podržava li vaš VPN ili blokira IPv6 promet itd..

1. Promijenite postavke na pouzdan, nezavisan DNS poslužitelj

Vaš usmjerivač ili mrežni adapter trebao bi imati način promjene TCP / IP postavki, gdje možete odrediti određene pouzdane DNS poslužitelje prema njihovim IP adresama. Mnogi davatelji VPN-a imat će vlastite DNS poslužitelje i pomoću VPN-a često će vas automatski povezati s njima; potražite više od VPN-ove podrške za više informacija.

Ako vaša VPN nema vlasničke poslužitelje, popularna je alternativa korištenje otvorenog, DNS poslužitelja treće strane kao što je Google Open DNS. Da biste promijenili svoje DNS postavke u sustavu Windows 10:

  1. Idite na svoju upravljačku ploču
  2. Kliknite "Mreža i internet"
  3. Kliknite "Centar za mrežu i dijeljenje"
  4. Kliknite na "Promjena postavki adaptera" na lijevoj ploči.
  5. Desnom tipkom miša kliknite ikonu vaše mreže i odaberite "Svojstva"
  6. U prozoru koji se otvori pronađite "Internet Protocol Version 4"; kliknite ga, a zatim kliknite na "Svojstva"
  7. Kliknite "Koristi sljedeće adrese DNS poslužitelja"

Sada možete unijeti preferiranu i alternativnu adresu za DNS poslužitelje. To može biti bilo koji poslužitelj koji želite, ali za Google Open DNS preferirani DNS poslužitelj trebao bi biti 8.8.8.8, dok bi alternativni DNS poslužitelj trebao biti 8.8.4.4. Pogledajte sliku 4.

IPV 4

Slika 4

Također biste željeli promijeniti postavke DNS-a na vašem usmjerivaču - daljnje informacije potražite u priručniku ili podršci za svoj određeni uređaj.

2. Za blokiranje prometa koji nije VPN koristite vatrozid ili VPN

Neki će VPN klijenti sadržavati značajku za automatsko blokiranje prometa koji ne prolazi kroz VPN - potražite opciju "IP vezivanje". Ako još nemate VPN, razmislite o tome da ga nabavite odavde.

Možete i konfigurirati svoj vatrozid tako da dopušta promet samo u VPN-u i van njega. Također možete promijeniti postavke zaštitnog zida Windows:

  1. Provjerite jeste li već povezani sa svojim VPN-om.
  2. Otvorite Centar za mrežu i dijeljenje i provjerite možete li vidjeti ISP vezu (koja bi se trebala prikazati kao "Mreža") i vaš VPN (koji bi se trebao prikazati kao naziv VPN-a). "Mreža" bi trebala biti kućna mreža, dok bi VPN trebao biti javna mreža. Ako je bilo koji od njih postavljen na nešto drugačije, morat ćete ih kliknuti i postaviti ih na odgovarajuću vrstu mreže u prozoru koji se otvori.
  3. Provjerite jeste li prijavljeni kao administrator na svom računalu i otvorite postavke vatrozida za Windows (točni koraci za to variraju ovisno o verziji sustava Windows koju pokrećete).
  4. Kliknite na "Napredne postavke" (vidi sliku 5).
  5. Na lijevoj ploči pronađite "Ulazna pravila" i kliknite je.
  6. Na ploči s desne strane, u odjeljku Radnje, trebali biste vidjeti opciju za "Novo pravilo ...". Kliknite ovo.
  7. U novom prozoru odaberite "Program" i kliknite Dalje.
  8. Odaberite "Svi programi" (ili odaberite pojedinačni program za koji želite blokirati ne-VPN promet) i kliknite Dalje.
  9. Odaberite "Blokiraj vezu" i kliknite Dalje.
  10. Označite "Domena" i "Privatno", ali obavezno ne označite "Javno". Kliknite Dalje.
  11. Trebali biste se vratiti u izbornik Napredne postavke za Windows vatrozid; pronađite "Odlazna pravila" i ponovite korake 6 do 10.

Windows

Slika 5

3. Redovito obavljajte DNS test propuštanja

Pogledajte odjeljak "Kako mogu znati da li moja VPN ima curenje DNS-a?" Gore za upute. Ne sprečava se prevencija, a važno je često provjeravati da se sve mjere opreza i dalje drže brzo.

4. Razmotrite VPN softver za nadgledanje

To može dodati dodatni trošak povrh vaše postojeće pretplate na VPN, ali mogućnost praćenja prometa VPN-a u stvarnom vremenu omogućit će vam da na prvi pogled vidite ako DNS ček ide na pogrešan poslužitelj. Neki proizvodi za praćenje VPN-a nude i dodatne, automatizirane alate za popravljanje DNS propuštanja.

5. Po potrebi promijenite VPN

Trebate maksimalnu moguću privatnost. Idealni VPN imat će ugrađenu zaštitu od propuštanja DNS-a, potpunu IPv6 kompatibilnost, podršku za najnovije verzije OpenVPN-a ili protokol po vašem izboru, a na raspolaganju će biti funkcionalnosti za suzbijanje prozirnih DNS proxyja. Isprobajte dubinske usporedbe i recenzije thebestvpn.com da biste pronašli VPN koji nudi sve što je potrebno za očuvanje privatnosti podataka pregledavanja.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me