DNS-läckor (orsaker och korrigeringar)

Vad är en DNS-läckaWebbläsare använder Domain Name System (DNS) för att överbrygga klyftan mellan Internet-IP-adresser (nummer) och webbplatsens domännamn (ord).


När ett webbnamn matas in skickas det först till en DNS-server där domännamnet matchas med den tillhörande IP-adressen så att begäran kan vidarebefordras till rätt dator.

Det här är en stort problem för integritet eftersom all standard internettrafik måste passera genom en DNS-server där både avsändaren och destinationen är inloggad.

Den DNS-servern tillhör vanligtvis användarens ISP och är under jurisdiktion av nationella lagar. I Storbritannien måste till exempel information som innehas av Internetleverantörer lämnas till brottsbekämpning på begäran. Liknande händer i USA, men med den extra möjligheten för ISP att sälja informationen till marknadsföringsföretag.

Medan innehållet i kommunikationen mellan användarens lokala dator och fjärrwebbplatsen kan krypteras med SSL / TLS (det visas som 'https' i URL: n) kan avsändarens och mottagaradresserna inte krypteras. Som ett resultat kommer alla besökta destinationer att vara kända för den som har laglig (eller kriminell) åtkomst till DNS-loggarna - det vill säga, under normala omständigheter har en användare ingen integritet över vart han går på internet.

VPN: er är utformade för att lösa detta problem genom att skapa ett gap mellan användarens dator och destinationswebbplatsen. Men de fungerar inte alltid perfekt. En serie frågor innebär att DNS-uppgifterna under vissa omständigheter kan läcka tillbaka till Internetleverantören och därför till regerings- och marknadsföringss uppdrag.

Problemen kallas DNS-läckor. För denna diskussion om DNS-läckor kommer vi till stor del att anta att din VPN använder det vanligaste VPN-protokollet, OpenVPN.

Vad är en DNS-läcka?

En VPN upprättar en krypterad anslutning (kallas vanligtvis en 'tunnel') mellan din dator och VPN-servern; och VPN-servern skickar din förfrågan till den önskade webbplatsen. Under förutsättning att VPN fungerar korrekt kommer allt din ISP att se att du ansluter till ett VPN - det kan inte se var VPN ansluter dig. Internet snoopers (regering eller kriminell) kan inte se något innehåll eftersom det är krypterat.

En DNS-läcka inträffar när något oavsiktligt händer och VPN-servern förbikopplas eller ignoreras. I det här fallet ser DNS-operatören (ofta din ISP) vart du åker på internet medan du tror att han inte kan.

Detta är dåliga nyheter, eftersom det besegrar syftet med att använda ett VPN. Innehållet i din webbtrafik är fortfarande dold (av VPN: s kryptering), men de viktigaste delarna för anonymitet - din plats och surfningsinformation - lämnas oskyddade och troligen loggade av din ISP.

Hur man säger om min VPN har en DNS-läcka?

Det finns goda nyheter och dåliga nyheter för att upptäcka en DNS-läcka. Den goda nyheten är att det är snabbt, enkelt och enkelt att kontrollera om din VPN läcker dina DNS-förfrågningar; de dåliga nyheterna är att utan att kontrollera, är det osannolikt att du någonsin kommer att veta om läckan förrän det är för sent.

Det finns många verktyg i webbläsaren för att testa om din VPN har en DNS eller annan form av dataläckage, inklusive några som gjorts av VPN-leverantörer som AirVPN (recension) eller VPN.ac. Om du inte är säker på vad du ska göra kan du helt enkelt gå till ipleak.net medan du tror att ditt VPN är i drift. Denna webbplats kontrollerar automatiskt efter en DNS-läcka (och förresten ger mycket mer information också).

  1. Stiga på ipleak.net i din webbläsares adressfält.
  2. När webbsidan har laddats börjar testet automatiskt och du får en IP-adress.
  3. Om adressen du ser är din IP-adress och visar din plats och du använder ett VPN betyder det att du har en DNS-läcka. Om din VPN: s IP-adress visas fungerar den normalt.

Om möjligt är det en bra idé att testa med flera online-checkar.

Figur 1 visar ipleak.net som används med ett dåligt konfigurerat VPN. Den returnerar rätt IP-adress. Detta är en DNS-läcka.

Din IP-adress nr 2

Figur 1

Figur 2 visar ipleak som används med ExpressVPN konfigurerad för att använda en belgisk server (ExpressVPN låter dig välja från en rad olika länder). Det finns inget DNS-läckage.

Din IP-adress

figur 2

För de flesta användare räcker det med att utföra denna kontroll innan du fortsätter att surfa på andra webbplatser. För vissa användare kommer detta inte att vara en perfekt lösning, eftersom det kräver att du ansluter till internet och skickar DNS-förfrågningar för att få åtkomst till kontrollverktygen..

Det är möjligt att testa för DNS och andra läckor utan att använda någon av dessa webbplatser, även om det kräver att du vet din egen IP-adress och hur du använder Windows-kommandotolken. Det kräver också en pålitlig testserver för att du kan "pinga" direkt ; detta kan vara en privat server som du känner och litar på, eller en av följande offentliga testservrar:

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

För att göra detta, öppna kommandotolken (gå till startmenyn, skriv “cmd” och tryck på Enter) och skriv sedan in följande text:

  • ping [servernamn] -n 1

Byt ut [servernamn] med adressen till din valda testserver (till exempel "ping whoami.akamai.net -n 1") och tryck på Enter. Om någon av IP-adresserna som finns i den resulterande texten matchar din personliga eller lokala IP är det en indikator på att det finns en DNS-läcka; endast din VPN: s IP-adress ska visas.

Figur 3 visar resultatet när ExpressVPN körs. Observera att den enda IP-adress som returneras är den belgiska IP-adressen, som visas i figur 2. Det finns ingen DNS-läcka.

freedome

Figur 3

Om du upptäcker att din VPN har en DNS-läcka är det dags att sluta surfa tills du kan hitta orsaken och åtgärda problemet. Några av de mest troliga orsakerna till en DNS-läcka och deras lösningar listas nedan.

DNS läcker problem och lösningar

Problem nr 1: Felaktigt konfigurerat nätverk

DNS-läckaproblem och korrigeringar

Detta är en av de vanligaste orsakerna till DNS-läckage för användare som ansluter till internet via olika nätverk; till exempel någon som ofta växlar mellan sin hem router, ett kafés WiFi och offentliga hotspots. Innan du ansluter till din VPNs krypterade tunnel måste enheten först ansluta till det lokala nätverket.

Utan rätt inställningar kan du lämna dig öppen för dataläckage. När du ansluter till något nytt nätverk kan DHCP-inställningarna (protokollet som bestämmer maskinens IP-adress i nätverket) automatiskt tilldela en DNS-server för att hantera dina uppslagningsförfrågningar - en som kan tillhöra ISP, eller en som kanske inte är korrekt säkrad. Även om du ansluter till ditt VPN i det här nätverket kommer dina DNS-förfrågningar att kringgå den krypterade tunneln och orsaka en DNS-läcka.

Fixa:

I de flesta fall kommer konfiguration av din VPN på din dator att använda den DNS-servern som tillhandahålls eller föredras av din VPN, tvinga DNS-förfrågningar att gå igenom VPN snarare än direkt från det lokala nätverket. Men inte alla VPN-leverantörer har sina egna DNS-servrar, i vilket fall att använda en oberoende DNS-server som OpenDNS eller Google Public DNS bör tillåta DNS-förfrågningar att gå igenom VPN snarare än direkt från din klientmaskin. Tyvärr beror ändring av konfigurationen på detta sätt mycket på din specifika VPN-leverantör och vilket protokoll du använder - du kanske kan ställa in dem för att automatiskt ansluta till rätt DNS-server oavsett vilket lokalt nätverk du ansluter till; eller kanske du måste ansluta manuellt till din önskade server varje gång. Kontrollera supporten för din VPN-klient för specifika instruktioner.

Om du måste konfigurera din dator manuellt för att använda en vald oberoende DNS-server kan du hitta steg-för-steg-instruktioner i avsnittet "Ändra dina inställningar till en betrodd, oberoende DNS-server" nedan.

Problemet 2: IPv6

När du tänker på en IP-adress brukar du tänka på en 32-bitars kod som består av 4 uppsättningar med upp till 3 siffror, t.ex. 123.123.123.123 (som beskrivs ovan). Detta är IP-version 4 (IPv4), för närvarande den vanligaste formen av IP-adress. Poolen med tillgängliga oanvända IPv4-adresser blir emellertid mycket liten och IPv4 ersätts (mycket långsamt) av IPv6.

IPv6-adresser består av 8 uppsättningar med fyra tecken, som kan vara bokstäver eller siffror, som 2001: 0db8: 85a3: 0000: 0000: 0000: 8a2e: 0370: 7334.

Internet är fortfarande i övergångsfasen mellan IPv4 och IPv6. Detta skapar en hel del problem, särskilt för VPN: er. Om inte ett VPN uttryckligen har IPv6-stöd, kommer alla förfrågningar till eller från din maskin som skickas över IPv6 - eller skickas med en dual-stack-tunnel för att konvertera IPv4 till IPv6 (se Teredo nedan) - helt förbi VPN-tunneln och lämnar dina personuppgifter oskyddade . Kort sagt kan IPv6 störa ditt VPN utan att du är medveten om det.

De flesta webbplatser har både IPv6-adresser och IPv4-adresser, även om ett betydande antal fortfarande endast är IPv4. Det finns också några webbplatser som bara är IPv6. Oavsett om dina DNS-förfrågningar är för IPv4- eller IPv6-adresser beror vanligtvis på din Internetleverantör, din nätverksutrustning (som trådlös router) och den specifika webbplats som du försöker komma åt (med implementering av IPv6 fortfarande ofullständig, inte alla användare kommer att kunna för att komma åt IPv6-webbplatser). Majoriteten av DNS-sökningar kommer fortfarande att vara IPv4, men de flesta användare kommer inte att känna till om de gör IPv4- eller IPv6-förfrågningar om de kan göra båda.

En studie av forskare från Sapienza University of Rome och Queen Mary University of London 2015 undersökte 14 kommersiella VPN-leverantörer och fann att 10 av dem - en störande hög andel - utsattes för IPv6-läckor.

  • HideMyAss
  • IPVanish
  • Astrill
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • Tunnelbear
  • ProXPN
  • Hotspot Shield Elite

Även om IPv6-läckage inte strängt är samma som en standard DNS-läcka, har det i stort sett samma effekt på integriteten. Det är en fråga som alla VPN-användare bör vara medvetna om.

Fixa:

Om din VPN-leverantör redan har fullt stöd för IPv6-trafik, borde denna typ av läcka inte vara något problem för dig. Vissa VPN utan IPv6-stöd har istället möjlighet att blockera IPv6-trafik. Det rekommenderas att gå för en IPv6-kapabel VPN i alla fall, eftersom tunnstapeltunnlar kan tänkas fortfarande kringgå ett IPv6-block. (Se Teredo nedan.) Majoriteten av VPN: n har tyvärr ingen avsättning för IPv6 och kommer därför alltid läcka IPv6-trafik. Se till att du vet innan du använder en kommersiell VPN om de har gjort avsnitt för IPv6 och välj bara en som har fullt stöd för protokollet.

Problem nr 3: Transparenta DNS-problem

Vissa Internetleverantörer har antagit en policy för att tvinga sin egen DNS-server till bilden om en användare ändrar sina inställningar för att använda en tredjepartsserver. Om ändringar i DNS-inställningarna upptäcks kommer Internetleverantören att använda en transparent proxy - en separat server som fångar upp och omdirigerar webbtrafik - för att se till att din DNS-begäran skickas till sin egen DNS-server. Detta är faktiskt att ISP 'tvingar' en DNS-läcka och försöker dölja den från användaren. De flesta verktyg för detektering av DNS-läckor kommer att kunna upptäcka en transparent DNS-proxy på samma sätt som en standardläcka.

Fixa:

Lyckligtvis har nya versioner av OpenVPN-protokollet en enkel metod för att bekämpa transparenta DNS-proxyer. Sök först .conf- eller .ovpn-filen för servern du vill ansluta till (dessa lagras lokalt och kommer vanligtvis att finnas i C: \ Program Files \ OpenVPN \ config; se OpenVPN-manualen för mer information), öppna i en textredigerare gillar anteckningsblock och lägg till raden:

  • block-utanför-dns

Användare av äldre versioner av OpenVPN bör uppdatera till den senaste OpenVPN-versionen. Om din VPN-leverantör inte stöder detta kan det vara dags att leta efter en nyare VPN. Förutom OpenVPN-fixen kommer många av de bättre tillverkade VPN-klienterna att ha sina egna bestämmelser inbyggda för att bekämpa transparenta DNS-proxyer. Mer information finns i din specifika VPN-support.

Problemet 4: Windows 8, 8.1 eller 10s osäkra "funktioner"

Windows-operativsystem från åtta och framåt har introducerat funktionen ”Smart Multi-Homed Name Resolution”, avsedd att förbättra webbläsningshastigheterna. Detta skickar alla DNS-förfrågningar till alla tillgängliga DNS-servrar. Ursprungligen skulle detta bara acceptera svar från icke-standardiserade DNS-servrar om favoriterna (vanligtvis ISP: s egna servrar eller de som ställts in av användaren) inte svarade. Detta är tillräckligt dåligt för VPN-användare eftersom det kraftigt ökar förekomsten av DNS-läckor, men från och med Windows 10 accepterar denna funktion som standard svaret från vilken DNS-server som är snabbast att svara. Detta har inte bara samma fråga om DNS-läckage, utan lämnar också användare sårbara för DNS-falskattacker.

Fixa:

Detta är kanske den svåraste typen av DNS-läcka att fixa, särskilt i Windows 10, eftersom det är en inbyggd del av Windows och kan vara nästan omöjlig att ändra. För VPN-användare som använder OpenVPN-protokollet är en fritt tillgänglig open-source plugin (tillgänglig här) kanske den bästa och mest pålitliga lösningen.

Smart Multi-Homed Name Resolution kan stängas av manuellt i Windows: s lokala grupppolicyredigerare, såvida du inte använder en hemutgåva av Windows. I det här fallet tillåter Microsoft helt enkelt inte möjligheten att stänga av den här funktionen. Även om du kan stänga av det på detta sätt kommer Windows fortfarande att skicka förfrågan till alla tillgängliga servrar om den första servern inte svarar. Det rekommenderas starkt att använda OpenVPN-insticksprogrammet för att ta itu med det här problemet.

Det kan också vara bra att kontrollera US-CERTs riktlinjer här också. Smart Multi-Homed Name Resolution har så betydelsefulla säkerhetsproblem i samband med det att myndigheten utfärdade sin egen varning om ämnet.

Problemet 5: Teredo

Teredo är Microsofts teknik för att förbättra kompatibiliteten mellan IPv4 och IPv6, och är en inbyggd funktion i Windows-operativsystem. För vissa är det en viktig övergångsteknologi som gör att IPv4 och IPv6 kan samexistera utan problem, vilket gör att v6-adresser kan skickas, tas emot och förstås på v4-anslutningar. För VPN-användare är det viktigare ett bländande säkerhetshål. Eftersom Teredo är ett tunnelprotokoll kan det ofta ha företräde framför din VPN: s egen krypterade tunnel, kringgå den och därmed orsaka DNS-läckor.

Fixa:

Lyckligtvis är Teredo en funktion som enkelt kan inaktiveras från Windows. Öppna kommandotolken och skriv:

netsh-gränssnittet Teredo set-läge inaktiverat

Även om du kan uppleva vissa problem när du ansluter till vissa webbplatser eller servrar eller använder torrent-applikationer, är inaktivering av Teredo ett mycket säkrare val för VPN-användare. Det rekommenderas också att stänga av Teredo och andra IPv6-alternativ i inställningarna för din router eller nätverkskort för att säkerställa att ingen trafik kan kringgå din VPN-tunnel.

Förhindra framtida läckor

förhindrar läckage av dns vpnNu när du har testat för en DNS-läcka och antingen kommit ut rent, eller upptäckt och avhjälpt en läcka, är det dags att undersöka möjligheterna att din VPN kommer att läcka en läcka i framtiden.

Först och främst, se till att alla ovanstående korrigeringar har utförts i förväg. inaktivera Teredo och Smart Multi-Homed Name Resolution, se till att din VPN antingen stöder eller blockerar IPv6-trafik, etc..

1. Ändra inställningar till en betrodd, oberoende DNS-server

Din router eller nätverkskort bör ha ett sätt att ändra TCP / IP-inställningar, där du kan ange särskilda betrodda DNS-servrar med sina IP-adresser. Många VPN-leverantörer har sina egna DNS-servrar, och med VPN kommer du ofta automatiskt att ansluta dig till dessa; kolla VPNs support för mer information.

Om din VPN inte har egna servrar är ett populärt alternativ att använda en öppen tredjeparts DNS-server som Google Open DNS. Så här ändrar du dina DNS-inställningar i Windows 10:

  1. Gå till din kontrollpanel
  2. Klicka på "Nätverk och Internet"
  3. Klicka på "Network and Sharing Center"
  4. Klicka på "Ändra adapterinställningar" på den vänstra panelen.
  5. Högerklicka på ikonen för ditt nätverk och välj "Egenskaper"
  6. Leta reda på "Internet Protocol Version 4" i fönstret som öppnas. klicka på den och klicka sedan på "Egenskaper"
  7. Klicka på "Använd följande DNS-serveradresser"

Du kan nu ange en föredragen och alternativ adress för DNS-servrar. Detta kan vara vilken server du vill, men för Google Open DNS bör den föredragna DNS-servern vara 8.8.8.8, medan den alternativa DNS-servern ska vara 8.8.4.4. Se figur 4.

IPV 4

Figur 4

Du kanske också vill ändra DNS-inställningarna på din router - se din manual eller support för din specifika enhet för mer information.

2. Använd en brandvägg eller ditt VPN för att blockera trafik som inte är VPN

Vissa VPN-klienter kommer att innehålla en funktion för att automatiskt blockera all trafik som inte går igenom VPN - leta efter ett "IP-bindande" alternativ. Om du inte har ett VPN än kan du överväga att få en härifrån.

Alternativt kan du konfigurera din brandvägg så att den endast tillåter trafik in och ut via ditt VPN. Du kan också ändra dina Windows Firewall-inställningar:

  1. Se till att du redan är ansluten till ditt VPN.
  2. Öppna Network and Sharing Center och se till att du kan se både din ISP-anslutning (som ska visas som "Network") och ditt VPN (som ska visas som namnet på VPN). "Nätverk" bör vara ett hemnätverk, medan ditt VPN ska vara ett offentligt nätverk. Om någon av dem är inställd på något annat måste du klicka på dem och ställa in dem på rätt nätverkstyp i fönstret som öppnas.
  3. Se till att du är inloggad som administratör på din maskin och öppna Windows-brandväggsinställningarna (exakta steg för detta varierar beroende på vilken version av Windows du kör).
  4. Klicka på “Avancerade inställningar” (se figur 5).
  5. Leta reda på "Inbound Rules" på den vänstra panelen och klicka på den.
  6. På den högra panelen, under Åtgärder, bör du se ett alternativ för "Ny regel ...". Klicka här.
  7. I det nya fönstret väljer du "Program" och klickar på Nästa.
  8. Välj "Alla program" (eller välj ett enskilt program som du vill blockera icke-VPN-trafik för) och klicka på Nästa.
  9. Välj ”Blockera anslutningen” och klicka på Nästa.
  10. Kryssa för "Domän" och "Privat" men se till att "Offentligt" inte är markerat. Klicka på Nästa.
  11. Du bör vara tillbaka i menyn Avancerade inställningar för Windows Firewall; hitta "Utgående regler" och upprepa steg 6 till 10.

Windows

Figur 5

3. Utför ett DNS-läcktest regelbundet

Se avsnittet "Hur vet jag om min VPN har en DNS-läcka?" Ovan för instruktioner. Förebyggande är inte järnklädd, och det är viktigt att kontrollera ofta att alla dina försiktighetsåtgärder fortfarande håller fast.

4. Överväg VPN-programvara för "övervakning"

Detta kan lägga till en extra kostnad ovanpå din befintliga VPN-prenumeration, men möjligheten att övervaka din VPNs trafik i realtid gör att du kan se en överblick om en DNS-kontroll går till fel server. Vissa VPN-övervakningsprodukter erbjuder också ytterligare, automatiserade verktyg för att fixa DNS-läckor.

5. Ändra ditt VPN vid behov

Du behöver maximalt privatliv. Det ideala VPN-systemet kommer att ha inbyggt DNS-läckskydd, full IPv6-kompatibilitet, stöd för de senaste versionerna av OpenVPN eller det valda protokollet och har funktionalitet på plats för att motverka transparenta DNS-proxyer. Prova thebestvpn.coms djupgående jämförelser och recensioner för att hitta VPN som erbjuder allt du behöver för att hålla dina surfinformation.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me