ДНС цурења (узроци и исправке)

Шта је ДНС цурењеПретраживачи користе систем домена (ДНС) да би премостили јаз између Интернет ИП адреса (бројева) и имена домена (речи).


Када се унесе веб име, прво се шаље на ДНС сервер где се име домене подудара са придруженом ИП адресом како би захтев могао да се проследи на одговарајући рачунар.

Ово је огроман проблем за приватност будући да сав стандардни интернет саобраћај мора проћи кроз ДНС сервер на коме се пријављују и пошиљалац и одредиште.

Тај ДНС сервер обично припада ИСП-у корисника и под јурисдикцијом је националних закона. На пример, у Великој Британији информације које поседују ИСП морају да се предају полицији на захтев. Слично се дешава и у САД-у, али уз додатну могућност да ИСП продаје податке маркетиншким компанијама.

Иако се садржај комуникације између локалног рачунара корисника и удаљене веб локације може шифровати ССЛ / ТЛС (у УРЛ-у се приказује као „хттпс“), адресе пошиљаоца и примаоца не могу се шифровати. Као резултат, свака посећена дестинација биће позната ономе ко има законски (или кривични) приступ евиденцијама ДНС-а - то јест, у нормалним околностима, корисник нема приватност тамо где иде на Интернет.

ВПН-ови су осмишљени да реше овај проблем стварајући јаз између корисничког рачунара и одредишне веб локације. Али не раде увек савршено. Низ издања значи да у одређеним околностима подаци ДНС-а могу да се врате у даватеља интернетских услуга и самим тим у надлежност државних и маркетиншких компанија.

Проблеми су познати као цурење ДНС-а. У сврху ове дискусије о ДНС пропуштањима, увелико ћемо претпоставити да ваш ВПН користи најчешћи ВПН протокол, ОпенВПН.

Шта је цурење ДНС-а?

ВПН успоставља шифровану везу (обично се назива 'тунел') између вашег рачунара и ВПН сервера; а ВПН сервер шаље захтев на потребну веб локацију. Под условом да ВПН исправно функционише, све што види ваш Интернет даватељ услуга је да се повезујете на ВПН - не може видети где вас ВПН повезује. Интернетски сноопери (државни или криминални) не могу видјети ниједан садржај јер је шифриран.

До цурења ДНС-а долази када се деси нешто ненамјерно, а ВПН сервер се заобиђе или игнорише. У овом случају, оператер ДНС сервера (често ваш ИСП) видеће где идете на Интернет док верујете да не може.

Ово је лоша вест, јер поражава сврху коришћења ВПН-а. Садржај вашег веб саобраћаја је и даље скривен (шифровањем ВПН-а), али најважнији делови за анонимност - ваша локација и подаци прегледавања - остају незаштићени и највероватније их евидентира ваш ИСП..

Како да каже да ли мој ВПН има цурење ДНС-а?

Постоје добре и лоше вести за откривање цурења ДНС-а. Добра вест је да је провера да ли ВПН цури ваше ДНС захтеве брзо, лако и једноставно; лоша вест је да без провере вероватно нећете знати за цурење док не буде прекасно.

Постоји много алата у претраживачу за тестирање да ли ваш ВПН има ДНС или неки други облик цурења података, укључујући неке који су направили добављачи ВПН као што су АирВПН (преглед) или ВПН.ац. Ако нисте сигурни шта да радите, једноставно можете отићи на иплеак.нет, док верујете да је ваш ВПН оперативан. Ова веб локација аутоматски ће проверити да ли постоји цурење ДНС-а (и, успут речено, пружа и много више информација).

  1. Унесите иплеак.нет у адресну траку прегледача.
  2. Када се веб страница учита, тест се аутоматски покреће и биће вам приказана ИП адреса.
  3. Ако је адреса коју видите ваша ИП адреса и показује вашу локацију, а ви користите ВПН, то значи да имате цурење ДНС-а. Ако је приказана ИП адреса вашег ВПН-а, онда ради нормално.

Ако је могуће, добра је идеја тестирати се с више онлајн провера.

Слика 1 приказује иплеак.нет који се користи са лоше конфигурираним ВПН-ом. Враћа тачну ИП адресу. Ово је цурење ДНС-а.

Ваша ИП адреса бр. 2

Слика 1

Слика 2 приказује иплеак који се користи са ЕкпрессВПН конфигурираним за употребу белгијског сервера (ЕкпрессВПН омогућава вам одабир из низа различитих земаља). Не постоји очигледно цурење ДНС-а.

Ваша ИП адреса

Слика 2

За већину корисника извршавање ове провере пре него што прегледате друге веб локације биће довољно. За неке кориснике то неће бити савршено решење, јер захтева да се повежете на Интернет и пошаљете ДНС захтеве да приступите алаткама за провјеру..

Могуће је тестирати на ДНС и друге пропусте без коришћења било које од ових веб локација, мада то захтева да знате своју ИП адресу и како да користите Виндовс командни редак, а захтева и поуздан тест сервер да бисте директно „пингвали“ ; то може бити приватни сервер који знате и коме верујете или један од следећих јавних тест сервера:

  • вхоами.акамаи.нет
  • ресолутионвер.днсцрипт.орг
  • вхоами.флуффцомпутинг.цом
  • вхоами.ултраднс.нет

Да бисте то учинили, отворите командни редак (идите у стартни мени, откуцајте „цмд“ и притисните Ентер), а затим унесите следећи текст:

  • пинг [име сервера] -н 1

Замените [име сервера] адресом вашег одабраног тест сервера (на пример „пинг вхоами.акамаи.нет -н 1“) и притисните Ентер. Ако се било која ИП адреса пронађена у резултирајућем тексту подудара са вашим личним или локалним ИП-ом, то је показатељ да је присутно цурење ДНС-а; треба да буде приказана само ИП адреса ваше ВПН.

Слика 3 приказује резултат при ЕкпрессВПН трчању. Примјетите да је једина враћена ИП адреса белгијски ИП као што је приказано на слици 2. Не постоји очигледно цурење ДНС-а.

СЛОБОДА

Слика 3

Ако откријете да ваш ВПН има цурење ДНС-а, време је да прекинете прегледавање док не нађете узрок и решите проблем. Доље су наведени неки од највјероватнијих узрока цурења ДНС-а и њихова рјешења.

ДНС пропушта проблеме и решења

Проблем бр. 1: Неправилно конфигурисана мрежа

ДНС проблеми и исправке за цурење

Ово је један од најчешћих узрока цурења ДНС-а за кориснике који се повезују на Интернет преко различитих мрежа; на пример, неко ко често прелази између кућног усмјеривача, ВиФи-а кафетерија и јавних врућих тачака. Пре него што се повежете са шифрованим тунелом ВПН-а, уређај се прво мора повезати са локалном мрежом.

Без одговарајућих поставки можете се остављати отвореним за цурење података. При повезивању са било којом новом мрежом, ДХЦП подешавања (протокол који одређује ИП адресу вашег уређаја у мрежи) могу аутоматски доделити ДНС сервер за руковање вашим захтевима за тражењем - онај који може припадати интернетском пружаоцу услуге или онај који можда није правилно осигурани. Чак и ако се повежете са својим ВПН-ом на овој мрежи, ваши ДНС захтеви ће заобићи шифровани тунел, узрокујући цурење ДНС-а.

Поправак:

У већини случајева, конфигурисање ВПН-а на рачунару за коришћење ДНС сервера који пружа или га преферира ВПН приморава ДНС захтеве да пролазе кроз ВПН, а не директно из локалне мреже. Међутим, немају сви ВПН провајдери сопствене ДНС сервере, у том случају помоћу независног ДНС сервера попут ОпенДНС или Гоогле Публиц ДНС требало би да дозволе ДНС захтевима да пролазе кроз ВПН, а не директно са вашег рачунара. Нажалост, промена конфигурације на овај начин увелике зависи од вашег одређеног ВПН провајдера и протокола који користите - можда ћете моћи да их подесите да се аутоматски повезују на исправан ДНС сервер без обзира на то са којом локалном мрежом се повезујете; или ћете можда морати да се ручно повежете са жељеним сервером сваки пут. Проверите подршку за ВПН клијент да бисте добили одређена упутства.

Ако морате ручно да конфигуришете рачунар за коришћење одабраног независног ДНС сервера, детаљна упутства можете пронаћи у одељку „Промена подешавања у поуздан, независан ДНС сервер“ у наставку.

Проблем бр. 2: ИПв6

Обично када размишљате о ИП адреси, мислите на 32-битни код који се састоји од 4 скупа до 3 цифре, као што је 123.123.123.123 (као што је горе описано). Ово је ИП верзија 4 (ИПв4), тренутно најчешћи облик ИП адресе. Међутим, скуп доступних неискориштених ИПв4 адреса постаје врло мали, а ИПв4 замјењује (врло споро) ИПв6.

ИПв6 адресе се састоје од 8 скупова од 4 знака, који могу бити слова или бројеви, као 2001: 0дб8: 85а3: 0000: 0000: 8а2е: 0370: 7334.

Интернет је и даље у фази транзиције између ИПв4 и ИПв6. Ово ствара пуно проблема, посебно за ВПН-ове. Ако ВПН изричито нема подршку за ИПв6, сваки захтев на или са вашег уређаја послан преко ИПв6 - или послан двокаличним тунелом за претварање ИПв4 у ИПв6 (види Тередо доле) - у потпуности ће заобићи ВПН тунел, остављајући ваше личне податке незаштићенима . Укратко, ИПв6 може да поремети ваш ВПН а да тога нисте ни свесни.

Већина веб локација има и ИПв6 адресе и ИПв4 адресе, мада је значајан број и даље само за ИПв4. Постоји и неколико веб локација које су само ИПв6. Да ли су ваши ДНС захтеви за ИПв4 или ИПв6 адресе обично ће зависити од вашег даватеља интернетских услуга, ваше мрежне опреме (као што је бежични рутер) и одређеног веб сајта којем покушавате да приступите (примена ИПв6 је и даље непотпуна, неће сви корисници бити у могућности да бисте приступили веб локацијама само за ИПв6). Већина ДНС претрага и даље ће бити ИПв4, али већина корисника неће бити свјесна да ли постављају ИПв4 или ИПв6 захтјеве ако могу оба.

Студија истраживача са Римског универзитета Сапиенза и лондонског Универзитета Куеен Мари у 2015. години испитала је 14 комерцијалних ВПН провајдера и открила да је 10 њих - узнемирујуће висок удио - подложно пропуштању ИПв6.

  • ХидеМиАсс
  • ИПВанисх
  • Астрилл
  • ЕкпрессВПН
  • СтронгВПН
  • ПуреВПН
  • АирВПН
  • Тунелбеар
  • ПроКСПН
  • Хотспот Схиелд Елите

Иако цурење ИПв6 није потпуно исто као стандардно цурење ДНС-а, оно има много једнак утицај на приватност. То је проблем са којим би сваки ВПН корисник требао бити свјестан.

Поправак:

Ако ваш ВПН провајдер већ има потпуну подршку за ИПв6 саобраћај, тада вам таква пропуштања не би требало да представља проблем. Неки ВПН-ови без ИПв6 подршке ће уместо тога имати опцију да блокирају ИПв6 саобраћај. У сваком случају препоручује се коришћење ВПН-а који подржава ИПв6, јер би тунели са двоструким пакетом ипак могли заобићи ИПв6 блок. (Погледајте Тередо у наставку.) Већина ВПН-ова, нажалост, неће имати обезбеђења за ИПв6 и зато ће увек пропуштати ИПв6 саобраћај. Пре коришћења комерцијалног ВПН проверите да ли су одредили ИПв6 и изаберите само онај који има потпуну подршку за протокол.

Проблем бр. 3: Транспарентни ДНС проки-и

Неки добављачи интернетских услуга усвојили су политику присиљавања сопственог ДНС сервера у слику ако корисник промени своја подешавања за коришћење трећег сервера. Ако се открију промјене у ДНС поставкама, ИСП ће користити прозирни проки - засебни сервер који пресреће и преусмјерава веб промет - како би осигурао да је ваш ДНС захтјев послан на њихов властити ДНС сервер. Ово је ефективно да ИСП „форсира“ цурење ДНС-а и покушава да га прикрије кориснику. Већина алата за откривање цурења ДНС-а моћи ће открити прозирни ДНС проки на исти начин као и стандардни пропуштање.

Поправак:

Срећом, недавне верзије ОпенВПН протокола имају лак метод за борбу против транспарентних ДНС проки-ја. Прво пронађите .цонф или .овпн датотеку за сервер на који се желите повезати (похрањују се локално и обично ће бити у Ц: \ Програм Филес \ ОпенВПН \ цонфиг; за више детаља погледајте приручник ОпенВПН), отворите у уређивач текста попут белешке и додајте линију:

  • блок-ван-днс

Корисници старијих верзија ОпенВПН-а требало би да се ажурирају на најновију ОпенВПН верзију. Ако ваш ВПН провајдер ово не подржава, можда је време да потражите нови ВПН. Као и ОпенВПН исправка, многи боље направљени ВПН клијенти ће имати уграђене сопствене одредбе за борбу против транспарентних ДНС проки-а. Више детаља потражите у подршци за одређени ВПН.

Проблем бр. 4: несигурне „функције“ система Виндовс 8, 8.1 или 10

Оперативни системи Виндовс од 8. па надаље увели су функцију „Смарт Мулти-Хомед Наме Ресолутион“ (паметна мулти-Хомед Наме Ресолутион) намењена побољшању брзине претраживања веба. Ово шаље све ДНС захтеве на све доступне ДНС сервере. Првобитно би прихватали одговоре само са нестандардних ДНС сервера уколико фаворити (обично ИСП-ови лични сервери или они које је корисник поставио) нису успели да одговоре. Ово је довољно лоше за ВПН кориснике, јер значајно повећава учесталост цурења ДНС-а, али као што је случај са Виндовсом 10, ова функција ће, по дефаулту, прихватити одговор оног који ДНС сервер најбрже одговори. Ово не само да има исти проблем цурења ДНС-а, већ и оставља кориснике рањивим на ДНС нападима споофинга.

Поправак:

Ово је можда најтежа врста ДНС-а за исправак, посебно у Виндовс-у 10, јер је то уграђени део Виндовс-а и скоро га је немогуће променити. За ВПН кориснике који користе ОпенВПН протокол, слободно доступни додатак отвореног кода (доступан овде) је вероватно најбоље и најпоузданије решење.

Смарт Мулти-Хомед Ресолутион наме може се ручно искључити у Виндовс Едитору локалне групе смерница, осим ако не користите Виндовс Едитион Виндовс. У овом случају Мицрософт вам једноставно не дозвољава искључење ове функције. Чак и ако сте у могућности да га искључите на овај начин, Виндовс ће и даље послати захтев свим доступним серверима у случају да први сервер не одговори. Веома се препоручује употреба додатка ОпенВПН да бисте у потпуности решили овај проблем.

Такође би могло бити корисно да проверите смернице УС-ЦЕРТ-а овде. Смарт Мулти-Хомед Ресолутион Име има с тим повезане значајне сигурносне проблеме да је владина агенција издала своје упозорење о тој теми.

Проблем бр. 5: Тередо

Тередо је Мицрософтова технологија за побољшање компатибилности између ИПв4 и ИПв6 и уграђена је функција Виндовс оперативних система. За неке је то суштинска прелазна технологија која омогућава да ИПв4 и ИПв6 коегзистирају без проблема, омогућавајући в6 адресе да се шаљу, примају и разумеју на в4 везама. За ВПН кориснике важнија је сјајна рупа у безбедности. Будући да је Тередо протокол за тунелирање, он често има предност над шифрованим тунелом вашег ВПН-а, заобилазећи га и тако узрокујући цурење ДНС-а.

Поправак:

Срећом, Тередо је функција која се лако онемогућава у оперативном систему Виндовс. Отворите наредбени редак и откуцајте:

стање мрежног сучеља тередо постављено је онемогућено

Иако ћете можда имати проблема са повезивањем на одређене веб локације или сервере или коришћењем торрент апликација, онемогућавање Тередо-а је много сигурнији избор за ВПН кориснике. Такође се препоручује да искључите Тередо и друге ИПв6 опције у подешавањима рутера или мрежног адаптера како не би било промета који може заобићи тунел ВПН-а..

Спречавање будућих цурења

спречавање цурења днс впн-аСада када сте тестирали да ли постоји цурење ДНС-а и било да изађете чисти, или сте открили и санирали цурење, време је да размотрите минимизирање шанси да ваш ВПН покрене цурење у будућности.

Пре свега, проверите да ли су сва горња исправка извршена унапред; онемогућите Тередо и Смарт Мулти-Хомед Ресолутион Наме, провјерите да ли ВПН подржава или блокира ИПв6 промет итд..

1. Промените подешавања на поуздан, независан ДНС сервер

Ваш усмјеривач или мрежни адаптер требао би имати начин да промијени ТЦП / ИП поставке, гдје можете одредити одређене поуздане ДНС сервере према њиховим ИП адресама. Многи ВПН провајдери имаће своје ДНС сервере и коришћењем ВПН-а често ће вас аутоматски повезати са њима; потражите више информација о ВПН-у.

Ако ваш ВПН нема власничке сервере, популарна алтернатива је употреба отвореног, независног ДНС сервера попут Гоогле Опен ДНС-а. Да бисте променили подешавања ДНС-а у систему Виндовс 10:

  1. Идите на своју контролну таблу
  2. Кликните на „Мрежа и Интернет“
  3. Кликните на „Мрежа и дељење центра“
  4. Кликните на „Промена поставки адаптера“ на левој табли.
  5. Кликните десним тастером миша на икону ваше мреже и изаберите „Својства“
  6. У прозору који се отвори пронађите „Интернет Протоцол Версион 4“; кликните га, а затим кликните на „Својства“
  7. Кликните на „Користи следеће адресе ДНС сервера“

Сада можете да унесете жељену и алтернативну адресу за ДНС сервере. То може бити било који сервер који желите, али за Гоогле Опен ДНС преферирани ДНС сервер треба да буде 8.8.8.8, док би алтернативни ДНС сервер требало да буде 8.8.4.4. Погледајте слику 4.

ИПВ 4

Слика 4

Такође бисте желели да промените подешавања ДНС-а на вашем рутеру - потражите додатне информације за ваш приручник или подршку за одређени уређај.

2. Користите заштитни зид или ВПН да бисте блокирали не-ВПН саобраћај

Неки ВПН клијенти укључују функцију за аутоматско блокирање било ког промета који не пролази кроз ВПН - потражите опцију „ИП везивање“. Ако још немате ВПН, размислите да га набавите одавде.

Алтернативно, можете да конфигуришете заштитни зид тако да допушта само промет у вашем и ван ВПН-а. Такође можете да промените своје поставке заштитног зида Виндовс:

  1. Проверите да ли сте већ повезани са својим ВПН-ом.
  2. Отворите Центар за мрежу и дељење и проверите да ли можете да видите и своју ИСП везу (која би требало да се прикаже као „Мрежа“) и ВПН (који би требало да се појави као име ВПН-а). „Мрежа“ треба да буде кућна мрежа, док би ваша ВПН требало да буде јавна мрежа. Ако је било које од њих постављено на нешто другачије, мораћете да кликнете на њих и поставите их на одговарајући тип мреже у прозору који се отвори.
  3. Обавезно се пријавите као администратор на свом рачунару и отворите поставке заштитног зида Виндовс (тачни кораци за то варирају у зависности од верзије оперативног система Виндовс коју користите).
  4. Кликните на "Напредне поставке" (види слику 5).
  5. Пронађите „Улазна правила“ на левој табли и кликните је.
  6. На плочи десне стране, у одељку Акције, требало би да видите опцију за „Ново правило…“. Кликните на ово.
  7. У новом прозору одаберите "Програм" и кликните на Нект.
  8. Изаберите „Сви програми“ (или одаберите појединачни програм за који желите да блокирате не-ВПН саобраћај) и кликните на Даље.
  9. Одаберите "Блокирај везу" и кликните на Даље.
  10. Означите „Домен“ и „Приватно“, али пазите да „Јавно“ није означено. Кликните на дугме Даље.
  11. Требали бисте се вратити у мени „Напредне поставке“ за Виндовс заштитни зид; пронађите „Излазна правила“ и поновите кораке од 6 до 10.

Виндовс

Слика 5

3. Редовно вршите ДНС тест пропуштања

Погледајте одељак „Како да кажем да ли моја ВПН има цурење ДНС-а?“ Горе за упутства. Превенција није безначајна и важно је често провјеравати да ли се мјере предострожности и даље држе брзо.

4. Размотрите ВПН софтвер за надгледање

Ово може додати додатни трошак изнад ваше постојеће ВПН претплате, али могућност праћења промета ВПН-а у реалном времену омогућиће вам да на први поглед видите да ли провера ДНС-а иде на погрешан сервер. Неки ВПН уређаји за надгледање нуде и додатне, аутоматизоване алате за поправљање ДНС пропуштања.

5. Промените ВПН ако је потребно

Потребна вам је максимална могућа приватност. Идеалан ВПН има уграђену ДНС заштиту од пропуштања, потпуну ИПв6 компатибилност, подршку за најновије верзије ОпенВПН или протокол по вашем избору и функционалност на месту за спречавање прозирних ДНС проки-а. Испробајте детаљне поређења и прегледе тхебествпн.цом да бисте пронашли ВПН који нуди све што је потребно да подаци вашег прегледавања остану приватни.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me