DNS 유출 (원인 및 수정)

DNS 누출이란 무엇입니까브라우저는 DNS (Domain Name System)를 사용하여 인터넷 IP 주소 (숫자)와 웹 사이트 도메인 이름 (단어) 사이의 간격을 메 웁니다.

웹 이름을 입력하면 도메인 이름이 연결된 IP 주소와 일치하는 DNS 서버로 먼저 전송되어 요청을 올바른 컴퓨터로 전달할 수 있습니다.

이것은 프라이버시 문제 모든 표준 인터넷 트래픽은 발신자와 목적지가 모두 기록 된 DNS 서버를 통과해야하므로.

해당 DNS 서버는 일반적으로 사용자의 ISP에 속하며 국가 법의 관할권에 있습니다. 예를 들어 영국에서는 ISP가 보유한 정보를 요청시 법 집행 기관에 전달해야합니다. 미국에서도 마찬가지이지만 ISP가 마케팅 회사에 데이터를 판매 할 수있는 옵션이 추가되었습니다..

사용자의 로컬 컴퓨터와 원격 웹 사이트 간의 통신 내용은 SSL / TLS (URL에 'https'로 표시됨)로 암호화 할 수 있지만 발신자와 수신자 주소는 암호화 할 수 없습니다. 결과적으로, 방문한 모든 목적지는 DNS 로그에 대한 법적 (또는 범죄자) 액세스 권한이있는 사람에게 알려질 것입니다. 즉, 정상적인 상황에서는 사용자가 인터넷을 이용하는 곳에 대한 개인 정보가 없습니다..

VPN은 사용자 컴퓨터와 대상 웹 사이트간에 간격을 만들어이 문제를 해결하도록 설계되었습니다. 그러나 항상 완벽하게 작동하는 것은 아닙니다. 일련의 문제는 특정 상황에서 DNS 데이터가 ISP로 유출되어 정부 및 마케팅 회사의 범위로 유출 될 수 있음을 의미합니다..

이 문제를 DNS 누출이라고합니다. DNS 유출에 대한이 논의의 목적 상, 귀하의 VPN이 가장 일반적인 VPN 프로토콜 인 OpenVPN을 사용한다고 가정합니다..

DNS 누출이란 무엇입니까?

VPN은 컴퓨터와 VPN 서버간에 암호화 된 연결 (일반적으로 '터널'이라고 함)을 설정합니다. VPN 서버는 요청을 필요한 웹 사이트로 보냅니다. VPN이 올바르게 작동하면 ISP가 VPN에 연결하고 있음을 알 수 있습니다. VPN이 연결되는 위치를 볼 수는 없습니다. 인터넷 스 누퍼 (정부 또는 범죄자)는 암호화 된 컨텐츠를 볼 수 없습니다.

의도하지 않은 일이 발생하면 VPN 누수가 발생하고 VPN 서버가 무시되거나 무시됩니다. 이 경우 DNS 서버 운영자 (종종 ISP)는 인터넷을 어디에서 가는지 알 수 있지만 인터넷을 사용할 수 없다고 생각합니다.

VPN 사용의 목적을 상실하기 때문에 이것은 나쁜 소식입니다. 웹 트래픽의 내용은 여전히 ​​(VPN의 암호화에 의해) 숨겨져 있지만 익명 성을위한 가장 중요한 부분 (위치 및 인터넷 사용 데이터)은 보호되지 않은 상태로 ISP에 의해 기록됩니다.

VPN에 DNS 누출이 있는지 확인하는 방법?

DNS 유출을 감지하는 데는 좋은 소식과 나쁜 소식이 있습니다. 좋은 소식은 VPN이 DNS 요청을 유출하는지 확인하는 것이 빠르고 쉽고 간단하다는 것입니다. 나쁜 소식은 확인하지 않으면 누출이 너무 늦을 때까지 누출에 대해 알지 못할 것입니다.

VPN에 DNS가 있는지 또는 AirVPN (검토) 또는 VPN.ac와 같은 VPN 제공 업체가 만든 데이터 유출을 포함한 다른 형태의 데이터 유출 여부를 테스트 할 수있는 많은 브라우저 도구가 있습니다. 무엇을해야할지 잘 모르겠 으면 VPN이 작동한다고 생각하면서 ipleak.net으로 이동하면됩니다. 이 사이트는 DNS 누출을 자동으로 확인합니다 (실수로 더 많은 정보도 제공함)..

  1. 시작하다 ipleak.net 브라우저의 주소 표시 줄에.
  2. 웹 페이지가로드되면 테스트가 자동으로 시작되고 IP 주소가 표시됩니다.
  3. 표시되는 주소가 IP 주소이고 사용자의 위치가 표시되고 VPN을 사용중인 경우 DNS가 누출 된 것입니다. VPN의 IP 주소가 표시되면 정상적으로 작동하는 것입니다.

가능하면 여러 온라인 검사기로 테스트하는 것이 좋습니다..

그림 1은 잘못 구성된 VPN과 함께 사용되는 ipleak.net을 보여줍니다. 올바른 IP 주소를 반환합니다. 이것은 DNS 유출입니다.

귀하의 IP 주소 # 2

그림 1

그림 2는 벨기에 서버를 사용하도록 구성된 ExpressVPN과 함께 사용되는 ipleak를 보여줍니다 (ExpressVPN을 사용하면 다양한 국가 중에서 선택할 수 있음). 명백한 DNS 누출이 없습니다.

귀하의 IP 주소

그림 2

대부분의 사용자는 다른 사이트를 계속 탐색하기 전에이 확인을 수행하면 충분합니다. 일부 사용자에게는 인터넷에 연결하고 검사기 도구에 액세스하기 위해 DNS 요청을 보내야하므로 완벽한 솔루션이 아닙니다..

이러한 웹 사이트 중 하나를 사용하지 않고도 DNS 및 기타 누수를 테스트 할 수 있지만, 자신의 IP 주소와 Windows 명령 프롬프트를 사용하는 방법을 알아야하지만 직접 'ping'하려면 신뢰할 수있는 테스트 서버가 필요합니다 ; 이것은 알고 있고 신뢰하는 개인 서버이거나 다음과 같은 공용 테스트 서버 중 하나 일 수 있습니다.

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

이렇게하려면 명령 프롬프트를 열고 (시작 메뉴로 이동하여 "cmd"를 입력하고 Enter를 누르십시오) 다음 텍스트를 입력하십시오.

  • 핑 [서버 이름] -n 1

[서버 이름]을 선택한 테스트 서버의 주소 (예 :“ping whoami.akamai.net -n 1”)로 바꾸고 Enter를 누르십시오. 결과 텍스트에서 찾은 IP 주소가 개인 또는 로컬 IP와 일치하면 DNS 누출이 있음을 나타냅니다. VPN의 IP 주소 만 표시되어야합니다.

그림 3은 ExpressVPN이 실행 된 결과를 보여줍니다. 그림 2와 같이 반환 된 유일한 IP 주소는 벨기에 IP입니다. 명백한 DNS 유출은 없습니다..

자유

그림 3

VPN에 DNS 누출이있는 것으로 확인되면 원인을 찾아 문제를 해결할 수있을 때까지 탐색을 중지해야합니다. DNS 유출의 가장 큰 원인 중 일부는 다음과 같습니다..

DNS 유출 문제 및 솔루션

문제 # 1 : 잘못 구성된 네트워크

DNS 누출 문제 및 수정

이것은 다른 네트워크를 통해 인터넷에 연결하는 사용자에게 DNS 유출의 가장 일반적인 원인 중 하나입니다. 예를 들어, 종종 집 라우터, 커피 숍의 WiFi 및 공개 핫스팟간에 전환하는 사람이 있습니다. VPN의 암호화 된 터널에 연결하기 전에 먼저 장치가 로컬 네트워크에 연결되어 있어야합니다.

적절한 설정을하지 않으면 데이터 유출에 노출 될 수 있습니다. 새로운 네트워크에 연결할 때 DHCP 설정 (네트워크 내에서 기기의 IP 주소를 결정하는 프로토콜)은 조회 요청을 처리하기 위해 DNS 서버를 자동으로 할당 할 수 있습니다 (ISP에 속하거나 적절하지 않은 것) 확보. 이 네트워크에서 VPN에 연결하더라도 DNS 요청은 암호화 된 터널을 우회하여 DNS 유출을 일으 킵니다.

수정 :

대부분의 경우 VPN에서 제공하거나 선호하는 DNS 서버를 사용하도록 컴퓨터에서 VPN을 구성하면 DNS 요청이 로컬 네트워크에서 직접 VPN이 아니라 VPN을 통과하게됩니다. 그러나 모든 VPN 제공 업체에 자체 DNS 서버가있는 것은 아닙니다.이 경우 OpenDNS 또는 Google Public DNS와 같은 독립적 인 DNS 서버를 사용하면 DNS 요청이 클라이언트 컴퓨터에서 직접 VPN이 아니라 VPN을 통과해야합니다. 불행하게도, 이러한 방식으로 구성을 변경하면 특정 VPN 제공 업체와 사용중인 프로토콜에 따라 크게 달라집니다. 어떤 로컬 네트워크에 연결하든 올바른 DNS 서버에 자동으로 연결하도록 설정할 수 있습니다. 또는 매번 선호하는 서버에 수동으로 연결해야 할 수도 있습니다. 구체적인 지침은 VPN 클라이언트 지원을 확인하십시오..

선택한 독립 DNS 서버를 사용하도록 컴퓨터를 수동으로 구성해야하는 경우 아래의 '설정을 신뢰할 수있는 독립 DNS 서버로 변경'섹션에서 단계별 지침을 찾을 수 있습니다..

문제 # 2 : IPv6

일반적으로 IP 주소를 생각할 때 123.123.123.123과 같은 최대 3 자리 4 세트로 구성된 32 비트 코드를 생각합니다 (위 설명 참조). 이것은 현재 가장 일반적인 IP 주소 형식 인 IP 버전 4 (IPv4)입니다. 그러나 사용되지 않는 사용 가능한 IPv4 주소 풀이 매우 작아지고 IPv4가 IPv6으로 (매우 느리게) 대체되고 있습니다..

IPv6 주소는 2001 : 0db8 : 85a3 : 0000 : 0000 : 8a2e : 0370 : 7334와 같이 문자 또는 숫자 일 수있는 8 개의 4 문자 세트로 구성됩니다..

인터넷은 여전히 ​​IPv4와 IPv6 사이의 전환 단계에 있습니다. 이로 인해 특히 VPN에 많은 문제가 발생합니다. VPN이 명시 적으로 IPv6를 지원하지 않는 한 IPv6을 통해 전송되거나 이중 스택 터널을 사용하여 IPv4를 IPv6으로 변환하기 위해 (아래 Teredo 참조) 컴퓨터로의 요청은 VPN 터널을 완전히 우회하여 개인 데이터를 보호하지 않습니다. . 간단히 말해, IPv6은 VPN을 모르더라도 VPN을 중단시킬 수 있습니다.

대부분의 웹 사이트에는 IPv6 주소와 IPv4 주소가 모두 있지만 상당수는 여전히 IPv4 전용입니다. IPv6 전용 웹 사이트도 있습니다. DNS 요청이 IPv4 주소인지 IPv6 주소인지에 대한 여부는 일반적으로 ISP, 네트워크 장비 (예 : 무선 라우터) 및 액세스하려는 특정 웹 사이트에 따라 결정됩니다 (IPv6 구현이 여전히 불완전하지만 모든 사용자가 사용할 수있는 것은 아님) IPv6 전용 웹 사이트에 액세스). 대부분의 DNS 조회는 여전히 IPv4이지만 대부분의 사용자는 둘 다 수행 할 수있는 경우 IPv4 요청을하는지 또는 IPv6 요청을하는지 알지 못합니다..

2015 년 로마 사피엔 자 대학교 (Sapienza University of Rome)와 런던 여왕 메리 대학교 (Queen Mary University)의 연구원에 의한 연구에 따르면 14 개의 상업용 VPN 제공 업체를 조사한 결과 10 개 (비교적으로 높은 비율)가 IPv6 유출의 영향을받는 것으로 나타났습니다.

  • MyAss를 숨기기
  • IPVanish
  • 아스 트릴
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • 터널 베어
  • ProXPN
  • 핫스팟 쉴드 엘리트

IPv6 유출은 표준 DNS 유출과 완전히 동일하지는 않지만 개인 정보 보호에 거의 동일한 영향을 미칩니다. 모든 VPN 사용자가 알아야 할 문제.

수정 :

VPN 제공 업체가 이미 IPv6 트래픽을 완벽하게 지원하는 경우 이러한 종류의 유출은 문제가되지 않습니다. IPv6을 지원하지 않는 일부 VPN에는 대신 IPv6 트래픽을 차단하는 옵션이 있습니다. 이중 스택 터널은 여전히 ​​IPv6 블록을 우회 할 수 있으므로 IPv6 가능 VPN을 사용하는 것이 좋습니다. (아래 Teredo 참조) 안타깝게도 대부분의 VPN에는 IPv6에 대한 규정이 없으므로 항상 IPv6 트래픽이 유출됩니다. 상용 VPN을 사용하기 전에 IPv6을 제공했는지 여부를 알고 프로토콜을 완전히 지원하는 VPN 만 선택하십시오..

문제 # 3 : 투명한 DNS 프록시

일부 ISP는 사용자가 타사 서버를 사용하도록 설정을 변경하는 경우 자체 DNS 서버를 강제로 설정하는 정책을 채택했습니다. DNS 설정 변경이 감지되면 ISP는 투명 프록시 (웹 트래픽을 가로 채서 리디렉션하는 별도의 서버)를 사용하여 DNS 요청이 자체 DNS 서버로 전송되도록합니다. 이것은 사실상 ISP가 DNS 유출을 '강제'하고 사용자로부터 위장하려고합니다. 대부분의 DNS 누출 탐지 도구는 표준 누출과 동일한 방식으로 투명한 DNS 프록시를 탐지 할 수 있습니다..

수정 :

다행히도 최신 버전의 OpenVPN 프로토콜은 투명한 DNS 프록시와 싸우는 쉬운 방법이 있습니다. 먼저 연결하려는 서버의 .conf 또는 .ovpn 파일을 찾습니다 (이 파일은 로컬로 저장되며 일반적으로 C : \ Program Files \ OpenVPN \ config에 있습니다. 자세한 내용은 OpenVPN 설명서 참조). 메모장과 같은 텍스트 편집기에서 행을 추가하십시오.

  • 블록 외부 DN

이전 버전의 OpenVPN 사용자는 최신 OpenVPN 버전으로 업데이트해야합니다. VPN 제공 업체가이를 지원하지 않으면 새로운 VPN을 찾아야 할 때가 있습니다. OpenVPN 수정뿐만 아니라 더 나은 VPN 클라이언트는 투명 DNS 프록시와의 싸움을위한 자체 제공 기능이 내장되어 있습니다. 자세한 내용은 특정 VPN 지원을 참조하십시오.

문제 # 4 : Windows 8, 8.1 또는 10의 안전하지 않은 "기능"

8 이상의 Windows 운영 체제에는 웹 탐색 속도를 향상시키기위한 "스마트 멀티 홈 이름 확인"기능이 도입되었습니다. 사용 가능한 모든 DNS 서버에 모든 DNS 요청을 보냅니다. 원래 즐겨 찾기 (보통 ISP의 자체 서버 또는 사용자가 설정 한 서버)가 응답하지 않은 경우 비표준 DNS 서버의 응답 만 수락합니다. DNS 누출의 발생률이 크게 증가하기 때문에 VPN 사용자에게는 충분하지 않지만 Windows 10에서는 기본적으로이 기능이 가장 빠른 DNS 서버의 응답을 수락합니다. 이는 DNS 유출 문제가 동일 할뿐만 아니라 사용자를 DNS 스푸핑 공격에 취약하게 만듭니다..

수정 :

이는 Windows의 기본 제공 부분이며 변경이 거의 불가능하기 때문에 특히 Windows 10에서 해결하기 가장 어려운 DNS 누출 유형일 수 있습니다. OpenVPN 프로토콜을 사용하는 VPN 사용자의 경우 무료로 제공되는 오픈 소스 플러그인 (여기에서 사용 가능)이 가장 신뢰할 수있는 솔루션 일 수 있습니다..

Windows Home Edition을 사용하지 않는 한 Windows의 로컬 그룹 정책 편집기에서 스마트 멀티 홈 이름 확인을 수동으로 끌 수 있습니다. 이 경우 Microsoft는 단순히이 기능을 해제 할 수있는 옵션을 허용하지 않습니다. 이 방법으로 스위치를 끌 수 있더라도 Windows는 첫 번째 서버가 응답하지 않는 경우에도 사용 가능한 모든 서버로 요청을 보냅니다. 이 문제를 완전히 해결하려면 OpenVPN 플러그인을 사용하는 것이 좋습니다..

여기에서 US-CERT의 지침을 확인하는 것도 도움이 될 수 있습니다. 스마트 멀티 홈 이름 확인에는 이와 관련된 심각한 보안 문제가있어 정부 기관이 해당 주제에 대해 자체 경고를 발행했습니다..

문제 # 5 : 테레도

Teredo는 IPv4와 IPv6 간의 호환성을 향상시키는 Microsoft의 기술이며 Windows 운영 체제의 기본 제공 기능입니다. 일부는 IPv4와 IPv6을 문제없이 공존시켜 v4 연결에서 v6 주소를 보내고 받고 이해할 수 있도록하는 필수적인 전환 기술입니다. VPN 사용자에게는 더 중요한 보안 허점입니다. Teredo는 터널링 프로토콜이므로 VPN의 자체 암호화 터널보다 우선하여이를 우회하여 DNS 유출을 일으킬 수 있습니다..

수정 :

다행히 Teredo는 Windows 내에서 쉽게 비활성화 할 수있는 기능입니다. 명령 프롬프트를 열고 다음을 입력하십시오.

netsh 인터페이스 teredo 설정 상태 비활성화

특정 웹 사이트 나 서버에 연결하거나 토렌트 응용 프로그램을 사용할 때 약간의 문제가 발생할 수 있지만 Teredo를 비활성화하면 VPN 사용자에게 훨씬 안전한 선택입니다. 트래픽이 VPN 터널을 우회 할 수 없도록 라우터 또는 네트워크 어댑터 설정에서 Teredo 및 기타 IPv6 옵션을 끄는 것이 좋습니다..

향후 누출 방지

DNS VPN 유출 방지DNS 유출 테스트를 마친 후 유출이 발견되거나 수정되어 이제는 VPN 유출이 발생할 가능성을 최소화 할 차례입니다..

우선, 위의 모든 수정 사항이 사전에 수행되었는지 확인하십시오. Teredo 및 Smart Multi-Homed Name Resolution을 비활성화하고 VPN이 IPv6 트래픽을 지원하거나 차단하는지 확인하십시오..

1. 신뢰할 수있는 독립 DNS 서버로 설정 변경

라우터 또는 네트워크 어댑터에는 TCP / IP 설정을 변경하는 방법이 있어야합니다. 여기서 IP 주소로 특정 신뢰할 수있는 DNS 서버를 지정할 수 있습니다. 많은 VPN 제공 업체에는 자체 DNS 서버가 있으며 VPN을 사용하면 종종 자동으로이 서버에 연결됩니다. 자세한 내용은 VPN 지원 확인.

VPN에 독점 서버가없는 경우 널리 사용되는 대안은 Google Open DNS와 같은 공개 타사 DNS 서버를 사용하는 것입니다. Windows 10에서 DNS 설정을 변경하려면

  1. 제어판으로 이동
  2. "네트워크 및 인터넷"을 클릭하십시오
  3. "네트워크 및 공유 센터"를 클릭하십시오
  4. 왼쪽 패널에서 "어댑터 설정 변경"을 클릭하십시오..
  5. 네트워크 아이콘을 마우스 오른쪽 버튼으로 클릭하고 "속성"을 선택하십시오.
  6. 열린 창에서 "Internet Protocol Version 4"를 찾으십시오. 그것을 클릭하고 "속성"을 클릭하십시오
  7. "다음 DNS 서버 주소 사용"을 클릭하십시오

이제 DNS 서버의 기본 주소와 대체 주소를 입력 할 수 있습니다. 이 서버는 원하는 서버 일 수 있지만 Google Open DNS의 경우 기본 DNS 서버는 8.8.8.8이어야하고 대체 DNS 서버는 8.8.4.4 여야합니다. 그림 4 참조.

IPV 4

그림 4

라우터에서 DNS 설정을 변경할 수도 있습니다. 자세한 내용은 설명서 또는 특정 장치 지원을 참조하십시오.

2. 방화벽이나 VPN을 사용하여 VPN이 아닌 트래픽을 차단

일부 VPN 클라이언트에는 VPN을 통과하지 않는 트래픽을 자동으로 차단하는 기능이 포함되어 있습니다. 'IP 바인딩'옵션을 찾으십시오. 아직 VPN이없는 경우 여기에서 VPN을 가져 오는 것이 좋습니다..

또는 VPN을 통한 트래픽 만 허용하도록 방화벽을 구성 할 수 있습니다. Windows 방화벽 설정을 변경할 수도 있습니다.

  1. VPN에 이미 연결되어 있는지 확인하십시오.
  2. 네트워크 및 공유 센터를 열고 ISP 연결 ( "네트워크"로 표시)과 VPN (VPN 이름으로 표시)을 모두 볼 수 있는지 확인하십시오. “네트워크”는 홈 네트워크 여야하고 VPN은 공용 네트워크 여야합니다. 둘 중 하나가 다른 것으로 설정되어 있으면 클릭하여 열리는 창에서 해당 네트워크 유형으로 설정해야합니다..
  3. 컴퓨터에서 관리자로 로그인하고 Windows 방화벽 설정을 엽니 다 (이에 대한 정확한 단계는 실행중인 Windows 버전에 따라 다릅니다).
  4. "고급 설정"을 클릭하십시오 (그림 5 참조)..
  5. 왼쪽 패널에서 "인바운드 규칙"을 찾아 클릭하십시오..
  6. 오른쪽 패널의 Actions (작업) 아래에 "New Rule (새 규칙) ..."옵션이 표시됩니다. 이것을 클릭하십시오.
  7. 새 창에서“프로그램”을 선택하고 다음을 클릭하십시오.
  8. "모든 프로그램"을 선택하거나 VPN이 아닌 트래픽을 차단하려는 개별 프로그램을 선택하고 다음을 클릭하십시오..
  9. “연결 차단”을 선택하고 다음을 클릭하십시오.
  10. "도메인"및 "개인"을 선택하고 "공개"가 선택되어 있지 않은지 확인하십시오. 다음을 클릭하십시오.
  11. Windows 방화벽의 고급 설정 메뉴로 돌아와야합니다. "아웃 바운드 규칙"을 찾아 6-10 단계를 반복하십시오..

윈도우

그림 5

3. DNS 누출 테스트를 정기적으로 수행

지침은 위의 "VPN에 DNS 누출이 있는지 어떻게 알 수 있습니까?"섹션을 참조하십시오. 예방은 철저하지 않으며 모든 예방 조치가 여전히 잘 지켜지고 있는지 자주 확인하는 것이 중요합니다.

4. VPN“모니터링”소프트웨어 고려

이렇게하면 기존 VPN 구독에 추가 비용이 추가 될 수 있지만 VPN 트래픽을 실시간으로 모니터링하는 기능을 통해 DNS 확인이 잘못된 서버로 이동하는지 한눈에 확인할 수 있습니다. 일부 VPN 모니터링 제품은 DNS 누출을 수정하기위한 추가 자동화 도구도 제공합니다..

5. 필요한 경우 VPN을 변경하십시오

가능한 최대 개인 정보가 필요합니다. 이상적인 VPN에는 기본 제공 DNS 누출 방지, 완전한 IPv6 호환성, 최신 버전의 OpenVPN 또는 선택한 프로토콜 지원 및 투명한 DNS 프록시에 대응할 수있는 기능이 있습니다. 브라우징 데이터를 비공개로 유지하는 데 필요한 모든 것을 제공하는 VPN을 찾으려면 bestvpn.com의 심도있는 비교 및 ​​검토를 시도하십시오..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me