DNSリーク(原因と修正)

DNSリークとはブラウザは、ドメインネームシステム(DNS)を使用して、インターネットIPアドレス(数字)とウェブサイトドメイン名(単語)の間のギャップを埋めます.

Web名が入力されると、ドメイン名が関連付けられたIPアドレスと照合されるDNSサーバーに最初に送信され、要求が正しいコンピューターに転送されるようになります。.

これは プライバシーの大きな問題 すべての標準インターネットトラフィックは、送信者と宛先の両方が記録されているDNSサーバーを通過する必要があるため.

そのDNSサーバーは通常、ユーザーのISPに属し、国内法の管轄下にあります。たとえば、英国では、ISPが保有する情報は、必要に応じて法執行機関に渡す必要があります。同様のことが米国でも起こりますが、ISPがマーケティング会社にデータを販売するオプションが追加されています.

ユーザーのローカルコンピューターとリモートウェブサイト間の通信内容はSSL / TLSで暗号化できますが(URLに「https」として表示されます)、送信者と受信者のアドレスは暗号化できません。その結果、訪問したすべての宛先は、DNSログへの合法(または犯罪)アクセスを持っている人に知られることになります。つまり、通常の状況では、ユーザーはインターネット上の場所に関してプライバシーを持ちません。.

VPNは、ユーザーのコンピューターと目的のWebサイトの間にギャップを作ることにより、この問題を解決するように設計されています。しかし、常に完全に機能するとは限りません。一連の問題は、特定の状況ではDNSデータがISPに漏洩し、したがって政府およびマーケティング会社の範囲内に漏洩する可能性があることを意味します.

問題はDNSリークとして知られています。 DNSリークに関するこの議論の目的のために、私たちは主にあなたのVPNが最も一般的なVPNプロトコルであるOpenVPNを使用していると仮定します。.

DNSリークとは?

VPNは、コンピューターとVPNサーバーの間に暗号化された接続(通常「トンネル」と呼ばれる)を確立します。そして、VPNサーバーは要求を必要なWebサイトに送信します。 VPNが正常に機能していれば、ISPに表示されるのは、VPNに接続していることだけです。VPNがどこに接続しているかはわかりません。インターネットスヌーパー(政府または犯罪者)は暗号化されているため、コンテンツを見ることができません.

意図しないことが発生すると、DNSリークが発生し、VPNサーバーはバイパスまたは無視されます。この場合、DNSサーバーオペレーター(多くの場合ISP)は、インターネット上でどこに行くのかを確認します。.

これは、VPNを使用する目的に反するため、悪いニュースです。 Webトラフィックのコンテンツは(VPNの暗号化により)隠されていますが、匿名性の最も重要な部分である位置情報と閲覧データは保護されず、ISPによって記録される可能性が高いです.

VPNにDNSリークがあるかどうかを確認する方法?

DNSリークの検出には良いニュースと悪いニュースがあります。良いニュースは、VPNがDNS要求をリークしているかどうかを確認することは、迅速、簡単、簡単です。悪いニュースは、チェックしなければ、手遅れになるまで漏れについて知ることはまずないということです.

VPNにDNSまたは他の形式のデータリークがあるかどうかをテストする多くのブラウザー内ツールがあります。たとえば、AirVPN(レビュー)やVPN.acなどのVPNプロバイダーによって作成されたものがあります。どうすればよいかわからない場合は、VPNが動作していると信じている間にipleak.netにアクセスするだけです。このサイトは、DNSリークを自動的にチェックします(そして、付随的に、より多くの情報も提供します).

  1. 入る ipleak.net ブラウザのアドレスバーに.
  2. Webページが読み込まれると、テストが自動的に開始され、IPアドレスが表示されます.
  3. 表示されるアドレスがIPアドレスであり、現在地が表示され、VPNを使用している場合、これはDNSリークがあることを意味します。 VPNのIPアドレスが表示されている場合、正常に機能しています.

可能であれば、複数のオンラインチェッカーでテストすることをお勧めします.

図1は、不適切に構成されたVPNで使用されるipleak.netを示しています。正しいIPアドレスを返します。これはDNSリークです.

あなたのIPアドレス#2

図1

図2は、ベルギーのサーバーを使用するように構成されたExpressVPNで使用されるipleakを示しています(ExpressVPNでは、さまざまな国から選択できます)。明らかなDNSリークはありません.

あなたのIPアドレス

図2

ほとんどのユーザーにとって、他のサイトの閲覧を続ける前にこのチェックを実行するだけで十分です。一部のユーザーにとって、これは完璧なソリューションではありません。チェッカーツールにアクセスするには、インターネットに接続してDNSリクエストを送信する必要があるためです。.

これらのWebサイトのいずれかを使用せずにDNSおよびその他のリークをテストすることは可能ですが、独自のIPアドレスとWindowsコマンドプロンプトの使用方法を知る必要があります。また、直接「ping」するために信頼できるテストサーバーが必要です。 ;これは、あなたが知っていて信頼しているプラ​​イベートサーバー、または次のパブリックテストサーバーのいずれかです。

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

これを行うには、コマンドプロンプトを開き([スタート]メニューに移動し、「cmd」と入力してEnterキーを押します)、次のテキストを入力します。

  • ping [サーバー名] -n 1

[サーバー名]を選択したテストサーバーのアドレス(「ping whoami.akamai.net -n 1」など)に置き換えて、Enterキーを押します。結果のテキストで見つかったIPアドレスのいずれかが個人またはローカルIPと一致する場合、DNSリークが存在することを示しています。 VPNのIPアドレスのみを表示する必要があります.

図3は、ExpressVPNを実行した結果を示しています。図2に示すように、返されるIPアドレスはベルギーのIPのみであることに注意してください。明らかなDNSリークはありません。.

フリードーム

図3

VPNにDNSリークがあることがわかった場合は、原因を見つけて問題を修正できるまで、ブラウジングを停止します。 DNSリークの最も可能性の高い原因のいくつかとその解決策を以下にリストします.

DNSリークの問題と解決策

問題#1:ネットワークの不適切な構成

DNSリークの問題と修正

これは、異なるネットワークを介してインターネットに接続するユーザーのDNSリークの最も一般的な原因の1つです。たとえば、ホームルーター、コーヒーショップのWiFi、パブリックホットスポットを頻繁に切り替えるユーザー。 VPNの暗号化されたトンネルに接続する前に、デバイスは最初にローカルネットワークに接続する必要があります.

適切な設定を行わないと、データ漏えいにさらされる可能性があります。新しいネットワークに接続するとき、DHCP設定(ネットワーク内のマシンのIPアドレスを決定するプロトコル)は、ルックアップ要求を処理するDNSサーバーを自動的に割り当てることができます-ISPに属しているか、正しくない可能性があります安全です。このネットワーク上のVPNに接続しても、DNS要求は暗号化されたトンネルをバイパスし、DNSリークを引き起こします.

修正:

ほとんどの場合、VPNが提供または優先するDNSサーバーを使用するようにコンピューターでVPNを構成すると、DNS要求がローカルネットワークから直接ではなくVPNを経由するようになります。ただし、すべてのVPNプロバイダーが独自のDNSサーバーを持っているわけではありません。その場合、OpenDNSやGoogle Public DNSなどの独立したDNSサーバーを使用すると、DNS要求がクライアントマシンから直接ではなくVPNを通過できるようになります。残念ながら、この方法で設定を変更するには、特定のVPNプロバイダーと使用しているプロトコルに大きく依存します。どのローカルネットワークに接続しても、正しいDNSサーバーに自動的に接続するように設定できる場合があります。または、毎回手動で優先サーバーに接続する必要がある場合があります。具体的な手順については、VPNクライアントのサポートを確認してください.

選択した独立したDNSサーバーを使用するようにコンピューターを手動で構成する必要がある場合は、以下の「信頼できる独立したDNSサーバーに設定を変更する」セクションの詳細な手順を参照してください。.

問題#2:IPv6

通常、IPアドレスについて考えるとき、123.123.123.123(上記)のように、最大​​3桁の4セットで構成される32ビットコードを考えます。これは現在IPアドレスの最も一般的な形式であるIPバージョン4(IPv4)です。ただし、使用可能な未使用のIPv4アドレスのプールは非常に小さくなり、IPv4は(非常にゆっくりと)IPv6に置き換えられています.

IPv6アドレスは、2001:0db8:85a3:0000:0000:8a2e:0370:7334のように、文字または数字の4文字の8セットで構成されます.

インターネットはまだIPv4とIPv6の間の移行段階にあります。これにより、特にVPNで多くの問題が発生します。 VPNが明示的にIPv6をサポートしていない限り、IPv6経由で送信された、またはIPv4をIPv6に変換するためにデュアルスタックトンネルを使用して送信されたマシンへの要求(以下のTeredoを参照)は、VPNトンネルを完全にバイパスし、個人データは保護されません。つまり、IPv6は気付かないうちにVPNを混乱させる可能性があります.

ほとんどのWebサイトにはIPv6アドレスとIPv4アドレスの両方がありますが、かなりの数がまだIPv4のみです。また、IPv6専用のWebサイトもいくつかあります。 DNSリクエストがIPv4またはIPv6アドレスに対するものであるかどうかは、通常、ISP、ネットワーク機器(ワイヤレスルーターなど)、およびアクセスしようとしている特定のWebサイトに依存します(IPv6の実装はまだ不完全で、すべてのユーザーができるわけではありません) IPv6のみのWebサイトにアクセスするには)。 DNSルックアップの大部分は引き続きIPv4ですが、ほとんどのユーザーは、両方を行うことができる場合、IPv4またはIPv6リクエストを行っているかどうかを知りません。.

2015年にローマのサピエンツァ大学とロンドンのクイーンメアリー大学の研究者が行った調査では、14の商用VPNプロバイダーを調査し、それらの10(非常に高い割合)がIPv6リークの対象であることがわかりました。.

  • HideMyAss
  • IPVanish
  • アスリル
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • トンネルベア
  • ProXPN
  • ホットスポットシールドエリート

IPv6の漏洩は、標準のDNSの漏洩と厳密には同じではありませんが、プライバシーにはほとんど同じ影響があります。これは、VPNユーザーが知っておくべき問題です.

修正:

VPNプロバイダーがIPv6トラフィックを既に完全にサポートしている場合、この種のリークは問題になりません。 IPv6サポートのない一部のVPNには、代わりにIPv6トラフィックをブロックするオプションがあります。デュアルスタックトンネルは、おそらくIPv6ブロックをバイパスする可能性があるため、いずれの場合もIPv6対応のVPNに移行することをお勧めします。 (以下のTeredoを参照してください。)残念ながら、VPNの大部分はIPv6に対応していないため、常にIPv6トラフィックが漏洩します。商用VPNを使用する前に、IPv6のプロビジョニングを行っているかどうかを確認し、プロトコルを完全にサポートしているもののみを選択してください。.

問題#3:透過的なDNSプロキシ

一部のISPは、ユーザーがサードパーティのサーバーを使用するように設定を変更した場合、自分のDNSサーバーを強制的に表示するポリシーを採用しています。 DNS設定の変更が検出された場合、ISPは透過プロキシ(Webトラフィックをインターセプトおよびリダイレクトする別のサーバー)を使用して、DNS要求が独自のDNSサーバーに送信されるようにします。これは事実上、ISPがDNSリークを「強制」し、ユーザーからそれを偽装しようとすることです。ほとんどのDNSリーク検出ツールは、標準のリークと同じ方法で透過的なDNSプロキシを検出できます。.

修正:

幸いなことに、OpenVPNプロトコルの最近のバージョンには、透過的なDNSプロキシと戦う簡単な方法があります。まず、接続するサーバーの.confまたは.ovpnファイルを見つけます(これらはローカルに保存され、通常はC:\ Program Files \ OpenVPN \ configにあります。詳細については、OpenVPNのマニュアルを参照してください)。メモ帳などのテキストエディターで次の行を追加します。

  • block-outside-dns

OpenVPNの古いバージョンのユーザーは、最新のOpenVPNバージョンに更新する必要があります。 VPNプロバイダーがこれをサポートしていない場合は、新しいVPNを探すときが来るかもしれません。 OpenVPNの修正と同様に、より優れたVPNクライアントの多くは、透過的なDNSプロキシと戦うための独自のプロビジョニングを組み込みます。詳細については、特定のVPNのサポートを参照してください.

問題#4:Windows 8、8.1、または10の安全でない「機能」

8以降のWindowsオペレーティングシステムでは、Webブラウジングの速度を向上させることを目的とした「Smart Multi-Homed Name Resolution」機能が導入されています。これにより、すべてのDNS要求が利用可能なすべてのDNSサーバーに送信されます。元々、これは、お気に入り(通常はISP自身のサーバーまたはユーザーが設定したサーバー)が応答しなかった場合にのみ、非標準DNSサーバーからの応答を受け入れます。 DNSリークの発生率が大幅に増加するため、これはVPNユーザーにとっては十分ではありませんが、Windows 10では、この機能はデフォルトで、応答が最も速いDNSサーバーからの応答を受け入れます。これにはDNSリークの同じ問題があるだけでなく、ユーザーをDNSスプーフィング攻撃に対して脆弱にします。.

修正:

これはおそらく、Windows 10に組み込まれている部分であり、変更することはほとんど不可能であるため、特にWindows 10で修正するのが最も難しい種類のDNSリークです。 OpenVPNプロトコルを使用するVPNユーザーの場合、自由に利用できるオープンソースプラグイン(こちらから入手可能)は、おそらく最も信頼性の高いソリューションです。.

Smart Multi-Homed Name Resolutionは、WindowsのHome Editionを使用していない限り、Windowsのローカルグループポリシーエディターで手動でオフにできます。この場合、Microsoftは単にこの機能をオフにするオプションを許可しません。この方法でオフにできる場合でも、最初のサーバーが応答しなかった場合、Windowsは引き続き使用可能なすべてのサーバーに要求を送信します。 OpenVPNプラグインを使用してこの問題に完全に対処することを強くお勧めします.

また、ここでUS-CERTのガイドラインを確認することも役立ちます。 Smart Multi-Homed Name Resolutionには重大なセキュリティ上の問題が関連しているため、政府機関はこの問題について独自のアラートを発行しました.

問題#5:Teredo

Teredoは、IPv4とIPv6の互換性を向上させるマイクロソフトのテクノロジーであり、Windowsオペレーティングシステムの組み込み機能です。一部の人にとっては、IPv4とIPv6を問題なく共存させ、v4接続でv6アドレスを送信、受信、理解できるようにする重要な移行技術です。 VPNユーザーにとっては、より重要なのは、明白なセキュリティホールです。 Teredoはトンネリングプロトコルであるため、VPN自体の暗号化されたトンネルよりも優先されることが多く、それをバイパスしてDNSリークを引き起こします。.

修正:

幸いなことに、TeredoはWindows内から簡単に無効にできる機能です。コマンドプロンプトを開き、次を入力します。

netshインターフェイスteredoセット状態が無効

特定のWebサイトまたはサーバーに接続するとき、またはトレントアプリケーションを使用するときに問題が発生する可能性がありますが、VPNユーザーにとってTeredoを無効にする方がはるかに安全です。また、ルーターまたはネットワークアダプターの設定でTeredoおよびその他のIPv6オプションをオフにして、トラフィックがVPNのトンネルをバイパスできないようにすることをお勧めします.

将来の漏洩を防ぐ

DNS VPNリークの防止DNSリークのテストが完了し、クリーンになるか、リークを発見して修復したので、VPNが将来リークを引き起こす可能性を最小限にすることを検討します.

まず、上記のすべての修正が事前に実行されていることを確認してください。 TeredoおよびSmart Multi-Homed Name Resolutionを無効にし、VPNがIPv6トラフィックなどをサポートまたはブロックしていることを確認します.

1.設定を信頼できる独立したDNSサーバーに変更します

ルーターまたはネットワークアダプターには、TCP / IP設定を変更する方法が必要です。ここでは、特定の信頼できるDNSサーバーをIPアドレスで指定できます。多くのVPNプロバイダーには独自のDNSサーバーがあり、VPNを使用すると多くの場合自動的にこれらに接続されます。詳細については、VPNのサポートを確認してください.

VPNに独自のサーバーがない場合、一般的な代替手段は、Google Open DNSなどのオープンなサードパーティDNSサーバーを使用することです。 Windows 10でDNS設定を変更するには:

  1. コントロールパネルに移動します
  2. 「ネットワークとインターネット」をクリックします
  3. 「ネットワークと共有センター」をクリックします
  4. 左側のパネルの「アダプター設定の変更」をクリックします.
  5. ネットワークのアイコンを右クリックし、「プロパティ」を選択します
  6. 開いたウィンドウで「インターネットプロトコルバージョン4」を見つけます。それをクリックし、「プロパティ」をクリックします
  7. [次のDNSサーバーアドレスを使用する]をクリックします

DNSサーバーの優先アドレスと代替アドレスを入力できるようになりました。これには任意のサーバーを使用できますが、Google Open DNSの場合、優先DNSサーバーは8.8.8.8、代替DNSサーバーは8.8.4.4である必要があります。図4を参照.

IPV 4

図4

ルーターのDNS設定を変更することもできます。詳細については、特定のデバイスのマニュアルまたはサポートを参照してください.

2.ファイアウォールまたはVPNを使用して、非VPNトラフィックをブロックします

一部のVPNクライアントには、VPNを通過しないトラフィックを自動的にブロックする機能が含まれます。「IPバインディング」オプションを探してください。 VPNをまだお持ちでない場合は、こちらから入手することを検討してください.

または、VPN経由のトラフィックのみを許可するようにファイアウォールを設定できます。 Windowsファイアウォールの設定を変更することもできます。

  1. すでにVPNに接続していることを確認してください.
  2. ネットワークと共有センターを開き、ISP接続(「ネットワーク」として表示される)とVPN(VPNの名前として表示される)の両方が見えることを確認します。 「ネットワーク」はホームネットワークである必要がありますが、VPNはパブリックネットワークである必要があります。いずれかが別のものに設定されている場合は、それらをクリックして、表示されるウィンドウで適切なネットワークタイプに設定する必要があります.
  3. コンピューターに管理者としてログインしていることを確認し、Windowsファイアウォールの設定を開きます(このための正確な手順は、実行しているWindowsのバージョンによって異なります).
  4. [詳細設定]をクリックします(図5を参照).
  5. 左側のパネルで[受信の規則]を見つけてクリックします.
  6. 右側のパネルの[アクション]の下に、[新しいルール…]のオプションが表示されます。これをクリック.
  7. 新しいウィンドウで「プログラム」を選択し、「次へ」をクリックします.
  8. [すべてのプログラム]を選択(または非VPNトラフィックをブロックする個々のプログラムを選択)して[次へ]をクリックします.
  9. 「接続をブロックする」を選択し、「次へ」をクリックします.
  10. 「ドメイン」と「プライベート」にチェックマークを付けますが、「パブリック」にチェックマークが付いていないことを確認します。次へをクリックします.
  11. Windowsファイアウォールの[詳細設定]メニューに戻ります。 「アウトバウンドルール」を見つけて、手順6〜10を繰り返します。.

ウィンドウズ

図5

3. DNSリークテストを定期的に実行する

手順については、上記の「VPNにDNSリークがあるかどうかを確認する方法」セクションを参照してください。予防策は厳格ではありません。また、予防措置がすべて順守されていることを頻繁に確認することが重要です.

4. VPN「監視」ソフトウェアを検討する

これにより、既存のVPNサブスクリプションに追加費用が追加される可能性がありますが、VPNのトラフィックをリアルタイムで監視する機能により、DNSチェックが間違ったサーバーに送られるかどうかを一目で確認できます。一部のVPN監視製品は、DNSリークを修正するための追加の自動化ツールも提供しています.

5.必要に応じてVPNを変更します

最大限のプライバシーが必要です。理想的なVPNには、組み込みDNSリーク保護、完全なIPv6互換性、OpenVPNの最新バージョンまたは選択したプロトコルのサポートがあり、透過DNSプロキシに対抗する機能を備えています。 thebestvpn.comの詳細な比較とレビューを試して、閲覧データを非公開に保つために必要なすべてを提供するVPNを見つけてください.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me