Kebocoran DNS (Penyebab & Perbaikan)

Apa itu Kebocoran DNSBrowser menggunakan Sistem Nama Domain (DNS) untuk menjembatani kesenjangan antara alamat IP internet (angka) dan nama domain situs web (kata-kata).


Ketika nama web dimasukkan, itu dikirim terlebih dahulu ke server DNS di mana nama domain dicocokkan dengan alamat IP yang terkait sehingga permintaan dapat diteruskan ke komputer yang benar.

Ini adalah sebuah masalah besar untuk privasi karena semua lalu lintas internet standar harus melewati server DNS tempat pengirim dan tujuan dicatat.

Server DNS itu biasanya milik ISP pengguna, dan berada di bawah yurisdiksi hukum nasional. Misalnya, di Inggris, informasi yang dipegang oleh ISP harus diserahkan kepada penegak hukum berdasarkan permintaan. Hal serupa terjadi di AS, tetapi dengan opsi tambahan bagi ISP untuk menjual data ke perusahaan pemasaran.

Sementara konten komunikasi antara komputer lokal pengguna dan situs web jarak jauh dapat dienkripsi dengan SSL / TLS (ditampilkan sebagai 'https' di URL), alamat pengirim dan penerima tidak dapat dienkripsi. Akibatnya, setiap tujuan yang dikunjungi akan diketahui siapa pun yang memiliki akses legal (atau kriminal) ke log DNS - yaitu, dalam keadaan normal, pengguna tidak memiliki privasi tentang ke mana ia pergi di internet.

VPN dirancang untuk mengatasi masalah ini dengan menciptakan celah antara komputer pengguna dan situs web tujuan. Tetapi mereka tidak selalu bekerja dengan sempurna. Serangkaian masalah berarti bahwa dalam keadaan tertentu data DNS dapat bocor kembali ke ISP dan oleh karena itu menjadi urusan pemerintah dan perusahaan pemasaran.

Masalahnya dikenal sebagai kebocoran DNS. Untuk keperluan diskusi tentang kebocoran DNS ini, kami akan menganggap bahwa VPN Anda menggunakan protokol VPN yang paling umum, OpenVPN.

Apa itu kebocoran DNS?

VPN membuat koneksi terenkripsi (biasanya disebut 'terowongan') antara komputer Anda dan server VPN; dan server VPN mengirimkan permintaan Anda ke situs web yang diperlukan. Asalkan VPN berfungsi dengan benar, semua ISP Anda akan melihat bahwa Anda terhubung ke VPN - VPN tidak dapat melihat di mana VPN menghubungkan Anda. Pengamat Internet (pemerintah atau kriminal) tidak dapat melihat konten apa pun karena dienkripsi.

Kebocoran DNS terjadi ketika sesuatu yang tidak diinginkan terjadi, dan server VPN dilewati atau diabaikan. Dalam hal ini, operator server DNS (seringkali ISP Anda) akan melihat ke mana Anda pergi di internet sementara Anda yakin dia tidak bisa.

Ini adalah berita buruk, karena mengalahkan tujuan menggunakan VPN. Konten lalu lintas web Anda masih disembunyikan (oleh enkripsi VPN), tetapi bagian terpenting untuk anonimitas - lokasi dan data penjelajahan Anda - dibiarkan tidak terlindungi dan kemungkinan besar dicatat oleh ISP Anda.

Bagaimana cara mengetahui apakah VPN saya memiliki kebocoran DNS?

Ada kabar baik dan kabar buruk untuk mendeteksi kebocoran DNS. Berita baiknya adalah memeriksa apakah VPN Anda bocor, permintaan DNS Anda cepat, mudah, dan sederhana; berita buruknya adalah bahwa tanpa memeriksa, Anda tidak akan pernah tahu tentang kebocoran sampai terlambat.

Ada banyak alat dalam peramban untuk menguji apakah VPN Anda memiliki DNS atau bentuk kebocoran data lainnya, termasuk beberapa yang dibuat oleh penyedia VPN seperti AirVPN (tinjauan) atau VPN.ac. Jika Anda tidak yakin apa yang harus dilakukan, Anda bisa pergi ke ipleak.net sembari meyakini VPN Anda berfungsi. Situs ini akan secara otomatis memeriksa kebocoran DNS (dan, kebetulan, memberikan lebih banyak informasi juga).

  1. Memasukkan ipleak.net ke bilah alamat browser Anda.
  2. Setelah halaman web dimuat, tes dimulai secara otomatis dan Anda akan ditunjukkan alamat IP.
  3. Jika alamat yang Anda lihat adalah alamat IP Anda dan menunjukkan lokasi Anda, dan Anda menggunakan VPN, ini berarti Anda mengalami kebocoran DNS. Jika alamat IP VPN Anda ditampilkan, maka itu berfungsi normal.

Jika memungkinkan, merupakan ide bagus untuk menguji dengan beberapa checker online.

Gambar 1 menunjukkan ipleak.net yang digunakan dengan VPN yang dikonfigurasi dengan buruk. Ini mengembalikan alamat IP yang benar. Ini adalah kebocoran DNS.

Alamat IP Anda # 2

Gambar 1

Gambar 2 menunjukkan ipleak yang digunakan dengan ExpressVPN yang dikonfigurasi untuk menggunakan server Belgia (ExpressVPN memungkinkan Anda memilih dari berbagai negara). Jelas tidak ada kebocoran DNS.

Alamat IP Anda

Gambar 2

Untuk sebagian besar pengguna, melakukan pemeriksaan ini sebelum melanjutkan menjelajah situs lain sudah cukup. Untuk beberapa pengguna, ini tidak akan menjadi solusi yang sempurna, karena mengharuskan Anda untuk terhubung ke internet dan mengirim permintaan DNS untuk mengakses alat pemeriksa.

Dimungkinkan untuk menguji DNS dan kebocoran lainnya tanpa menggunakan salah satu situs web ini, meskipun mengharuskan Anda untuk mengetahui alamat IP Anda sendiri dan cara menggunakan command prompt Windows, Ini juga memerlukan server uji tepercaya bagi Anda untuk 'melakukan ping' secara langsung ; ini bisa menjadi server pribadi yang Anda kenal dan percayai, atau salah satu dari server uji publik berikut:

  • whoami.akamai.net
  • resolver.dnscrypt.org
  • whoami.fluffcomputing.com
  • whoami.ultradns.net

Untuk melakukan ini, buka prompt perintah (buka menu mulai, ketik "cmd" dan tekan Enter), lalu masukkan teks berikut:

  • ping [nama server] -n 1

Ganti [nama server] dengan alamat server uji yang Anda pilih (misalnya "ping whoami.akamai.net -n 1"), dan tekan Enter. Jika ada alamat IP yang ditemukan dalam teks yang dihasilkan cocok dengan IP pribadi atau lokal Anda, itu merupakan indikator bahwa kebocoran DNS ada; hanya alamat IP VPN Anda yang akan ditampilkan.

Gambar 3 menunjukkan hasil dengan menjalankan ExpressVPN. Perhatikan bahwa satu-satunya alamat IP yang dikembalikan adalah IP Belgia seperti yang ditunjukkan pada Gambar 2. Tidak ada kebocoran DNS yang jelas.

KEBEBASAN

Gambar 3

Jika Anda menemukan bahwa VPN Anda memiliki kebocoran DNS, saatnya berhenti menjelajah hingga Anda dapat menemukan penyebabnya dan memperbaiki masalahnya. Beberapa kemungkinan penyebab kebocoran DNS dan solusinya tercantum di bawah ini.

Masalah dan Solusi Kebocoran DNS

Masalah # 1: Jaringan yang tidak dikonfigurasi dengan benar

DNS Kebocoran masalah dan perbaikan

Ini adalah salah satu penyebab paling umum kebocoran DNS bagi pengguna yang terhubung ke internet melalui jaringan yang berbeda; misalnya, seseorang yang sering berganti router di rumah, WiFi di kedai kopi, dan hotspot umum. Sebelum Anda terhubung ke terowongan terenkripsi VPN Anda, perangkat Anda harus terlebih dahulu terhubung ke jaringan lokal.

Tanpa pengaturan yang tepat di tempat Anda dapat membiarkan diri Anda terbuka untuk kebocoran data. Saat menyambung ke jaringan baru, pengaturan DHCP (protokol yang menentukan alamat IP mesin Anda dalam jaringan) dapat secara otomatis menetapkan server DNS untuk menangani permintaan pencarian Anda - yang mungkin milik ISP, atau yang mungkin tidak benar. diamankan. Bahkan jika Anda terhubung ke VPN di jaringan ini, permintaan DNS Anda akan melewati terowongan terenkripsi, menyebabkan kebocoran DNS.

Cara mengatasinya:

Dalam kebanyakan kasus, mengonfigurasi VPN Anda di komputer untuk menggunakan server DNS yang disediakan atau disukai oleh VPN Anda akan memaksa permintaan DNS untuk melalui VPN daripada langsung dari jaringan lokal. Tidak semua penyedia VPN memiliki server DNS sendiri, dalam hal ini menggunakan server DNS independen seperti OpenDNS atau Google Public DNS harus memungkinkan permintaan DNS untuk melalui VPN daripada langsung dari mesin klien Anda. Sayangnya, mengubah konfigurasi dengan cara ini sangat tergantung pada penyedia VPN spesifik Anda dan protokol mana yang Anda gunakan - Anda mungkin dapat mengaturnya untuk terhubung secara otomatis ke server DNS yang benar tidak peduli jaringan lokal mana yang Anda hubungkan; atau Anda mungkin harus terhubung secara manual ke server pilihan Anda setiap kali. Periksa dukungan untuk klien VPN Anda untuk instruksi spesifik.

Jika Anda harus mengkonfigurasi komputer secara manual untuk menggunakan server DNS independen yang dipilih, Anda dapat menemukan petunjuk langkah demi langkah di bagian ‘Ubah pengaturan Anda ke server DNS independen yang tepercaya’ di bawah ini.

Masalah # 2: IPv6

Biasanya, ketika Anda memikirkan alamat IP, Anda memikirkan kode 32-bit yang terdiri dari 4 set hingga 3 digit, seperti 123.123.123.123 (seperti dijelaskan di atas). Ini adalah IP versi 4 (IPv4), saat ini bentuk paling umum dari alamat IP. Namun, kumpulan alamat IPv4 yang tidak terpakai yang tersedia menjadi sangat kecil, dan IPv4 sedang diganti (sangat lambat) oleh IPv6.

Alamat IPv6 terdiri dari 8 set 4 karakter, yang dapat berupa huruf atau angka, seperti 2001: 0db8: 85a3: 0000: 0000: 8a2e: 0370: 7334.

Internet masih dalam fase transisi antara IPv4 dan IPv6. Ini menciptakan banyak masalah, terutama untuk VPN. Kecuali jika VPN secara eksplisit memiliki dukungan IPv6, segala permintaan ke atau dari mesin Anda dikirim melalui IPv6 - atau dikirim menggunakan terowongan dual-stack untuk mengonversi IPv4 ke IPv6 (lihat Teredo di bawah) - akan sepenuhnya memotong terowongan VPN, sehingga data pribadi Anda tidak terlindungi. . Singkatnya, IPv6 dapat mengganggu VPN Anda tanpa Anda menyadarinya.

Sebagian besar situs web memiliki alamat IPv6 dan alamat IPv4, meskipun sejumlah besar masih hanya IPv4. Ada juga beberapa situs web yang hanya IPv6. Apakah permintaan DNS Anda untuk alamat IPv4 atau IPv6 biasanya akan bergantung pada ISP Anda, peralatan jaringan Anda (seperti router nirkabel) dan situs web spesifik yang Anda coba akses (dengan implementasi IPv6 masih belum lengkap, tidak semua pengguna akan dapat untuk mengakses situs web khusus IPv6). Mayoritas pencarian DNS masih berupa IPv4, tetapi sebagian besar pengguna tidak mengetahui apakah mereka membuat permintaan IPv4 atau IPv6 jika mereka dapat melakukan keduanya.

Sebuah studi oleh para peneliti dari Sapienza University of Rome dan Queen Mary University of London pada tahun 2015 memeriksa 14 penyedia VPN komersial, dan menemukan bahwa 10 dari mereka - proporsi yang sangat tinggi - mengalami kebocoran IPv6.

  • HideMyAss
  • IPVanish
  • Astaga
  • ExpressVPN
  • StrongVPN
  • PureVPN
  • AirVPN
  • Tunnelbear
  • ProXPN
  • Hotspot Shield Elite

Meskipun kebocoran IPv6 tidak sepenuhnya sama dengan kebocoran DNS standar, ia memiliki banyak dampak yang sama pada privasi. Ini adalah masalah yang harus diperhatikan oleh pengguna VPN.

Cara mengatasinya:

Jika penyedia VPN Anda sudah memiliki dukungan penuh untuk lalu lintas IPv6, maka kebocoran semacam ini seharusnya tidak menjadi masalah bagi Anda. Beberapa VPN tanpa dukungan IPv6 akan memiliki opsi untuk memblokir lalu lintas IPv6. Sebaiknya gunakan VPN berkemampuan IPv6 dalam hal apa pun, karena terowongan dual-stack masih dapat melewati blok IPv6. (Lihat Teredo di bawah.) Sayangnya, sebagian besar VPN tidak akan membuat ketentuan untuk IPv6 dan karenanya akan selalu membocorkan lalu lintas IPv6. Pastikan Anda tahu sebelum menggunakan VPN komersial apakah mereka telah membuat ketentuan untuk IPv6, dan hanya memilih satu yang memiliki dukungan penuh untuk protokol.

Masalah # 3: Proxy DNS Transparan

Beberapa ISP telah mengadopsi kebijakan memaksa server DNS mereka sendiri ke dalam gambar jika pengguna mengubah pengaturan mereka untuk menggunakan server pihak ketiga. Jika perubahan pada pengaturan DNS terdeteksi, ISP akan menggunakan proxy transparan - server terpisah yang memotong dan mengalihkan lalu lintas web - untuk memastikan permintaan DNS Anda dikirim ke server DNS mereka sendiri. Ini secara efektif ISP 'memaksa' kebocoran DNS dan mencoba menyamarkannya dari pengguna. Sebagian besar alat deteksi kebocoran DNS akan dapat mendeteksi proksi DNS transparan dengan cara yang sama seperti kebocoran standar.

Cara mengatasinya:

Untungnya, versi terbaru dari protokol OpenVPN memiliki metode yang mudah untuk memerangi proksi DNS transparan. Pertama, cari file .conf atau .ovpn untuk server yang ingin Anda hubungkan (ini disimpan secara lokal dan biasanya akan berada di C: \ Program Files \ OpenVPN \ config; lihat manual OpenVPN untuk lebih jelasnya), buka di editor teks seperti notepad dan tambahkan baris:

  • block-outside-dns

Pengguna OpenVPN versi lama harus memperbarui ke versi OpenVPN terbaru. Jika penyedia VPN Anda tidak mendukung ini, mungkin sudah saatnya untuk mencari VPN yang lebih baru. Selain perbaikan OpenVPN, banyak klien VPN yang dibuat lebih baik akan memiliki ketentuan sendiri untuk memerangi proksi DNS transparan. Lihat dukungan VPN spesifik Anda untuk perincian lebih lanjut.

Masalah # 4: “fitur” tidak aman Windows 8, 8.1 atau 10

Sistem operasi Windows mulai dari 8 dan seterusnya telah memperkenalkan fitur "Smart Multi-Homed Name Resolution", yang dimaksudkan untuk meningkatkan kecepatan penelusuran web. Ini mengirimkan semua permintaan DNS ke semua server DNS yang tersedia. Awalnya, ini hanya akan menerima tanggapan dari server DNS non-standar jika favorit (biasanya server ISP sendiri atau yang ditetapkan oleh pengguna) gagal merespons. Ini cukup buruk bagi pengguna VPN karena sangat meningkatkan insiden kebocoran DNS, tetapi pada Windows 10 fitur ini, secara default, akan menerima respons dari server DNS mana pun yang paling cepat merespons. Ini tidak hanya memiliki masalah kebocoran DNS yang sama, tetapi juga membuat pengguna rentan terhadap serangan spoofing DNS.

Cara mengatasinya:

Ini mungkin jenis kebocoran DNS yang paling sulit diperbaiki, terutama di Windows 10, karena ini merupakan bagian bawaan Windows dan hampir tidak mungkin diubah. Untuk pengguna VPN yang menggunakan protokol OpenVPN, plugin open-source yang tersedia secara bebas (tersedia di sini) mungkin merupakan solusi terbaik dan paling dapat diandalkan.

Smart Multi-Homed Name Resolution dapat dimatikan secara manual di Editor Kebijakan Grup Lokal Windows, kecuali jika Anda menggunakan Home Edition Windows. Dalam hal ini Microsoft tidak memungkinkan Anda untuk mematikan fitur ini. Bahkan jika Anda dapat mematikannya dengan cara ini, Windows masih akan mengirim permintaan ke semua server yang tersedia jika server pertama gagal merespons. Sangat disarankan untuk menggunakan plugin OpenVPN untuk mengatasi masalah ini sepenuhnya.

Mungkin juga bermanfaat untuk memeriksa pedoman US-CERT di sini juga. Smart Multi-Homed Name Resolution memiliki masalah keamanan signifikan yang terkait dengannya sehingga lembaga pemerintah mengeluarkan peringatan sendiri tentang masalah ini.

Masalah # 5: Teredo

Teredo adalah teknologi Microsoft untuk meningkatkan kompatibilitas antara IPv4 dan IPv6, dan merupakan fitur built-in dari sistem operasi Windows. Bagi sebagian orang, ini merupakan teknologi transisi penting yang memungkinkan IPv4 dan IPv6 untuk hidup berdampingan tanpa masalah, memungkinkan alamat v6 untuk dikirim, diterima dan dipahami pada koneksi v4. Untuk pengguna VPN, yang lebih penting adalah lubang keamanan yang mencolok. Karena Teredo adalah protokol penerowongan, seringkali dapat didahulukan dari terowongan terenkripsi VPN Anda sendiri, memintasinya dan dengan demikian menyebabkan kebocoran DNS.

Cara mengatasinya:

Untungnya, Teredo adalah fitur yang mudah dinonaktifkan dari dalam Windows. Buka prompt perintah dan ketik:

set antarmuka negara teredo netsh dinonaktifkan

Meskipun Anda mungkin mengalami beberapa masalah saat menyambung ke situs web atau server tertentu atau menggunakan aplikasi torrent, menonaktifkan Teredo adalah pilihan yang jauh lebih aman bagi pengguna VPN. Juga disarankan untuk menonaktifkan opsi Teredo dan IPv6 lainnya di pengaturan router atau adaptor jaringan Anda, untuk memastikan bahwa tidak ada lalu lintas yang dapat melewati terowongan VPN Anda.

Mencegah kebocoran di masa depan

mencegah kebocoran dns vpnSekarang setelah Anda menguji kebocoran DNS dan keluar bersih, atau menemukan dan memperbaiki kebocoran, saatnya untuk melihat ke dalam meminimalkan kemungkinan VPN Anda menimbulkan kebocoran di masa mendatang..

Pertama-tama, pastikan bahwa semua perbaikan di atas telah dilakukan sebelumnya; nonaktifkan Teredo dan Smart Multi-Homed Name Resolution, pastikan VPN Anda mendukung atau memblokir lalu lintas IPv6, dll.

1. Ubah pengaturan ke server DNS tepercaya dan independen

Router atau adaptor jaringan Anda harus memiliki cara untuk mengubah pengaturan TCP / IP, di mana Anda dapat menentukan server DNS tepercaya berdasarkan alamat IP mereka. Banyak penyedia VPN akan memiliki server DNS mereka sendiri, dan menggunakan VPN akan secara otomatis menghubungkan Anda ke ini; periksa dukungan VPN Anda untuk informasi lebih lanjut.

Jika VPN Anda tidak memiliki server berpemilik, alternatif yang populer adalah dengan menggunakan server DNS pihak ketiga yang terbuka seperti Google Open DNS. Untuk mengubah pengaturan DNS Anda di Windows 10:

  1. Buka panel kontrol Anda
  2. Klik "Jaringan dan Internet"
  3. Klik "Jaringan dan Pusat Berbagi"
  4. Klik "Ubah Pengaturan Adaptor" pada panel sebelah kiri.
  5. Klik kanan pada ikon untuk jaringan Anda dan pilih "Properties"
  6. Temukan "Internet Protocol Version 4" di jendela yang terbuka; klik itu dan kemudian klik "Properties"
  7. Klik "Gunakan alamat server DNS berikut"

Anda sekarang dapat memasukkan alamat pilihan dan alternatif untuk server DNS. Ini bisa berupa server apa pun yang Anda inginkan, tetapi untuk Google Open DNS, server DNS pilihan harus 8.8.8.8, sedangkan server DNS alternatif harus 8.8.4.4. Lihat Gambar 4.

IPV 4

Gambar 4

Anda juga mungkin ingin mengubah pengaturan DNS pada router Anda - lihat manual Anda atau dukungan untuk perangkat spesifik Anda untuk informasi lebih lanjut.

2. Gunakan firewall atau VPN Anda untuk memblokir lalu lintas non-VPN

Beberapa klien VPN akan menyertakan fitur untuk secara otomatis memblokir lalu lintas apa pun yang tidak melalui VPN - cari opsi ‘IP Binding’. Jika Anda belum memiliki VPN, pertimbangkan untuk mendapatkannya dari sini.

Atau, Anda dapat mengkonfigurasi firewall Anda untuk hanya mengizinkan lalu lintas masuk dan keluar melalui VPN Anda. Anda juga dapat mengubah pengaturan Windows Firewall Anda:

  1. Pastikan Anda sudah terhubung ke VPN Anda.
  2. Buka Network and Sharing Center dan pastikan Anda dapat melihat koneksi ISP Anda (yang seharusnya muncul sebagai "Network") dan VPN Anda (yang seharusnya muncul sebagai nama VPN). "Jaringan" harus menjadi Jaringan Rumah, sedangkan VPN Anda harus menjadi Jaringan Publik. Jika salah satu dari mereka diatur ke sesuatu yang berbeda, Anda harus mengkliknya dan mengaturnya ke jenis jaringan yang sesuai di jendela yang terbuka.
  3. Pastikan Anda masuk sebagai Administrator di mesin Anda dan buka pengaturan Windows Firewall (langkah-langkah pasti untuk ini bervariasi tergantung pada versi Windows yang Anda jalankan).
  4. Klik pada "Pengaturan Lanjut" (lihat Gambar 5).
  5. Temukan "Aturan Masuk" pada panel kiri dan klik.
  6. Di panel kanan, di bawah Tindakan, Anda akan melihat opsi untuk "Aturan Baru ...". Klik ini.
  7. Di jendela baru, pilih "Program" dan klik Next.
  8. Pilih "Semua Program" (atau pilih program individual yang Anda inginkan untuk memblokir lalu lintas non-VPN) dan klik Berikutnya.
  9. Pilih "Blokir Koneksi" dan klik Next.
  10. Centang "Domain" dan "Pribadi" tetapi pastikan bahwa "Publik" tidak dicentang. Klik Selanjutnya.
  11. Anda harus kembali ke menu Pengaturan Lanjut untuk Windows Firewall; temukan "Aturan Keluar" dan ulangi langkah 6 hingga 10.

Windows

Gambar 5

3. Secara teratur melakukan tes kebocoran DNS

Lihat bagian “Bagaimana Saya Mengetahui jika VPN saya memiliki Kebocoran DNS?” Di atas untuk instruksi. Pencegahan tidak terkendali, dan penting untuk sering memeriksa bahwa semua tindakan pencegahan Anda masih dilakukan dengan cepat.

4. Pertimbangkan perangkat lunak "pemantauan" VPN

Ini dapat menambahkan biaya tambahan di atas langganan VPN Anda yang ada, tetapi kemampuan untuk memonitor lalu lintas VPN Anda secara real time akan memungkinkan Anda untuk melihat sekilas jika pemeriksaan DNS dilakukan ke server yang salah. Beberapa produk pemantauan VPN juga menawarkan alat tambahan otomatis untuk memperbaiki kebocoran DNS.

5. Ubah VPN Anda jika perlu

Anda membutuhkan privasi semaksimal mungkin. VPN yang ideal akan memiliki perlindungan kebocoran DNS bawaan, kompatibilitas penuh IPv6, dukungan untuk versi terbaru OpenVPN atau protokol pilihan Anda dan memiliki fungsi untuk menangkal proksi DNS transparan. Coba perbandingan dan ulasan mendalam thebestvpn.com untuk menemukan VPN yang menawarkan semua yang Anda butuhkan agar data penelusuran Anda tetap pribadi.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me