Что такое утечка DNS

И как это исправить

Возможно, одна из самых важных услуг в Интернете – это то, что я держу пари, что большинство людей никогда не задумывается: система доменных имен (DNS).

В этой статье я объясню, как DNS-серверы могут представлять угрозу вашей конфиденциальности, что такое утечка DNS и как ее можно устранить..

Содержание
Что такое система доменных имен (DNS)? Как система доменных имен позволяет другим отслеживать вас онлайн Что такое утечка DNS? Как я могу узнать, есть ли в моей VPN утечка DNS? Утечки DNS: проблемы и решенияКак я могу предотвратить утечки DNS в будущее? Заключение

Что такое система доменных имен (DNS)?

Система доменных имен – это децентрализованная система именования для сетевых ресурсов, таких как компьютеры и другие службы..

DNS переводит доменные имена в IP-адреса, устранение необходимости запоминания пользователем длинных цепочек номеров для доступа к веб-сайтам и службам при подключении к Интернету.

Например, сайт, который вы посещаете в данный момент, имеет IP-адрес «104.27.166.50». Хотя некоторые из вас могут запомнить такую ​​длинную цепочку цифр (и вы знаете, кто вы есть), гораздо проще запомнить «pixelprivacy.com», чтобы посетить мой веб-сайт..

Когда вы вводите адрес веб-сайта в адресную строку вашего любимого браузера, адрес отправляется на DNS-сервер, который ищет IP-адрес для этого доменного имени..

Затем запрос перенаправляется на правильный сервер, и веб-сайт загружается в окне браузера. Все это обычно происходит в мгновение ока.

Несмотря на то, что это логичный и удобный способ управления интернет-трафиком, он открывает большую банку червей, когда дело доходит до вашей конфиденциальности в Интернете.

Как система доменных имен позволяет другим
Отслеживать вас онлайн

Как я уже упоминал в разделе выше, когда вы вводите доменное имя веб-сайта в браузере, запрос направляется на DNS-сервер, где находится IP-адрес веб-сайта..

Если вы не настроили свой компьютер, мобильное устройство или маршрутизатор для использования другого источника DNS, ваши запросы DNS будут отправляться на DNS-серверы, принадлежащие и управляемые вашим поставщиком услуг Интернета..

Это проблема конфиденциальности, поскольку ваш интернет-трафик проходит через DNS-серверы вашего интернет-провайдера, которые запишите ваши данные. Запросы ресурсов записываются в журнал вместе с IP-адресом клиента, который запросил адрес, датой и временем суток, а также другой различной информацией..

Во многих странах эти журналы DNS-серверов могут быть вызваны в суд правительством, правоохранительными органами или юристами индустрии развлечений, чтобы позволить им отслеживать свою деятельность в сети.

В некоторых странах Соединенные Штаты включены, Интернет-провайдеры могут продавать эти журналы рекламодателям и другим третьим лицам без вашего разрешения на это.

1

Можно ли это предотвратить?

К счастью, подобное отслеживание в Интернете можно предотвратить с помощью Виртуальная частная сеть (VPN), чтобы держать ваши путешествия онлайн в тайне.

VPN направляет ваше онлайн-соединение и все его DNS-запросы через свои собственные VPN-серверы, не давая им посторонних глаз. Самое большее, что видит ваш провайдер – это то, что вы подключены к провайдеру VPN. Они не могут видеть какие-либо действия, в которых вы участвуете, когда подключены к VPN.

2

Это надежно?

Как правило, использование VPN достаточно, чтобы держать ваши запросы DNS под прикрытием.

Однако некоторые провайдеры VPN плохо скрывают ваши запросы., протечки
данные DNS из ваших сеансов VPN и открывая вам мониторинг.

В следующих разделах этой статьи я объясню, что такое утечка DNS и как вы можете проверить ваше VPN-соединение для обнаружения утечек DNS. Затем я объясню, почему происходят утечки DNS, и предложу способы предотвращения повторных утечек..

Что такое утечка DNS?

Когда вы подключаетесь к VPN, он создает зашифрованное соединение, которое удерживает ваш интернет-трафик в «туннеле», который скрывает всю вашу активность в интернете, DNS-запросы включены. Никто не может понять, чем вы занимаетесь – ни ваш провайдер, ни правительство, ни ваш (не) дружелюбный хакерский сосед.

Когда ваш компьютер или другое устройство подключено к провайдеру VPN, все ваши запросы DNS должны проходить только через зашифрованный туннель к DNS-серверам службы VPN.

Когда это работает должным образом, все, что видит ваш провайдер или кто-то еще, это то, что вы подключены к VPN. Кроме того, весь ваш интернет-трафик зашифрован, поэтому никакая внешняя сторона не может контролировать любой контент, к которому вы обращаетесь.

Однако, если ваше приложение VPN не выполняет свою работу, или если вы подключены к неправильно настроенной сети, ваш DNS-запросы могут «просочиться» за пределы зашифрованного туннеля.

Затем DNS-запросы проходят через интернет-провайдера, как если бы вы не использовали VPN. Это оставляет DNS-запрос широко открытым для наблюдения, и ваш IP-адрес, местоположение и данные о поиске снова доступны.

Как я могу сказать, что у моего VPN есть утечка DNS?

Есть множество сайтов, которые будут проверить ваше VPN-соединение на утечки DNS, в том числе многие поставляются провайдерами VPN.

Я обычно использую и предлагаю Сайт IPLeak, так как он прост в использовании и предлагает большое количество информации о моем соединении.

Прежде чем начинать тестирование на наличие утечек DNS из VPN, я предлагаю посетить сайт IPLeak и разрешить сайту запускать свои тесты перед подключением к вашему провайдеру VPN..

Как только вы получите результаты теста IPLeak (который запускается автоматически), запишите IP-адрес, отображаемый в разделе «Ваш IP-адрес» в верхней части страницы. Также запомните адреса DNS и количество серверов DNS, показанных в разделе «Адреса DNS»..

Вам не нужно записывать все адреса – просто запишите несколько или сделайте скриншот для дальнейшего использования..

Как вы можете видеть на скриншотах ниже, IPLeaks может видеть DNS-серверы, которые использует мой провайдер – все 54 из них. (В целях краткости я привел здесь лишь небольшое их количество.) Также можно сказать, что мое обычное подключение, предоставляемое провайдером, происходит в Теннесси..

Теперь пришло время подключиться к провайдеру VPN и снова запустить тесты..

Я использую ExpressVPN, но вы, безусловно, можете использовать свой VPN по выбору. Вы можете подключиться к любому доступному VPN-серверу или просто позволить своему VPN-приложению выбрать один для вас..

Теперь снова посетите веб-сайт IPLeaks и дайте возможность тестам DNS Leaks снова автоматически запускаться через VPN..

Как вы можете видеть на скриншотах ниже, мой провайдер делает большую работу по предотвращению любых утечек DNS, так как кажется, что мое соединение исходит от Делавера, и что единственный DNS-сервер находится в Техасе..

Это показывает, что мой VPN обеспечивает правильно защищенное соединение, и что ни одна из моих данных DNS не просачивается.

Если IPLeaks показал, что DNS-серверы из теста ISP соответствуют DNS-серверам из теста VPN, и что IP-адреса также были одинаковыми, это указывало бы на возможная утечка DNS в моем VPN-соединении.

Это означало бы, что VPN не выполняет свою работу, и что пришло время найти нового поставщика.

Утечки DNS: проблемы и решения

Существуют различные причины утечки DNS. В этом разделе я расскажу о 5 наиболее распространенных причин утечки DNS, а также поделиться решениями этих проблем, чтобы вы могли справиться с ними, если они возникнут.

Проблема № 1: неправильно настроенная сеть

Неправильно настроенная сеть является одной из наиболее распространенных причин утечки DNS, особенно для пользователей, которые регулярно подключаются к различным сетям..

Дорожные воины могут видеть эту проблему больше, чем другие пользователи, так как они работают из офиса, но также подключаются к своей сети Wi-Fi дома или к точке доступа Wi-Fi в кафе, аэропорту или отеле..

Поскольку VPN требует подключения вашего компьютера к Интернету через локальную сеть перед включением защиты VPN, неправильно настроенные параметры DHCP могут автоматически назначать DNS-сервер для обработки ваших запросов, и этот DNS-сервер может принадлежать вашему провайдеру или провайдеру поставщика точек доступа.

Даже если вы подключаетесь к VPN в этой проблемной сети, ваши запросы DNS могут обходить зашифрованный туннель VPN, повсеместно пропуская DNS. (И никто не хочет убирать это!)

Вот исправление:

В большинстве случаев вы можете заставить свой компьютер использовать DNS-серверы VPN-провайдера просто настройка VPN на использование только собственного DNS-сервера.

Несмотря на то, что настройки VPN-приложений у разных поставщиков различны, вы, скорее всего, увидите что-то вроде приведенных ниже снимков экрана, на которых показаны опции «DNS» приложений Mac ExpressVPN и VyprVPN..

Если ваше приложение VPN не предлагает настройки (как показано выше), обратитесь к специалистам службы поддержки вашего провайдера и спросите их, как заставить ваше устройство использовать их DNS-серверы. Если они не могут вам помочь или вы не удовлетворены их ответом, смените поставщика.

Проблема № 2: нет поддержки IPv6

IP-адреса, с которыми большинство из нас знакомо, называются IPv4-адреса.

Это 32-разрядные адреса, состоящие из 4 наборов по 3 цифры, например «123.04.321.23». (Я понятия не имею, куда этот IP-адрес приведет вас, поскольку я только что сделал это на месте.)

С появлением постоянно подключенного мира с компьютерами, смартфонами, планшетами, игровыми консолями, Smart TV и даже интеллектуальными холодильниками, подключенными к Интернету, пул адресов IPv4 иссякает.

Введите адреса IPv6.

Вместо того, чтобы ограничиваться 32-битной адресной схемой из 4 наборов до 3 цифр, как IPv4, IPv6 является 128-битным, что позволяет в 7,9 × 1028 раз больше, чем IPv4, приблизительно 4,3 млрд. Адресов. (WHEW! Это много адресов!)

Образец IPv4-адреса

Пример IPv6-адреса

123.04.321.23	2001: db8: 85a3: 8d3: 1319: 8a2e: 370: 7348

Интернет находится на начальных этапах перехода от IPv4 к IPv6, и этот переход не произойдет в одночасье. Это может создать много проблем, особенно для VPN, которые в настоящее время не поддерживают IPv6..

Если VPN не поддерживает IPv6 или не знает, как заблокировать запросы IPv6, тогда запросы, отправленные на или с вашего компьютера через IPv6, будут выпрыгнуть из зашифрованного туннеля VPN, утечка информации для всеобщего обозрения.

В настоящее время веб-сайты находятся на переходном этапе, как и остальная часть Интернета, и, хотя многие из них имеют адреса как IPv4, так и IPv6, у некоторых все еще есть только IPv4. (И да, есть несколько сайтов, которые только для IPv6.)

Вызывает ли это проблему для вашей VPN, зависит от ряда факторов, таких как ваш интернет-провайдер, ваш маршрутизатор и веб-сайт, к которому вы пытаетесь получить доступ..

Хотя утечка IPv6 еще не так опасна, как стандартная утечка DNS, скоро наступит день.

Вот исправление:

Проверьте, есть ли у вашего провайдера VPN полная поддержка IPv6. Это идеальная ситуация, и вам не нужно беспокоиться.

Тем не менее, ваш поставщик должен по крайней мере предложить возможность блокировать трафик IPv6. Хотя это временная мера, она поможет вам до тех пор, пока больше VPN-провайдеров не поддержат IPv6..

Проблема № 3: Прозрачные DNS-прокси

Некоторые интернет-провайдеры взяли на себя обязательство использовать свои DNS-серверы, даже если пользователь изменил свои настройки на использование стороннего провайдера, такого как OpenDNS, Google или серверы провайдера VPN..

Если Интернет-провайдер обнаружит какие-либо изменения в настройках DNS, он будет использоватьпрозрачный прокси,”, Который является сервером, который перехватывает и перенаправляет ваш веб-трафик заставить ваш DNS-запрос к DNS-серверам провайдера.

Это в основном ваш интернет-провайдер, заставляющий утечку DNS пытаться скрыть ее от вас..

Однако большинство инструментов обнаружения утечек, таких как IPLeak, обнаруживают прозрачный прокси-сервер ISP таким же образом, как и стандартная утечка..

Вот исправление:

Устранение этой «утечки» зависит от того, какой провайдер VPN и какое приложение VPN вы используете.

Если вы используете приложение провайдера VPN, найдите возможность принудительного использования DNS-серверов провайдера VPN. Включить его.

Если вы используете приложение с открытым исходным кодом OpenVPN для подключения к VPN, найдите файл .conf или .ovpn для сервера, к которому вы подключаетесь, откройте его в текстовом редакторе и добавьте следующую строку:

блок-вне-DNS

Вы можете проконсультироваться с Руководство OpenVPN чтобы узнать, где хранятся ваши файлы конфигурации.

Проблема № 4: Windows 8 и 10: функция «Умное разрешение имен для нескольких домов»

Начиная с Windows 8, Microsoft представилаSmart Multi-Homed Name ResolutionФункция, которая была разработана для увеличения скорости просмотра веб-страниц.

Эта функция отправляет DNS-запросы на все доступные DNS-серверы и принимает ответ от какой DNS-сервер ответит первым.

Как вы можете себе представить, это может привести к утечке DNS, а также к ужасному побочному эффекту, оставляя пользователей открытыми для DNS-спуфинг-атаки.

Исправление:

Эта функция является встроенной частью Windows и может быть трудно отключить.

Тем не менее, пользователи Windows, которые подключаются к своим VPN через OpenVPN приложение мочь скачать и установить бесплатный плагин решить проблему.

Пользователи Windows, которые используют собственное приложение своего провайдера VPN, должны обратиться в отдел поддержки клиентов провайдера за помощью в решении этой проблемы..

Проблема № 5: технология Windows Teredo

древоточец является встроенной функцией операционной системы Windows и является попыткой Microsoft облегчить переход между IPv4 и IPv6. Цель Teredo – позволить двум адресным схемам сосуществовать без проблем..

Хотя я уверен, что Microsoft имела в виду хорошо, они открыли огромную утечку безопасности для пользователей VPN. Teredo – это протокол туннелирования, а в некоторых случаях, он может иметь приоритет над собственным зашифрованным туннелем VPN.

Иди возьми свою виртуальную швабру, потому что здесь идут утечки.

Исправление:

Teredo достаточно легко исправить для пользователей, которым комфортно пользоваться командной строкой. Откройте окно командной строки и введите следующее:

состояние интерфейса netsh teredo отключено

Имейте в виду, что у вас могут возникнуть проблемы при подключении к определенным веб-сайтам, серверам и другим онлайн-сервисам, но вы восстановите безопасность, которую выбрасывает Teredo.

Как я могу предотвратить утечки DNS в будущем?

Мы проверили на утечки DNS, и, надеюсь, не было обнаружено. Или, если вы обнаружили утечку, по крайней мере, теперь у вас есть инструменты и знания для ее устранения..

Но что вы можете сделать, чтобы предотвратить утечку в будущем?

Следуя 5 шагов в этом разделе вы должны заразить вашу онлайн-деятельность от любой утечки в будущем.

1

Используйте только надежного независимого поставщика DNS

Большинство провайдеров VPN имеют свои собственные DNS-серверы, и их приложение автоматически подключает ваше устройство для использования этих серверов вместо медленных и всегда небезопасных DNS-серверов вашего интернет-провайдера..

Даже если вы не используете VPN, вы все равно можете избежать использования DNS-сервера вашего интернет-провайдера, из-за чего интернет-провайдеру сложно отслеживать ваши действия в Интернете..

Вместо этого вы можете использовать надежный сторонний DNS-сервер, как те, которые предлагают OpenDNS, Google и другие.

Вот несколько популярных вариантов адреса DNS-сервера:

Google Public DNS:

• Предпочитаемый DNS-сервер: 8.8.8.8

• Альтернативный DNS-сервер: 8.8.4.4

OpenDNS:

• Предпочитаемый DNS-сервер: 208.67.222.222

• Альтернативный DNS-сервер: 208.67.220.220

Cloudflare:

• Предпочитаемый DNS-сервер: 1.1.1.1

• Альтернативный DNS-сервер: 1.0.0.1

Другие варианты DNS можно найти здесь.

Выполните следующие действия, чтобы изменить настройки DNS в Windows и macOS. Пользователям Linux нужно будет обратиться к руководству, чтобы узнать их вкус Linux, но он не должен сильно отличаться.

Если вы хотите изменить настройки DNS для своего маршрутизатора Wi-Fi, обратитесь к руководству по эксплуатации вашего маршрутизатора или обратитесь к производителю за дополнительной информацией..

Чтобы изменить настройки DNS в Windows 10, выполните следующие действия.

1. Перейти к панели управления.

2. Нажмите «Сеть и Интернет».

3. Нажмите «Центр управления сетями и общим доступом».

4. На левой панели в следующем меню вы увидите опцию «Изменить настройки адаптера». Нажмите, что.

5. Найдите опцию «Internet Protocol Version 4» в открывшемся окне и щелкните ее.

6. Нажмите «Свойства».

7. Нажмите «Использовать следующие адреса DNS-серверов» в окне «Свойства»..

8. Введите предпочтительный и альтернативный адреса DNS-сервера из одного из вариантов.

9. Нажмите кнопку «ОК».

Чтобы изменить настройки DNS в macOS, выполните следующие действия:

1. Нажмите на меню Apple.

2. Нажмите «Системные настройки» в появившемся меню..

3. Нажмите на иконку «Сеть» – она ​​должна быть в 3-м ряду вниз.

4. Нажмите на свой сетевой интерфейс с левой стороны. (Возможно, он будет помечен как «Wi-Fi», «Ethernet» или что-то подобное.)

5. Нажмите кнопку «Дополнительно», расположенную в правом нижнем углу окна «Сеть»..

6. Нажмите на вкладку «DNS» в верхней части экрана..

1. Чтобы добавить новый DNS-сервер, нажмите кнопку [+] (плюс) под списком DNS-серверов, которые уже могут быть там.

2. Чтобы изменить существующий DNS-сервер, дважды щелкните по IP-адресу DNS, который вы хотите изменить.

3. Чтобы удалить DNS-сервер, выберите IP-адрес DNS-сервера, а затем либо нажмите кнопку [-] (минус), расположенную под списком, либо нажмите кнопку «удалить» на клавиатуре вашего Mac..

7. Используйте адреса DNS-серверов, которые я упоминал ранее, или информацию для вашего любимого провайдера DNS.

8. Когда вы закончите вносить изменения, нажмите кнопку «ОК».

9. Нажмите «Применить», чтобы изменения вступили в силу..

10. Закройте системные настройки, как обычно.

2

Настройте VPN или брандмауэр для блокировки не VPN-трафика

Проверьте ваш VPN-клиент, чтобы увидеть, предлагает ли он возможность автоматически блокировать любой трафик, который не проходит через VPN.

Некоторые провайдеры называют это «IP-привязка,В то время как другие могут назвать это «Аварийная кнопка.Обратитесь к своему провайдеру VPN, чтобы убедиться, что ваш VPN предлагает его. Если это не так, поищите в другом месте свой VPN сервис.

Пользователи Windows также могут настроить свои Настройки брандмауэра Windows разрешить входящий и исходящий трафик только через VPN. Вот как это сделать. (Действия могут отличаться в зависимости от используемой версии Windows. Эти инструкции предназначены для Windows 10.)

1. Подключитесь к вашему VPN.

2. Войдите в систему Windows с правами администратора..

3. Откройте Центр управления сетями и общим доступом. Вы должны увидеть как ваше интернет-соединение (помеченное как «Сеть»), так и вашу VPN (помеченную именем вашего провайдера VPN).

Заметка: «Сеть» должна быть обозначена как Домашняя сеть, в то время как ваш VPN должен быть идентифицирован как Публичная сеть. Если вы обнаружите что-то другое, вам нужно нажать на них и установить правильный тип сети..

1. Откройте настройки брандмауэра Windows.

2. Нажмите «Дополнительные настройки».

3. Найдите «Входящие правила» в левой панели. Нажмите его.

4. На правой панели вы должны увидеть опцию «Новое правило»..

5. Когда появится новое окно, нажмите «Программа», а затем «Далее».

6. Выберите «Все программы» или отдельное приложение, для которого вы хотите заблокировать не VPN-трафик. Затем нажмите «Далее».

7. Нажмите «Заблокировать соединение» и нажмите «Далее».

8. Не забудьте проверить «Домен” и “Частный», Но не« Public ». Нажмите кнопку “Далее.”

9. Вы вернетесь в меню расширенных настроек брандмауэра Windows. Найдите «Исходящие правила» в левой панели. Нажмите на нее и повторите шаги с 6 по 10.

После того, как вы выполните описанные выше шаги, ваш брандмауэр будет настроен на маршрутизацию всего трафика на ваш компьютер и с него через VPN.

3

Регулярно проводите тест утечки DNS

Профилактика – отличный шаг, но время от времени вам нужно проверять, чтобы все работало как надо.

Проводите тестирование утечки DNS на регулярной основе. Выполните действия, описанные в разделе «Как узнать, есть ли в моем VPN утечка DNS?» Ранее в этой статье..

4

Рассмотрим VPN-мониторинг программного обеспечения

Есть программные пакеты, которые будут контролировать ваше VPN-соединение, чтобы убедиться, что ваши DNS-запросы не выходят за пределы зашифрованного туннеля защиты вашего VPN.

Это будет дополнительным расходом сверх того, что вы платите за услугу VPN, но, возможно, оно того стоит, если вы беспокоитесь о том, что ваша VPN может пропускать запросы DNS на регулярной основе..

VPN Watcher запретит приложениям отправлять запросы данных, когда ваше VPN-соединение обрывается. Он будет стоить вам 9,95 долларов, но есть также вариант «попробуй перед покупкой».

PRTG VPN мониторинг является действительным вариантом для корпоративных пользователей, которые хотят контролировать всю сеть VPN. Цены варьируются в зависимости от количества пользователей, которых вы хотите отслеживать. Доступна 30-дневная бесплатная пробная версия, а также «бесплатная» версия для небольших сетей..

5

Попробуйте другого провайдера VPN

Если ваше тестирование показало, что ваш VPN пропускает DNS-запросы, вы можете проверить у своего провайдера обновление приложения – или найти нового провайдера VPN в целом.

Ищите поставщика VPN, который предлагает защиту от утечки DNS, полную защиту IPv6, поддержку OpenVPN и возможность работать с любыми возможными прозрачными прокси DNS.

Для получения дополнительной информации о ваших параметрах VPN, обязательно прочитайте мои обзоры VPN, где я провожу лучших провайдеров VPN сегодня по их шагам и рассказываю, насколько хорошо каждая VPN работает и защищает вас.

Вывод

В этой статье мы рассмотрели, что такое утечка DNS, почему это плохо, как протестировать, чтобы убедиться, что ваш VPN не протекает, и как это исправить, если она есть..

Лучший способ убедиться, что ваша VPN не пропускает информацию о вашем запросе DNS, открывая тем самым ваши онлайн-путешествия для любопытных глаз посторонних, – это найти надежного поставщика VPN, который обеспечивает VPN-соединения с защитой от утечек..

Я считаю, что ExpressVPN – лучший выбор, поскольку это универсальная, хорошо работающая VPN-служба, обеспечивающая надежную и защищенную от утечек защиту моего интернет-соединения..