утечка DNS

Утечка DNS — это недостаток безопасности, который позволяет DNS- раскрывать запросы DNS-серверам интернет-провайдера , несмотря на использование службы VPN для их сокрытия. ^[1] Хотя это в первую очередь беспокоит пользователей VPN, его также можно предотвратить для пользователей прокси и прямого доступа в Интернет.

Уязвимость позволяет интернет-провайдеру, а также любому злоумышленнику на пути узнать, какие веб-сайты может посещать пользователь. Это возможно, поскольку DNS-запросы браузера отправляются непосредственно на DNS-сервер интернет-провайдера, а не через VPN.

Это происходит только с некоторыми типами VPN, например VPN с «разделенным туннелем», где трафик по-прежнему может передаваться через интерфейс локальной сети, даже когда VPN активен.

Начиная с Windows 8 , Microsoft представила «Интеллектуальное именованное разрешение с несколькими адресами». Это изменило способ обработки DNS-запросов в Windows 8, гарантируя, что DNS-запрос может проходить через все доступные сетевые интерфейсы компьютера. Хотя существует общее мнение, что этот новый метод разрешения доменных имен ускорил время, необходимое для завершения поиска DNS, он также подвергает пользователей VPN утечкам DNS при подключении к конечной точке VPN, поскольку компьютер больше не будет использовать только DNS-серверы, назначенные службой VPN. Вместо этого DNS-запрос будет отправляться через все доступные интерфейсы, поэтому DNS-трафик будет выходить из VPN-туннеля и открывать DNS-серверы пользователя по умолчанию. ^{[2] [3]}

Существуют веб-сайты, позволяющие провести тестирование и определить, происходит ли утечка DNS. Утечки DNS можно устранить несколькими способами:

• Шифрование DNS-запросов с помощью DNS через HTTPS или DNS через TLS , что предотвращает просмотр запросов перехватчиками на пути.
• Использование VPN-клиента, который отправляет DNS-запросы через VPN. Не все VPN-приложения успешно устраняют утечки DNS, как было обнаружено в исследовании, проведенном Организацией научных и промышленных исследований Содружества в 2016 году, когда они провели углубленное исследование под названием «Анализ рисков конфиденциальности и безопасности разрешений Android VPN». включенные приложения" ^[4] и обнаружили, что 84% из 283 VPN-приложений в Google Play Store , которые они протестировали, действительно пропускали DNS-запросы. ^[5]
• Изменение DNS-серверов на локальном компьютере для всех сетевых адаптеров или установка их на разные. Для этого доступны сторонние приложения, такие как NirSoft Quicksetdns.
• Использование брандмауэра для отключения DNS на всем устройстве (обычно исходящие соединения UDP и реже TCP-порт 53) или настройка DNS-серверов на несуществующие, такие как локальный 127.0.0.1 или 0.0.0.0 (через командную строку или стороннее приложение, если нет). возможно через графический интерфейс ОС). Для этого требуются альтернативные способы разрешения доменов, подобные вышеупомянутым, или использование в приложениях с настроенным прокси-сервером, или использование вспомогательных приложений прокси, таких как Proxifier или ProxyCap, которые позволяют разрешать домены через прокси. Многие приложения позволяют настроить прокси вручную или использовать прокси, уже используемый системой.
• Использование полностью анонимных веб-браузеров, таких как Tor Browser , который не только делает пользователя анонимным, но и не требует настройки DNS в операционной системе.
• Использование прокси-сервера или VPN в масштабе всей системы, через сторонние приложения-помощники, такие как Proxifier, или в виде расширения веб-браузера. Однако большинство расширений в Chrome или Firefox сообщают о ложноположительном рабочем состоянии, даже если они не подключались, поэтому рекомендуется использовать сторонний веб-сайт для проверки утечки IP и DNS. Это ложное рабочее состояние обычно возникает, когда одновременно пытаются использовать два расширения прокси или VPN (например, расширения Windscribe VPN и FoxyProxy).