Что такое утечка днс

Утечка DNS: что это такое и как ее устранить с помощью утилиты DNSCrypt

Утечка DNS трафика

В статье VPN безопасность мы уже рассказывали про утечку VPN-трафика. В другой похожей статье мы говорили об утечке WebRTC в браузерах, а в этой статье речь пойдет об утечке DNS-трафика. Которая затрагивает всех, и даже тех кто использует VPN-сервисы и считает, что находится за каменной стеной.

Здравствуйте друзья! Сегодня я расскажу что такое утечка DNS, почему вы должны об этом знать и как от этого защититься используя бесплатную утилиту DNSCrypt.

Утечка DNS

  • Предисловие
  • Что значит утечка DNS
  • Как проверить утечку DNS
  • Как исправить утечку DNS используя DNSCrypt
  • Скачивание DNSCrypt
  • Установка DNSCrypt
  • Использование DNSCrypt

Что значит утечка DNS?

При использовании HTTPS или SSL ваш HTTP трафик зашифрован, то есть защищен (не идеально, но защищен). Когда вы используете VPN, весь ваш трафик полностью шифруется (разумеется уровень и качество защиты зависит от правильной настройки VPN, но обычно все настроено и работает правильно).

Но бывают ситуации в которых даже при использовании VPN, ваши DNS-запросы передаются в открытом незашифрованном виде. Это открывает злоумышленнику большие возможности для творчества. Хакер может перенаправить трафик, применить MITM-атаку (человек посередине) и сделать еще кучу других вещей, которые могут поставить под угрозу вашу безопасность и анонимность в сети.

Давайте попробуем разобраться в этом вопросе поглубже. Если вас не интересует теория, но волнует безопасность, можете сразу переходить к следующей главе. Если хотите знать побольше, усаживайтесь поудобнее, сейчас я вам вынесу мозг.

В нашем примере на рисунке ниже вы видите как пользователь (компьютер) пытается обратиться к сайту www.spy-soft.net (это может быть и любой другой сайт). Для того чтобы попасть на сайт он должен сначала разрешить символьное имя узла в IP-адрес.

Утечка DNS

Утечка DNS

Если же конфигурация сети такова, что используется DNS-сервер провайдера (незашифрованное соединение, отмечено красной линией), то разрешение символьного имени в IP-адрес происходит по незашифрованному соединению.

Во-первых, в такой ситуации провайдер может просмотреть историю DNS и узнать какие сайты вы посещали. Он конечно не узнает какие именно данные передавались, но адреса сайтов он сможет просмотреть запросто.

Во-вторых, есть большая вероятность оказаться жертвой хакерской атаки. Такой как: DNS cache snooping и DNS spoofing.

Что такое DNS снупинг и спуфинг?

Вкратце для тех кто не в курсе.

DNS снупинг — с помощью этой атаки злоумышленник может удаленно узнавать какие домены были недавно отрезолвлены на DNS-сервере, то есть на какие домены недавно заходила жертва.

DNS спуфинг — атака, базируется на заражении кэша DNS-сервера жертвы ложной записью о соответствии DNS-имени хоста, которому жертва доверяет.

Так как запросы не шифруются, кто-то между вами и провайдером может перехватить и прочитать DNS-запрос, после чего отправить вам поддельный ответ. В результате, вместо того чтобы посетить наш любимый spy-soft.net, gmail.com или vk.com, вы перейдете на поддельный или как еще говорят фейковый сайт хакера (поддельным будет не только вид страницы, но и урл в адресной строке), после чего вы введете свой логин и пароль, ну а потом сами понимаете что будет. Данные авторизации будут в руках злоумышленника.

Описанная ситуация называется утечка DNS (DNS leaking). Она происходит, когда ваша система для разрешения доменных имен даже после соединения с VPN-сервером или сетью Tor продолжает запрашивать DNS сервера вашего провайдера. Каждый раз когда вы попытаетесь зайти на сайт, соединится с новым сервером или запустить какое-нибудь сетевое приложение, ваша система будет обращаться к DNS серверам провайдера, чтобы разрешить имя в IP-адрес. В итоге какой-нибудь хакер или ваш провайдер смогут узнать все имена узлов, к которым вы обращаетесь.

Если вам есть что скрывать, тогда я вам предлагают использовать простое решение — DNSCrypt. Можно конечно прописать какие-нибудь другие DNS-сервера и пускать трафик через них. Например сервера Гугла 8.8.8.8 или того же OpenDNS 208.67.222.222, 208.67.220.220. В таком случае вы конечно скроете от провайдера историю посещения сайтов, но расскажите о своих сетевых путешествиях Гуглу. Кроме этого никакого шифрования DNS трафика не будет, а это большой недостаток. Не знаю как вас, но меня это не возбуждает, я лучше установлю DNSCrypt.

Как проверить утечку DNS

Перед тем как мы перейдем к самой утилите, я бы хотел познакомить вас со специальными онлайн-сервисами. Они позволяют проверить утечку DNS.

Один из таких — сайт DNS Leak Test. Для проверки перейдите по ссылке и нажмите кнопку «Extended test».

проверить утечку dns

Проверка на утечку DNS

Через несколько секунд сервис отобразит список DNS-серверов, через которые проходят ваши запросы. Таким образом вы сможете узнать, кто именно может видеть вашу историю посещения сайтов.

Еще неплохой сервис — DNS Leak. Сайт предоставляет полную информацию о DNS серверах от вас до сервера.

Как устранить утечку DNS утилитой DNSCrypt

DNSCrypt — бесплатная утилита с открытым исходным кодом. Программа позволяет шифровать запросы DNS и использовать DNS сервера по вашему усмотрению. После установки на компьютер ваши соединения будут защищены, и вы сможете безопаснее серфить по просторам сети. Утилита в связке с Tor или VPN дает неплохую защиту.

Скачивание DNSCrypt

Скачать консольную версию утилиты DNSCrypt вы можете по этой прямой ссылке с Гитаба. Для того чтобы все выглядело гламурно: виндовские окошки, кнопочки и все такое, нужно скачать еще и GUI отсюда. Для вашего удобства я все засунул в один архив и залил на файлообменик. Вот ссылочка.

Для работы программы требуется Microsoft .NET Framework 2.0 и выше.

Скачать DNSCrypt для Mac OS X вы можете по этой ссылке с Гитаб или с файлообменка по ссылке выше.

Разработчик программы OpenDNS.

Установка DNSCrypt

В этой статье мы разберем работу с консольной версией утилиты. Настраивать ДНСКрипт будем на Windows 10. Установка на других версиях винды не отличается.

Итак, скачанный архив распаковываем и помещаем содержимое папки dnscrypt-proxy-win32 в любое место на компьютере. В моем примере я расположил в папке “C:\Program Files\DNSCrypt\”.

Утечка DNS

После чего откройте от имени администратора командною строку.

DNSCrypt

Запуск командной строки от имени администратора в Windows 10

Теперь в командной строке перейдите в папку DNSCrypt. Сделать это можно с помощью команды:

cd "C:\Program Files\DNSCrypt"

Кликаем сюда, если не можете скопировать команды.

После этого подготовимся к установке службы прокси. Для начала необходимо выбрать провайдера DNS. В архив я положил файл dnscrypt-resolvers.csv. Этот файлик содержит список большинства DNS провайдеров, которые поддерживает DNSCrypt. Для каждого отдельного провайдера есть название, описание, расположение и поддержка DNSSEC и Namecoin. Кроме этого файл содержит необходимые IP-адреса и открытые ключи.

Выберите любого провайдера и скопируйте значение в первом столбце. В моем случае я буду использовать CloudNS, поэтому я скопировал “cloudns-can”. Теперь необходимо убедится, что прокси может подключиться. Сделать это можно с помощью этой команды:

dnscrypt — proxy . exe — R "cloudns-can" — test = 0

Если все правильно работает, вы увидите следующие выходные данные:

dns vpn

Если у вас не получилось, попробуйте выбрать другого провайдера и повторить попытку еще раз.

Если все прошло успешно, продолжим установку и введем следующую команду:

dnscrypt — proxy . exe — R cloudns — can — install

Если все правильно работает, вы увидите следующие выходные данные:

Утечка DNS как проверить

Скрин того как это должно выглядеть в командой строке:

Утечка DNS: что это такое и как ее устранить с помощью утилиты DNSCrypt

После чего необходимо зайти в параметры протокола TCP/IP Windows и изменить настройки DNS на 127.0.0.1.

dnscrypt установка

Для удаления службы ДНСКрипт необходимо вернуть сетевые настройки DNS в начальное состояние. Делается это с помощью этой команды:

dnscrypt — proxy — uninstall

Данная команда также может использоваться для смены провайдера DNS. После применения нужно повторить установку с параметрами другого провайдера.

Если у вас после всей этой процедуры по какой-то причине во время проверки все еще определяться IP-адрес DNS вашего интернет-провайдера, кликните по кнопке «Дополнительно», которая находится под прописанным IP 127.0.0.1. В появившемся окне «Дополнительные параметры…», перейдите на вкладку «DNS» и удалите все адреса DNS-серверов кроме «127.0.0.1».

Все, теперь утечка DNS устранена.

Вас также может заинтересовать статья «Как удалить кэш DNS», в которой рассказывалось об удалении записей DNS на компьютере.

DNSCrypt в Яндекс Браузере

С недавнего времени в браузере от Яндекс появилась поддержка ДНСКрипт. Ну что сказать, ребята из Яндекса работают и пытаются защитить пользователя — это здорово, но в отличие от утилиты DNSCrypt защита у Яндекса реализуется только на уровне браузера, а не уровне всей системы.

DNSCrypt в роутере

Также поддержка ДНСКрипт реализована в популярных прошивках OpenWrt. Подробнее об установке и другой дополнительной информации вы можете узнать на этой странице.

Заключение

Конечно же утилита ДНСКрипт и шифрование DNS в целом не является панацеей, да и вообще в информационной безопасности нет такого понятия как панацея. Мы только можем максимально улучшить нашу безопасность и анонимность, но сделать наше присутствие в сети неуязвимым на все 100% к сожалению не получится. Технологии не стоят на месте и всегда найдутся лазейки. Поэтому я предлагаю вам подписаться на наши новости в социальных сетях, чтобы всегда быть в курсе. Это бесплатно.

На этом все друзья. Надеюсь эта статья помогла вам решить проблему утечки DNS. Удачи вам в новом 2017 году, будьте счастливы!

Что такое утечка DNS

Возможно, одна из самых важных услуг в Интернете — это то, что я держу пари, что большинство людей никогда не задумывается: система доменных имен (DNS).

В этой статье я объясню, как DNS-серверы могут представлять угрозу вашей конфиденциальности, что такое утечка DNS и как ее можно устранить..

Содержание
Что такое система доменных имен (DNS)? Как система доменных имен позволяет другим отслеживать вас онлайн Что такое утечка DNS? Как я могу узнать, есть ли в моей VPN утечка DNS? Утечки DNS: проблемы и решенияКак я могу предотвратить утечки DNS в будущее? Заключение

Что такое система доменных имен (DNS)?

Система доменных имен — это децентрализованная система именования для сетевых ресурсов, таких как компьютеры и другие службы..

DNS переводит доменные имена в IP-адреса, устранение необходимости запоминания пользователем длинных цепочек номеров для доступа к веб-сайтам и службам при подключении к Интернету.

Например, сайт, который вы посещаете в данный момент, имеет IP-адрес «104.27.166.50». Хотя некоторые из вас могут запомнить такую ​​длинную цепочку цифр (и вы знаете, кто вы есть), гораздо проще запомнить «pixelprivacy.com», чтобы посетить мой веб-сайт..

Как работает DNS

Когда вы вводите адрес веб-сайта в адресную строку вашего любимого браузера, адрес отправляется на DNS-сервер, который ищет IP-адрес для этого доменного имени..

Затем запрос перенаправляется на правильный сервер, и веб-сайт загружается в окне браузера. Все это обычно происходит в мгновение ока.

Несмотря на то, что это логичный и удобный способ управления интернет-трафиком, он открывает большую банку червей, когда дело доходит до вашей конфиденциальности в Интернете.

Как система доменных имен позволяет другим
Отслеживать вас онлайн

Как я уже упоминал в разделе выше, когда вы вводите доменное имя веб-сайта в браузере, запрос направляется на DNS-сервер, где находится IP-адрес веб-сайта..

Если вы не настроили свой компьютер, мобильное устройство или маршрутизатор для использования другого источника DNS, ваши запросы DNS будут отправляться на DNS-серверы, принадлежащие и управляемые вашим поставщиком услуг Интернета..

Это проблема конфиденциальности, поскольку ваш интернет-трафик проходит через DNS-серверы вашего интернет-провайдера, которые запишите ваши данные. Запросы ресурсов записываются в журнал вместе с IP-адресом клиента, который запросил адрес, датой и временем суток, а также другой различной информацией..

Во многих странах эти журналы DNS-серверов могут быть вызваны в суд правительством, правоохранительными органами или юристами индустрии развлечений, чтобы позволить им отслеживать свою деятельность в сети.

В некоторых странах Соединенные Штаты включены, Интернет-провайдеры могут продавать эти журналы рекламодателям и другим третьим лицам без вашего разрешения на это.

1

Можно ли это предотвратить?

К счастью, подобное отслеживание в Интернете можно предотвратить с помощью Виртуальная частная сеть (VPN), чтобы держать ваши путешествия онлайн в тайне.

VPN направляет ваше онлайн-соединение и все его DNS-запросы через свои собственные VPN-серверы, не давая им посторонних глаз. Самое большее, что видит ваш провайдер — это то, что вы подключены к провайдеру VPN. Они не могут видеть какие-либо действия, в которых вы участвуете, когда подключены к VPN.

2

Это надежно?

Как правило, использование VPN достаточно, чтобы держать ваши запросы DNS под прикрытием.

Однако некоторые провайдеры VPN плохо скрывают ваши запросы., протечки
данные DNS из ваших сеансов VPN и открывая вам мониторинг.

В следующих разделах этой статьи я объясню, что такое утечка DNS и как вы можете проверить ваше VPN-соединение для обнаружения утечек DNS. Затем я объясню, почему происходят утечки DNS, и предложу способы предотвращения повторных утечек..

Что такое утечка DNS?

Когда вы подключаетесь к VPN, он создает зашифрованное соединение, которое удерживает ваш интернет-трафик в «туннеле», который скрывает всю вашу активность в интернете, DNS-запросы включены. Никто не может понять, чем вы занимаетесь — ни ваш провайдер, ни правительство, ни ваш (не) дружелюбный хакерский сосед.

Как VPN скрывает активность просмотра интернета от посторонних глаз

Когда ваш компьютер или другое устройство подключено к провайдеру VPN, все ваши запросы DNS должны проходить только через зашифрованный туннель к DNS-серверам службы VPN.

Когда это работает должным образом, все, что видит ваш провайдер или кто-то еще, это то, что вы подключены к VPN. Кроме того, весь ваш интернет-трафик зашифрован, поэтому никакая внешняя сторона не может контролировать любой контент, к которому вы обращаетесь.

Однако, если ваше приложение VPN не выполняет свою работу, или если вы подключены к неправильно настроенной сети, ваш DNS-запросы могут «просочиться» за пределы зашифрованного туннеля.

Что такое утечка DNS-сервера

Затем DNS-запросы проходят через интернет-провайдера, как если бы вы не использовали VPN. Это оставляет DNS-запрос широко открытым для наблюдения, и ваш IP-адрес, местоположение и данные о поиске снова доступны.

Как я могу сказать, что у моего VPN есть утечка DNS?

Есть множество сайтов, которые будут проверить ваше VPN-соединение на утечки DNS, в том числе многие поставляются провайдерами VPN.

Я обычно использую и предлагаю Сайт IPLeak, так как он прост в использовании и предлагает большое количество информации о моем соединении.

Прежде чем начинать тестирование на наличие утечек DNS из VPN, я предлагаю посетить сайт IPLeak и разрешить сайту запускать свои тесты перед подключением к вашему провайдеру VPN..

Как только вы получите результаты теста IPLeak (который запускается автоматически), запишите IP-адрес, отображаемый в разделе «Ваш IP-адрес» в верхней части страницы. Также запомните адреса DNS и количество серверов DNS, показанных в разделе «Адреса DNS»..

Вам не нужно записывать все адреса — просто запишите несколько или сделайте скриншот для дальнейшего использования..

Как вы можете видеть на скриншотах ниже, IPLeaks может видеть DNS-серверы, которые использует мой провайдер — все 54 из них. (В целях краткости я привел здесь лишь небольшое их количество.) Также можно сказать, что мое обычное подключение, предоставляемое провайдером, происходит в Теннесси..

IPLeaks IP-адресIPLeaks DNS адреса 54 серверов

Теперь пришло время подключиться к провайдеру VPN и снова запустить тесты..

Я использую ExpressVPN, но вы, безусловно, можете использовать свой VPN по выбору. Вы можете подключиться к любому доступному VPN-серверу или просто позволить своему VPN-приложению выбрать один для вас..

ExpressVPN Соединение выключеноВарианты расположения ExpressVPN

Теперь снова посетите веб-сайт IPLeaks и дайте возможность тестам DNS Leaks снова автоматически запускаться через VPN..

Как вы можете видеть на скриншотах ниже, мой провайдер делает большую работу по предотвращению любых утечек DNS, так как кажется, что мое соединение исходит от Делавера, и что единственный DNS-сервер находится в Техасе..

DNSLeak IP-адрес ДелаверDNSLeak IP-адрес Техас

Это показывает, что мой VPN обеспечивает правильно защищенное соединение, и что ни одна из моих данных DNS не просачивается.

Если IPLeaks показал, что DNS-серверы из теста ISP соответствуют DNS-серверам из теста VPN, и что IP-адреса также были одинаковыми, это указывало бы на возможная утечка DNS в моем VPN-соединении.

Это означало бы, что VPN не выполняет свою работу, и что пришло время найти нового поставщика.

Утечки DNS: проблемы и решения

Существуют различные причины утечки DNS. В этом разделе я расскажу о 5 наиболее распространенных причин утечки DNS, а также поделиться решениями этих проблем, чтобы вы могли справиться с ними, если они возникнут.

Проблема № 1: неправильно настроенная сеть

Неправильно настроенная сеть является одной из наиболее распространенных причин утечки DNS, особенно для пользователей, которые регулярно подключаются к различным сетям..

Дорожные воины могут видеть эту проблему больше, чем другие пользователи, так как они работают из офиса, но также подключаются к своей сети Wi-Fi дома или к точке доступа Wi-Fi в кафе, аэропорту или отеле..

Поскольку VPN требует подключения вашего компьютера к Интернету через локальную сеть перед включением защиты VPN, неправильно настроенные параметры DHCP могут автоматически назначать DNS-сервер для обработки ваших запросов, и этот DNS-сервер может принадлежать вашему провайдеру или провайдеру поставщика точек доступа.

Даже если вы подключаетесь к VPN в этой проблемной сети, ваши запросы DNS могут обходить зашифрованный туннель VPN, повсеместно пропуская DNS. (И никто не хочет убирать это!)

Вот исправление:

В большинстве случаев вы можете заставить свой компьютер использовать DNS-серверы VPN-провайдера просто настройка VPN на использование только собственного DNS-сервера.

Несмотря на то, что настройки VPN-приложений у разных поставщиков различны, вы, скорее всего, увидите что-то вроде приведенных ниже снимков экрана, на которых показаны опции «DNS» приложений Mac ExpressVPN и VyprVPN..

Параметры DNS для Mac

Если ваше приложение VPN не предлагает настройки (как показано выше), обратитесь к специалистам службы поддержки вашего провайдера и спросите их, как заставить ваше устройство использовать их DNS-серверы. Если они не могут вам помочь или вы не удовлетворены их ответом, смените поставщика.

Проблема № 2: нет поддержки IPv6

IP-адреса, с которыми большинство из нас знакомо, называются IPv4-адреса.

Это 32-разрядные адреса, состоящие из 4 наборов по 3 цифры, например «123.04.321.23». (Я понятия не имею, куда этот IP-адрес приведет вас, поскольку я только что сделал это на месте.)

С появлением постоянно подключенного мира с компьютерами, смартфонами, планшетами, игровыми консолями, Smart TV и даже интеллектуальными холодильниками, подключенными к Интернету, пул адресов IPv4 иссякает.

Введите адреса IPv6.

Вместо того, чтобы ограничиваться 32-битной адресной схемой из 4 наборов до 3 цифр, как IPv4, IPv6 является 128-битным, что позволяет в 7,9 × 1028 раз больше, чем IPv4, приблизительно 4,3 млрд. Адресов. (WHEW! Это много адресов!)

Образец IPv4-адреса

Пример IPv6-адреса

2001: db8: 85a3: 8d3: 1319: 8a2e: 370: 7348

Интернет находится на начальных этапах перехода от IPv4 к IPv6, и этот переход не произойдет в одночасье. Это может создать много проблем, особенно для VPN, которые в настоящее время не поддерживают IPv6..

Если VPN не поддерживает IPv6 или не знает, как заблокировать запросы IPv6, тогда запросы, отправленные на или с вашего компьютера через IPv6, будут выпрыгнуть из зашифрованного туннеля VPN, утечка информации для всеобщего обозрения.

В настоящее время веб-сайты находятся на переходном этапе, как и остальная часть Интернета, и, хотя многие из них имеют адреса как IPv4, так и IPv6, у некоторых все еще есть только IPv4. (И да, есть несколько сайтов, которые только для IPv6.)

Вызывает ли это проблему для вашей VPN, зависит от ряда факторов, таких как ваш интернет-провайдер, ваш маршрутизатор и веб-сайт, к которому вы пытаетесь получить доступ..

Хотя утечка IPv6 еще не так опасна, как стандартная утечка DNS, скоро наступит день.

Вот исправление:

Проверьте, есть ли у вашего провайдера VPN полная поддержка IPv6. Это идеальная ситуация, и вам не нужно беспокоиться.

Тем не менее, ваш поставщик должен по крайней мере предложить возможность блокировать трафик IPv6. Хотя это временная мера, она поможет вам до тех пор, пока больше VPN-провайдеров не поддержат IPv6..

Mac утечка IPc6 Параметры утечки

Проблема № 3: Прозрачные DNS-прокси

Некоторые интернет-провайдеры взяли на себя обязательство использовать свои DNS-серверы, даже если пользователь изменил свои настройки на использование стороннего провайдера, такого как OpenDNS, Google или серверы провайдера VPN..

Если Интернет-провайдер обнаружит какие-либо изменения в настройках DNS, он будет использоватьпрозрачный прокси,”, Который является сервером, который перехватывает и перенаправляет ваш веб-трафик заставить ваш DNS-запрос к DNS-серверам провайдера.

Прозрачные DNS Прокси

Это в основном ваш интернет-провайдер, заставляющий утечку DNS пытаться скрыть ее от вас..

Однако большинство инструментов обнаружения утечек, таких как IPLeak, обнаруживают прозрачный прокси-сервер ISP таким же образом, как и стандартная утечка..

Вот исправление:

Устранение этой «утечки» зависит от того, какой провайдер VPN и какое приложение VPN вы используете.

Если вы используете приложение провайдера VPN, найдите возможность принудительного использования DNS-серверов провайдера VPN. Включить его.

Если вы используете приложение с открытым исходным кодом OpenVPN для подключения к VPN, найдите файл .conf или .ovpn для сервера, к которому вы подключаетесь, откройте его в текстовом редакторе и добавьте следующую строку:

блок-вне-DNS

Вы можете проконсультироваться с Руководство OpenVPN чтобы узнать, где хранятся ваши файлы конфигурации.

Проблема № 4: Windows 8 и 10: функция «Умное разрешение имен для нескольких домов»

Начиная с Windows 8, Microsoft представилаSmart Multi-Homed Name ResolutionФункция, которая была разработана для увеличения скорости просмотра веб-страниц.

Эта функция отправляет DNS-запросы на все доступные DNS-серверы и принимает ответ от какой DNS-сервер ответит первым.

Как вы можете себе представить, это может привести к утечке DNS, а также к ужасному побочному эффекту, оставляя пользователей открытыми для DNS-спуфинг-атаки.

Исправление:

Эта функция является встроенной частью Windows и может быть трудно отключить.

Тем не менее, пользователи Windows, которые подключаются к своим VPN через OpenVPN приложение мочь скачать и установить бесплатный плагин решить проблему.

Плагин OpenVPN для исправления утечек DNS в Windows

Пользователи Windows, которые используют собственное приложение своего провайдера VPN, должны обратиться в отдел поддержки клиентов провайдера за помощью в решении этой проблемы..

Проблема № 5: технология Windows Teredo

древоточец является встроенной функцией операционной системы Windows и является попыткой Microsoft облегчить переход между IPv4 и IPv6. Цель Teredo — позволить двум адресным схемам сосуществовать без проблем..

Хотя я уверен, что Microsoft имела в виду хорошо, они открыли огромную утечку безопасности для пользователей VPN. Teredo — это протокол туннелирования, а в некоторых случаях, он может иметь приоритет над собственным зашифрованным туннелем VPN.

Иди возьми свою виртуальную швабру, потому что здесь идут утечки.

Исправление:

Teredo достаточно легко исправить для пользователей, которым комфортно пользоваться командной строкой. Откройте окно командной строки и введите следующее:

состояние интерфейса netsh teredo отключено

Имейте в виду, что у вас могут возникнуть проблемы при подключении к определенным веб-сайтам, серверам и другим онлайн-сервисам, но вы восстановите безопасность, которую выбрасывает Teredo.

Как я могу предотвратить утечки DNS в будущем?

Мы проверили на утечки DNS, и, надеюсь, не было обнаружено. Или, если вы обнаружили утечку, по крайней мере, теперь у вас есть инструменты и знания для ее устранения..

Но что вы можете сделать, чтобы предотвратить утечку в будущем?

Следуя 5 шагов в этом разделе вы должны заразить вашу онлайн-деятельность от любой утечки в будущем.

1

Используйте только надежного независимого поставщика DNS

Большинство провайдеров VPN имеют свои собственные DNS-серверы, и их приложение автоматически подключает ваше устройство для использования этих серверов вместо медленных и всегда небезопасных DNS-серверов вашего интернет-провайдера..

Даже если вы не используете VPN, вы все равно можете избежать использования DNS-сервера вашего интернет-провайдера, из-за чего интернет-провайдеру сложно отслеживать ваши действия в Интернете..

Вместо этого вы можете использовать надежный сторонний DNS-сервер, как те, которые предлагают OpenDNS, Google и другие.

Вот несколько популярных вариантов адреса DNS-сервера:

Google Public DNS:

Почему вы должны попробовать Google Public DNS?

OpenDNS:

Параметры сервера OpenDNS

Cloudflare:

Cloudflare DNS Options

Другие варианты DNS можно найти здесь.

Выполните следующие действия, чтобы изменить настройки DNS в Windows и macOS. Пользователям Linux нужно будет обратиться к руководству, чтобы узнать их вкус Linux, но он не должен сильно отличаться.

Если вы хотите изменить настройки DNS для своего маршрутизатора Wi-Fi, обратитесь к руководству по эксплуатации вашего маршрутизатора или обратитесь к производителю за дополнительной информацией..

Чтобы изменить настройки DNS в Windows 10, выполните следующие действия.

Перейти к панели управления.

Нажмите «Сеть и Интернет».

Нажмите «Центр управления сетями и общим доступом».

На левой панели в следующем меню вы увидите опцию «Изменить настройки адаптера». Нажмите, что.

Найдите опцию «Internet Protocol Version 4» в открывшемся окне и щелкните ее.

Нажмите «Использовать следующие адреса DNS-серверов» в окне «Свойства»..

Введите предпочтительный и альтернативный адреса DNS-сервера из одного из вариантов.

Чтобы изменить настройки DNS в macOS, выполните следующие действия:

Нажмите на меню Apple.

Нажмите «Системные настройки» в появившемся меню..

Нажмите на иконку «Сеть» — она ​​должна быть в 3-м ряду вниз.

Нажмите на свой сетевой интерфейс с левой стороны. (Возможно, он будет помечен как «Wi-Fi», «Ethernet» или что-то подобное.)

Нажмите кнопку «Дополнительно», расположенную в правом нижнем углу окна «Сеть»..

Нажмите на вкладку «DNS» в верхней части экрана..

Чтобы добавить новый DNS-сервер, нажмите кнопку [+] (плюс) под списком DNS-серверов, которые уже могут быть там.

Чтобы изменить существующий DNS-сервер, дважды щелкните по IP-адресу DNS, который вы хотите изменить.

Чтобы удалить DNS-сервер, выберите IP-адрес DNS-сервера, а затем либо нажмите кнопку [-] (минус), расположенную под списком, либо нажмите кнопку «удалить» на клавиатуре вашего Mac..

Используйте адреса DNS-серверов, которые я упоминал ранее, или информацию для вашего любимого провайдера DNS.

Когда вы закончите вносить изменения, нажмите кнопку «ОК».

Нажмите «Применить», чтобы изменения вступили в силу..

Закройте системные настройки, как обычно.

2

Настройте VPN или брандмауэр для блокировки не VPN-трафика

Проверьте ваш VPN-клиент, чтобы увидеть, предлагает ли он возможность автоматически блокировать любой трафик, который не проходит через VPN.

Некоторые провайдеры называют это «IP-привязка,В то время как другие могут назвать это «Аварийная кнопка.Обратитесь к своему провайдеру VPN, чтобы убедиться, что ваш VPN предлагает его. Если это не так, поищите в другом месте свой VPN сервис.

Mac Включить блокировку сети (выключатель интернета)

Пользователи Windows также могут настроить свои Настройки брандмауэра Windows разрешить входящий и исходящий трафик только через VPN. Вот как это сделать. (Действия могут отличаться в зависимости от используемой версии Windows. Эти инструкции предназначены для Windows 10.)

Подключитесь к вашему VPN.

Войдите в систему Windows с правами администратора..

Откройте Центр управления сетями и общим доступом. Вы должны увидеть как ваше интернет-соединение (помеченное как «Сеть»), так и вашу VPN (помеченную именем вашего провайдера VPN).

Заметка: «Сеть» должна быть обозначена как Домашняя сеть, в то время как ваш VPN должен быть идентифицирован как Публичная сеть. Если вы обнаружите что-то другое, вам нужно нажать на них и установить правильный тип сети..

Откройте настройки брандмауэра Windows.

Нажмите «Дополнительные настройки».

Найдите «Входящие правила» в левой панели. Нажмите его.

На правой панели вы должны увидеть опцию «Новое правило»..

Когда появится новое окно, нажмите «Программа», а затем «Далее».

Выберите «Все программы» или отдельное приложение, для которого вы хотите заблокировать не VPN-трафик. Затем нажмите «Далее».

Нажмите «Заблокировать соединение» и нажмите «Далее».

Не забудьте проверить «Домен" и "Частный», Но не« Public ». Нажмите кнопку "Далее."

Вы вернетесь в меню расширенных настроек брандмауэра Windows. Найдите «Исходящие правила» в левой панели. Нажмите на нее и повторите шаги с 6 по 10.

После того, как вы выполните описанные выше шаги, ваш брандмауэр будет настроен на маршрутизацию всего трафика на ваш компьютер и с него через VPN.

3

Регулярно проводите тест утечки DNS

Профилактика — отличный шаг, но время от времени вам нужно проверять, чтобы все работало как надо.

Проводите тестирование утечки DNS на регулярной основе. Выполните действия, описанные в разделе «Как узнать, есть ли в моем VPN утечка DNS?» Ранее в этой статье..

4

Рассмотрим VPN-мониторинг программного обеспечения

Есть программные пакеты, которые будут контролировать ваше VPN-соединение, чтобы убедиться, что ваши DNS-запросы не выходят за пределы зашифрованного туннеля защиты вашего VPN.

Это будет дополнительным расходом сверх того, что вы платите за услугу VPN, но, возможно, оно того стоит, если вы беспокоитесь о том, что ваша VPN может пропускать запросы DNS на регулярной основе..

VPN Watcher запретит приложениям отправлять запросы данных, когда ваше VPN-соединение обрывается. Он будет стоить вам 9,95 долларов, но есть также вариант «попробуй перед покупкой».

PRTG VPN мониторинг является действительным вариантом для корпоративных пользователей, которые хотят контролировать всю сеть VPN. Цены варьируются в зависимости от количества пользователей, которых вы хотите отслеживать. Доступна 30-дневная бесплатная пробная версия, а также «бесплатная» версия для небольших сетей..

PRTG VPN-мониторинг

5

Попробуйте другого провайдера VPN

Если ваше тестирование показало, что ваш VPN пропускает DNS-запросы, вы можете проверить у своего провайдера обновление приложения — или найти нового провайдера VPN в целом.

Ищите поставщика VPN, который предлагает защиту от утечки DNS, полную защиту IPv6, поддержку OpenVPN и возможность работать с любыми возможными прозрачными прокси DNS.

Для получения дополнительной информации о ваших параметрах VPN, обязательно прочитайте мои обзоры VPN, где я провожу лучших провайдеров VPN сегодня по их шагам и рассказываю, насколько хорошо каждая VPN работает и защищает вас.

Вывод

В этой статье мы рассмотрели, что такое утечка DNS, почему это плохо, как протестировать, чтобы убедиться, что ваш VPN не протекает, и как это исправить, если она есть..

Лучший способ убедиться, что ваша VPN не пропускает информацию о вашем запросе DNS, открывая тем самым ваши онлайн-путешествия для любопытных глаз посторонних, — это найти надежного поставщика VPN, который обеспечивает VPN-соединения с защитой от утечек..

Я считаю, что ExpressVPN — лучший выбор, поскольку это универсальная, хорошо работающая VPN-служба, обеспечивающая надежную и защищенную от утечек защиту моего интернет-соединения..

Утечки DNS и IP: в чем разница и как их остановить?

Некоторые интернет-пользователи предпочитают при работе использовать VPN-сервисы, чтобы скрыть свой настоящий IP-адрес и зашифровать данные. Как правило, на такой шаг их толкает желание сохранить свою онлайн-конфиденциальность, а также ряд других причин. Тем не менее, все это будет зря, если ваши личные данные «утекают» в сеть из-за уязвимостей системы безопасности. Есть два основных вида таких утечек: утечка DNS и утечка WebRTC (IP).

Что такое утечка DNS?

Если вы хоть раз заходили в интернет, то вы сталкивались с системой доменных имен (Domain Name System, DNS), пусть даже сами о том не подозревая. DNS поддерживает базу данных доменных имен (например, vpnmentor.com) и переводит их в соответствующий числовой адрес (Internet Protocol, IP). Именно по этим адресам браузеры и находят сайты в сети. По сути, IP-адреса и доменные имена похожи на телефонную книжку, где у каждого человека есть имя и номер телефона.

Собственно говоря, доменные имена нужны только людям, тогда как компьютеры работают только с числами в формате IP-адресов Человеку может быть сложно запомнить адрес вроде 168.212.226.204, а вот запомнить доменное имя такого сайта может оказаться куда проще. Вот что происходит, когда ваш браузер открывает страницу сайта: ваш компьютер отправляет запрос DNS-серверам вашего интернет-провайдера и получает в ответ IP-адрес нужной веб-страницы. Но когда вы используете VPN-сервис, то запрос уходит на DNS-серверы не провайдера, а самого VPN-сервиса.

Как происходит утечка?

Из-за уязвимости в системе безопасности иногда DNS-запрос может попасть к вашему провайдеру, а не на серверы VPN-сервиса, которые смогут скрыть его от посторонних глаз. Собственно, именно в этом случае и происходит утечка DNS. Виной всему — незашифрованный DNS-запрос, отправленный вашим компьютером не через защищенный VPN-туннель. Данная уязвимость связана с самой операционной системой компьютера. Так, каждый сетевой интерфейс может иметь собственную систему DNS. И порой бывает так, что компьютер отправляет DNS-запросы прямиком провайдеру или даже на сторонние серверы (см. рисунок ниже), игнорируя шлюз по умолчанию и DNS-настройки вашего VPN-сервиса, что и приводит к утечке данных.

Все это позволяет провайдеру узнать, какие сайты посещает пользователь. А если вы используете VPN-сервис и вдруг узнали, что сидите под своим настоящим IP-адресом, то это значит лишь одно: все ваши DNS-запросы тоже попадают не на серверы VPN-сервиса, а прямо к провайдеру. К слову, некоторые провайдеры используют технологию Transparent DNS proxy («Прозрачный DNS-прокси»), которая заставляет устройства пользователя обращаться с DNS-запросами к серверам провайдера даже в том случае, когда вы выставили иные настройки DNS.

Что такое утечка WebRTC (IP)?

В 2015 году специалист по интернет-безопасности Дэниэль Рёслер (Daniel Roesler) сообщил об уязвимости, которая позволяет злоумышленникам перехватывать настоящий IP-адрес пользователя с помощью API (интерфейса программирования приложений), встроенного в большинство современных браузеров —Web Real Time Communication (WebRTC). Перехватить можно было даже данные тех пользователей, которые подключались к VPN-сервису. Отметим, что WebRTC используется в разных сетях для обмена данными между браузерами, обмена файлами по модели P2P, видео-звонков и не только.

Как происходит утечка?

Чтобы заставить WebRTC выдать ваш настоящий IP-адрес, нужно всего лишь несколько строчек кода. Все дело в так называемом STUN-сервере (сервере утилит прохождения сессий для NAT). STUN-сервер позволяет компьютерам и устройствам из вашей внутренней сети находить свои публичные IP-адреса (по сути, их интернет-адреса). VPN-сервисы тоже используют STUN-сервер для перевода вашего внутреннего сетевого адреса в публичный интернет-адрес и наоборот. Для этого STUN-сервер хранит базу данных, в которой собраны записи о ваших локальных и публичных IP-адресах.

Эта утечка вообще никак не связана с VPN-сервисами, от степени из защищенности в данном случае ничего не зависит. Проблема кроется в уязвимости вашего браузера — точнее, в WebRTC. Когда модуль WebRTC браузера принимает запросы от STUN-сервера, он отправляет обратно сообщение, в котором содержатся оба ваших IP-адреса (внутренний и публичный), а также другие данные.

Содержимое сообщения, то есть реальный IP-адрес пользователя, можно узнать, если написать крохотную программу на JavaScript. Для нее нужно лишь одно: чтобы в браузере поддерживался WebRTC (ну и саму программу еще написать надо, конечно). И если WebRTC включен в вашем браузере, то он будет принимать запросы от STUN-сервера и отправлять обратно ответы.

Подведем итог: идеальных систем нет, у всех есть свои ошибки и уязвимости, которые остаются до поры скрытыми. Поэтому важно использовать надежный VPN-сервис, который своевременно устраняет все найденные уязвимости. Обязательно проверьте ваш VPN-сервис на предмет утечек данных и примите против них меры, если окажется, что и вы находитесь в зоне риска.

При посещении сайтов вы передаете им свою конфиденциальную информацию!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *