Утечка DNS

A Утечка DNS относится к недостатку безопасности, который позволяет выявлять запросы DNS к DNS-серверам ISP, несмотря на использование VPN, чтобы попытаться скрыть их. Хотя в первую очередь это касается пользователей VPN, но также можно предотвратить это для прокси и прямых пользователей Интернета.

Уязвимость позволяет интернет-провайдеру, а также любым находящимся по пути перехватчикам видеть, какие веб-сайты может посещать пользователь. Это возможно, поскольку DNS-запросы браузера отправляются на DNS-сервер провайдера напрямую, а не через VPN.

Это происходит только с некоторыми типами f VPN, например виртуальные частные сети с «раздельным туннелем», в которых трафик все еще может передаваться через интерфейс локальной сети, даже если виртуальная частная сеть активна.

Начиная с Windows 8, Microsoft представила «Умное именованное разрешение для нескольких домашних устройств». Это изменило способ обработки DNS-запросов Windows 8, гарантируя, что DNS-запрос может проходить через все доступные сетевые интерфейсы на компьютере. Хотя существует общее мнение, что этот новый метод разрешения доменных имен ускоряет время, необходимое для завершения поиска DNS, он также подвергает пользователей VPN утечкам DNS при подключении к конечной точке VPN, поскольку компьютер больше не будет использовать только DNS-серверы, назначенные службой VPN. Вместо этого DNS-запрос будет отправлен через все доступные интерфейсы, таким образом, DNS-трафик будет выходить из VPN-туннеля и открывать DNS-серверы пользователя по умолчанию.

Существуют веб-сайты, позволяющие проводить тестирование, чтобы определить, происходит ли утечка DNS. Утечки DNS можно устранить несколькими способами:

• Шифрование DNS-запросов с помощью DNS через HTTPS или DNS через TLS, что предотвращает обнаружение запросов перехватчиками на пути.
• Использование клиента VPN, который отправляет запросы DNS через VPN. Не все приложения VPN успешно устраняют утечки DNS, как это было обнаружено в исследовании, проведенном Содружеством научных и промышленных исследований в 2016 году, когда они провели углубленное исследование под названием «Анализ рисков конфиденциальности и безопасности при разрешении Android VPN - включили приложения "и обнаружили, что 84% из 283 VPN-приложений в Google Play Store, которые они тестировали, имели утечку DNS-запросов.
• Изменение DNS-серверов на локальном компьютере для целых сетевых адаптеров или настройка их к разным. Для этого доступны сторонние приложения, такие как NirSoft quicksetdns.
• Использование Firewall для отключения DNS на всем устройстве (обычно исходящие соединения UDP и реже TCP-порт 53) или настройка DNS-серверов на несуществующие, такие как local 127.0.0.1 или 0.0.0.0 (через командную строку или стороннее приложение, если это невозможно через графический интерфейс ОС). Для этого требуются альтернативные способы разрешения доменов, подобные упомянутым выше, или использование в приложениях с настроенным прокси-сервером, или использование вспомогательных приложений прокси, таких как Proxifier или ProxyCap, что позволяет разрешать домены через прокси. Многие приложения позволяют настраивать прокси вручную или использовать прокси, уже используемый системой.
• Использование полностью анонимных веб-браузеров, таких как Tor Browser, который не только делает пользователя анонимным, но и не требует никаких DNS для настройки в операционной системе.
• Использование прокси или vpn, общесистемное, через сторонние помощники приложений, такие как Proxifier, или в виде расширения веб-браузера. Однако большинство расширений в Chrome или Firefox сообщают о ложноположительном рабочем состоянии, даже если они не подключались, поэтому рекомендуется использовать сторонний веб-сайт для проверки IP и DNS на утечку. Это ложное рабочее состояние обычно возникает, когда два расширения прокси или vpn пытаются использовать одновременно (например, расширения Windscribe VPN и FoxyProxy).