Как проверить и исправить утечку DNS и IP

Нет смысла в ВПН, если он не делает вас анонимным в интернете. Устраняем утечки DNS и IP вручную и автоматически. Проверяем утечку через все тесты.

DNS (система доменных имен) – это технология, преобразовывающая доменные имена (по типу vpnkitut.com) в IP-адрес (по типу 192.168.123.132). Если проще, это каталог наименований, которым присваиваются уникальные идентификаторы (IP-адреса). Суть в том, что сервера не считывают домены, а определяют только IP – на их основании и устанавливается стабильное соединение.

Утечка DNS – это сбой конфигурации сети, при котором конфиденциальная информация становится уязвимой из-за отправки запросов по небезопасным ссылкам, вместо использования VPN-подключения. В незащищенной, уязвимой системе, трафик могут перехватить посторонние лица: интернет-провайдер, поставщик DNS или хакеры.

Чем грозит утечка DNS и IP?

При отправке запроса на DNS-сервер трафик не шифруется, а значит при утечке можно определить, откуда и к какому сайту направлен сигнал. Подобный сбой в системе безопасности раскрывает реальное географическое положение и лишает компьютер анонимности.

Посторонние лица (провайдер, работодатель) могут узнать, какие ресурсы посещал человек. Злоумышленники могут использовать эту информацию для фишинговых атак или пересылки вредоносного кода.

Когда пользователь подключается к VPN, предполагается, что весь трафик будет проходить через отдельный сервер. К этому относятся и DNS-запросы. Для них выделяется зашифрованный туннель, ведущий напрямую к серверам системы доменных имен (DNS) поставщика VPN. Однако в некоторые случаях в механизме образуется брешь защиты, в результате которой отправляются стандартные запросы, принадлежащие интернет-провайдеру (ISP). Возможные причины утечки:

• На компьютере установлен Windows 8 или другая версия ОС со включенной функцией "Улучшенное многоадресное разрешение имен";
• Настройки устройства были сброшены до заводских;
• VPN был настроен вручную;
• Используется поставщик VPN, не использующий собственные DNS-серверы и пренебрегающий защитой трафика.

В большинстве случаев утечка происходит из-за неправильной настройки устройства. Если используется надежный VPN-сервис со встроенной защитой трафика, то потерь быть не может. Поэтому нужно выбрать правильного поставщика VPN услуг, не подвергающего своих пользователей риску потери конфиденциальности.

Для примера: ExpressVPN использует только собственные DNS сервера и обрабатывает запросы без участия посторонних платформ. Для защиты трафика используются высокопроизводительные технологии вычисления, протоколы шифрования и туннелирования. При этом ExpressVPN обеспечивает стабильное и быстрое соединение благодаря протоколу Lightway, созданному на основе высшей математики.

Скачать ExpressVPN бесплатно на 30 дней

Типы утечек DNS

Существует несколько разных сценариев, при которых DNS становятся доступным для третьих лиц:

• Локальная утечка – компьютер отправляет запросы на собственный локальный сервер, а не на тот, который предоставлен VPN-сервисом;
• Глобальная утечка – запросы передаются на серверы за пределами защищенного туннеля VPN (провайдеру, владельцу DNS-сервера);
• Утечка через WebRTC – встречается при использовании браузеров, поддерживающих технологию WebRTC (Chrome, Firefox).

Как проверить сеть на утечки?

Для проверки VPN-соединения на предмет утечки нужно:

• Открыть специальный сайт для тестирования. При помощи этого сервиса можно не только выявить брешь в безопасности, но и получить рекомендации о том, как устранить обнаруженные проблемы.
• Проверить, соответствует ли реальности отображаемый IP-адрес и местоположение. Если система показывает настоящие данные, то устройство не подключено к VPN, либо сервер не защищен/работает неправильно.
• Запустить Стандартный или Расширенный тест. Если устройство подключено к VPN-серверу, но проверка показывает реальные DNS-серверы провайдера, то трафик не защищен и возможна утечка информации. Если данные изменены – система в безопасности.

Проверка защищенности запросов при помощи VPN-сервисов:

• На сайте ExpressVPN и SurfShark есть бесплатный тест на утечку: DNS, IP-адресов и WebRTC — стандарт передачи видео и аудио данных, а также потокового контента между браузерами (читайте лучший VPN для браузеров). Система проверяет, может ли провайдер видеть запросы пользователя и предлагает решения по обеспечению конфиденциальности трафика;
• В NordVPN – есть встроенный тест на утечку DNS.

Принцип работы теста на утечку DNS

Тест в автоматическом режиме проверяет, на какие DNS-серверы отправляет запросы устройство. Если они соответствуют серверам интернет-провайдера – это говорит о том, что возможна утечка информации. Для проверки не обязательно использовать специализированный сайт. Другие варианты:

• Использовать специализированное ПО или расширения для браузера (работают по аналогичному принципу);
• Вручную просмотреть настройки маршрутизатора и сравнить с серверами VPN и провайдера.

Утечки DNS из-за встроенных инструментов Windows

В операционной системе Windows 8.1, 8 и 10 есть функция "Smart Multi — Homed Name Resolution" — это инструмент, используемый для повышения скорости интернет-соединения. Он направляет все DNS-запросы на доступные сервера. В первых версиях инструмент только принимал ответы от нестандартных серверов – даже в случае, если установленные по умолчанию не отвечали (смотрите также все лучшие VPN для ПК Windows).

Эта технология не может использоваться вместе с VPN, так как повышает риск утечки запросов. В Windows 10 ситуация только ухудшилась – система принимает все сигналы от DNS-серверов, которые среагировали первыми. Такое решение не только приводит к риску утечки DNS, но и делает устройство уязвимым для спуфинг-атак (злоумышленник выдает себя за надежный источник и получает доступ к личной информации).

Со встроенными функциями Windows бывает сложно работать: потому это одна из самых неприятных причин, по которой может произойти потеря конфиденциальности. Инструмент можно отключить вручную через встроенный редактор Local Group Policy – и то, только в версии ОС Home Edition. При этом, даже тогда система будет направлять все DNS-запросы устройства на доступные сервера.

Сетевой протокол Teredo в Windows

Это технология передачи трафика, обеспечивающая стабильную совместную работу IPv6 и IPv4. Протокол также обеспечивает прямой процесс соединения и расшифровки адресов. Однако с VPN эта функция работает не лучшим образом, образуя брешь в системе безопасности.

Teredo – это протокол туннелирования, который может получить более высокий приоритет чем VPN. Он обходит защищенный канал и приводит к утечкам DNS. Решение простое – отключить Teredo:

• Открыть Командную строку от имени администратора.
• Прописать netsh interface teredo set state disabled и нажать Enter.

При использовании VPN этот протокол не обязателен. Однако если нет желания возиться с настройками и отключать его, можно воспользоваться платными сервисами. Например, ExpressVPN не позволяет Teredo обойти собственное туннелирование, но и предлагает собственные решения по обеспечению стабильности и скорости интернет-соединения через свой протокол (Lightway). Аналогичная скорость соединения доступна в NordVPN, неплохие показатели в PureVPN (до 20 Гбит/с и совместимость с 5G).

Перейти на сайт ExpressVPN

Правильная настройка сети

Если сеть работает правильно, то DNS-запросы будут направляться через VPN, а не напрямую через локальную сеть. Однако, не у всех поставщиков услуг есть собственные DNS-серверы. В таком случае можно использовать общедоступные решения. Например, серверы OpenDNS или Google Public DNS, которые более 10 лет открыты для всех и используют IP-адреса 8.8.8.8 и 8.8.4.4

Для смены DNS в Windows нужно:

• Зажать на клавиатуре Win+R.
• Ввести в строку ncpa.cpl, затем нажать "Выполнить".
• В "Сетевых подключениях" найти интернет-подключение, кликнуть по нему правой клавишей мыши и выбрать "Свойства".
• Среди компонентов подключения выбрать "IP версии 4" или "TCP/IPv4" и перейти в их "Свойства".
• Поставить галочку рядом с "Использовать следующие адреса…" и ввести DNS-серверы (например, 8.8.8.8 и 8.8.4.4 – от Google).

Однако такое решение все еще недостаточно безопасно. Лучше использовать VPN-сервисы, у которых есть собственные серверы. В настройках приложений ExpressVPN, Surfshark и NordVPN есть возможность включить автоматическое использование частных DNS. Тогда система будет настроена автоматически и все запросы будут проходить через защищенную сеть поставщика VPN-услуг.

Безопасные VPN, предотвращающие утечку DNS-запросов

При подключении к проверенным поставщикам, устройство использует специальные DNS-серверы. Все запросы проходят через зашифрованный туннель и обрабатываются на том же сервере, к которому подключены. Рекомендуемые VPN-сервисы:

Также для безопасности не стоит менять DNS-серверы, если их поставщиком является надежный сервис. Указанные VPN используют собственные ресурсы и системы шифрования, чтобы устранить бреши в защите. Пользователю не придется переопределять DNS-серверы на своем устройстве. Приложения позволяют настроить все автоматически без дополнительного вмешательства.

При этом, у указанных VPN-провайдеров работает служба поддержки. Если у пользователя проблемы и он не может определить причину утечки – достаточно связаться со специалистами, которые помогут найти ошибку.