Как устранить утечку dns в windows 10

Время прочтения
2 мин

Просмотры 35K

Как вы уже можете знать, резолвер DNS в Windows 10 отправляет DNS-запросы на все интерфейсы параллельно, что часто бывает либо просто неудобно, когда используется так называемый Split Tunneling и DNS внутри VPN-туннеля отдает внутренние адреса для внутренних ресурсов, а Windows не может понять, что к чему, либо и вовсе создает угрозу безопасности, как в случае утечки DNS через публичный Wi-Fi.

Решить проблему можно разными способами, например, временно добавив правила firewall для блокировки 53 порта на всех интерфейсах, кроме интерфейса VPN, либо установить на всех интерфейсах, кроме VPN, DNS в 127.0.0.1.

Однако, эти способы вносят изменения, выдерживающие перезагрузку, поэтому, если во время работы VPN у вас случайно отключили электричество или VPN-демон просто упал, вы останетесь с неработающим интернетом. Ничего хорошего в этом нет.

Однако есть способ лучше, который вносит только временные изменения и не оставит пользователя без интернета.

Windows Filtering Platform

Начиная с Windows Vista, на замену устаревшим технологиям обработки трафика вроде NDIS, TDI и LSP приходит WFP — современная, легкая и удобная технология, которая работает как в режиме ядра, так и в пользовательском режиме. Современные версии Брандмауэра Windows как раз используют WFP, как и все сторонние файрволлы и антивирусы с возможностью проверки трафика.

Драйвер режима ядра может просматривать, модифицировать и логировать пакеты и просто поток данных, а userspace-фильтры могут пропускать, отбрасывать, задерживать или направлять трафик в ядерный драйвер, основываясь на информации из Ethernet-фрейма или IP-пакета и их заголовков, а также (на уровне ALE) интерфейса источника и назначения, ID процесса, полный путь к exe, и некоторой другой.

WFP-фильтр может добавлять постоянные фильтры, которые выживают после перезагрузки, даже если ПО, установившее их, не было больше запущено, временные фильтры, которые сохраняются после завершения программы, но не после перезагрузки, и сессионные, которые действуют только тогда, когда программа, создавшая их, все еще исполняется.

Фильтра пользовательского режима с сессионными фильтрами вполне достаточно для наших задач, а нам нужно:

• Запретить все исходящие пакеты от всех интерфейсов на порт 53 по UDP/TCP и IPv4/IPv6
• Разрешить любой трафик с TAP-интерфейса (-ов) OpenVPN

Все это вылилось в плагин для OpenVPN, однако исходный код может быть собран и как обычный исполняемый файл:
github.com/ValdikSS/openvpn-fix-dns-leak-plugin

Чтобы использовать данный плагин, скачайте .dll-файлы из репозитория, положите их в папку config рядом с конфигурационным файлом, и добавьте в него строку:

plugin fix-dns-leak-32.dll

для 32-битной системы и 32-битной версии OpenVPN, или

plugin fix-dns-leak-64.dll

соответственно для 64-битной системы с 64-битным OpenVPN.

Теперь можно не бояться использовать VPN на Windows 10 через публичный Wi-Fi.

UPD: В OpenVPN 2.3.9 появилась опция для блокирования сторонних DNS: block-outside-dns. Используйте ее, а не плагин.

Конфиденциальность и целостность данных является основной проблемой в киберпространстве.С увеличением числа кибератак, важно регулировать и тестировать систему обработки данных для проверки мер безопасности для безопасного просмотра веб-страниц. Браузеры в эти дни построены с особой архитектурой безопасности и предлагают конкретные ресурсы, такие как дополнения и плагины для повышения веб-безопасности. В этой статье мы обсудим утечки DNS , которые, кстати, основная проблема с сетевой конфигурации и поищем способы, чтобы исправить и не допустить утечки DNS в Windows 10.

Прежде чем мы начнем, давайте быстро изучим роль DNS.

Поскольку мы все знаем, как доменное имя используется в браузерах для поиска веб-страниц в интернете, проще говоря, доменное имя представляет собой набор строк, которые могут быть легко прочитаны и запомнены людьми. В то время как люди получают доступ к веб-страницам с доменным именем, компьютеры получают доступ к веб-страницам с помощью IP-адреса. Таким образом, в основном для того, чтобы получить доступ к любым веб-сайтам, необходимо преобразовать удобочитаемое доменное имя в машиночитаемый IP-адрес.

DNS-сервер хранит все доменные имена и соответствующий IP-адрес. Каждый раз, когда вы переходите к URL-адресу, вы сначала будете направлены на DNS-сервер, чтобы сопоставить доменное имя с соответствующим IP-адресом, а затем запрос перенаправится на требуемый компьютер. Например, если ввести URL-адрес www.gmail.com, ваша система отправляет запрос на DNS-сервер. Затем сервер сопоставляет соответствующий IP-адрес для доменного имени и направляет браузер на веб-сайт. Как правило, эти DNS-серверы предоставляются Вашим Интернет-провайдером (ISP).

Таким образом, DNS-сервер является хранилищем доменных имен и соответствующего адреса Интернет-протокола.

Что такое утечка DNS

Интернете существует множество положений по шифрованию данных, передаваемых между вашей системой и удаленным веб-сайтом. Ну, одного шифрования Контента недостаточно. Как шифрование контента, нет никакого способа зашифровать адрес отправителя, а также адрес удаленного веб-сайта. По странным причинам DNS-трафик не может быть зашифрован, что в конечном итоге может предоставить всю вашу онлайн-активность любому, кто имеет доступ к DNS-серверу.

То есть, каждый сайт, который посетит пользователь, будет известен, если просто изучить журналы DNS.Таким образом, пользователь теряет всю конфиденциальность при просмотре в интернете и существует высокая вероятность утечки данных DNS для вашего интернет-провайдера. В двух словах, как и интернет-провайдер, любой, кто имеет доступ к DNS-серверам законным или незаконным способом, может отслеживать все ваши действия в интернете.

Чтобы смягчить эту проблему и защитить конфиденциальность пользователя, используется технология виртуальной частной сети (VPN), которая создает безопасное и виртуальное соединение по сети. Добавление и подключение системы к VPN означает, что все ваши DNS-запросы и данные передаются в безопасный VPN-туннель. Если запросы DNS вытекают из безопасного туннеля, то запрос DNS, содержащий такие сведения, как адрес получателя и адрес отправителя, отправляется по незащищенному пути. Это приведет к серьезным последствиям, когда вся ваша информация будет передана вашему интернет-провайдеру, в конечном итоге, раскрыв адрес всех Хостов веб-сайта, к которым вы имеете доступ.

Что вызывает утечки DNS в Windows 10

Наиболее распространенной причиной утечек DNS является неправильная конфигурация сетевых параметров. Ваша система должна быть сначала подключена к локальной сети, а затем установить соединение с VPN-туннелем. Для тех, кто часто переключает Интернет с точки доступа, Wi-Fi и маршрутизатора, ваша система наиболее уязвима к утечкам DNS. Причина заключается в том, что при подключении к новой сети ОС Windows предпочитает DNS-сервер, размещенный шлюзом LAN, а не DNS-сервер, размещенный службой VPN. В конце концов, DNS-сервер, размещенный LAN gateway, отправит все адреса интернет-провайдерам, раскрывающим вашу онлайн-активность.

Кроме того, другой основной причиной утечки DNS является отсутствие поддержки адресов IPv6 в VPN. Как вам известно, что ИП4 адреса постепенно заменяются IPv6 и во всемирной паутине еще в переход фазы от IPv4 к IPv6. Если ваш VPN не поддерживает IPv6-адрес, то любой запрос на IPv6-адрес будет отправлен в канал для преобразования IPv4 в IPv6. Это преобразование адресов в конечном итоге обойдет безопасный туннель VPN, раскрывающий всю онлайн-активность, приводящую к утечкам DNS.

Как проверить, подвержены ли вы утечкам DNS

Проверка утечек DNS-довольно простая задача. Следующие шаги помогут Вам сделать простой тест на утечку DNS с помощью бесплатного онлайн-теста.

Для начала подключите компьютер к VPN.

Далее, посетите dnsleaktest.com.

Нажмите на стандартный тест и дождитесь результата.

Если вы видите информацию о сервере, относящуюся к вашему интернет-провайдеру, ваша система утекает DNS. Кроме того, ваша система подвержена утечкам DNS, если вы видите какие-либо списки, которые не направлены в рамках службы VPN.

Как исправить утечку DNS

Системы Windows уязвимый к утечкам DNS и всякий раз, когда вы подключаетесь к интернету, параметры DHCP автоматически считает DNS-серверы, которые могут принадлежать поставщику услуг Интернета.

Чтобы исправить эту проблему вместо того, чтобы использовать настройки DHCP попробуйте использовать статические DNS-сервера или публичного DNS-сервисы или что-нибудь рекомендованный открытия сетевого проекта. Сторонние DNS-серверы, как в Comodo защищенной DNS, видит, на Cloudflare ДНСи т. д., рекомендуется, если ваш VPN программное обеспечение не имеет каких-либо имущественных сервера.

Чтобы изменить настройки DNS откройте Панель управления и перейдите в Центр управления сетями. Перейдите в Изменение параметров адаптера в левой панели и найдите ваш сеть и кликните правой кнопкой мыши на значок сети. Выберите Свойства из выпадающего меню.

Найдите Протокол Интернета версии 4 в окне и затем щелкните на нем и затем перейдите к свойствам.

Нажмите на радио-кнопку Использовать следующие адреса dns-серверов.

Введите Предпочитаемый и Альтернативный адреса dns-серверов, которые вы хотите использовать.

Если вы хотите использовать Google в открытых DNS — сервера, выполните следующие действия

• Укажите предпочтительный DNS-сервер и введите 8.8.8.8
• Укажите альтернативный DNS-сервер и введите 8.8.4.4

Нажмите кнопку ОК, чтобы сохранить изменения.

В связи с этим, рекомендуется использовать программное обеспечение для мониторинга VPN, хотя это может увеличить ваши расходы, это, безусловно, улучшит конфиденциальность пользователей. Кроме того, стоит отметить, что выполнение регулярного теста на утечку DNS пройдет сбор в качестве меры предосторожности.

Confidentiality and integrity of a data is the major concern in cyberspace.With the increase in the number of cyber attacks, it is important to regulate and test data processing system to verify security measures for a secure web browsing. The browsers these days are built with special security architecture and offer specific resources like add-ons and plugins to increase the web security. In this article, we discuss DNS leaks which happen to be the major problem with the network configuration and find the ways to fix and prevent the DNS leaks problem in Windows 10.

Before we begin let’s have a quick abstract about the role of DNS.

What is DNS

As we all know how Domain Name is used in browsers to find the web pages on the internet, in simple words Domain name is a collection of strings that can be easily read and remembered by humans. While humans access web pages with the domain name, machines access the web pages with the help of an IP address. So basically in order to access any websites, it is necessary to convert the human-readable domain name to the machine-readable IP address.

DNS server stores all the domain names and the corresponding IP address. Whenever you browse to a URL, you will be first directed to the DNS server to match the domain name to the respective IP address and then forward the request to the required computer. For example, if you type the URL say www.gmail.com, your system sends the request to DNS server. The server then matches the corresponding IP address for the domain name and routes the browser to the remote website. Generally, these DNS servers are provided by your Internet Service Provider(ISP).

In summary, DNS Server is the repository of the domain names and the corresponding Internet Protocol address.

Read: What is a DNS Hijacking.

What is DNS leak

On the Internet, there are numerous provisions to encrypt the data transferred between your system and the remote website.Well, Encrypting content alone is not enough. Like content encryption, there is no way to encrypt sender address as well as the address of the remote website. For strange reasons DNS traffic cannot be encrypted which eventually can expose all your online activity to anyone having access to DNS server.

That is,  every website visited by the user will be known by simply gaining access to the DNS logs.This way, the user loses all the privacy over browsing on the internet and there is a high probability of leaking the DNS data to your Internet Service Provider. In a nutshell, like the ISP, anyone who has access to DNS servers in a legal or illegal way can keep track of all your online activity.

In order to mitigate this problem and protect the privacy of the user,  Virtual Private Network (VPN) technology is employed that creates a safe and virtual connection over a network. Adding and connecting your system to VPN means that all your DNS requests and the data are passed to a secure VPN tunnel. If the DNS requests leak out of the secure tunnel, the DNS query enclosing the information like the recipient address and sender address is sent over an unsecured path. This will result in serious consequences where all your information is routed to your Internet service provider eventually revealing the address of all the website hosts you access.

Read: What is DNS Cache Poisoning?

What causes DNS leaks in Windows 10

The most common cause of DNS leaks is the improper configuration of the network settings.Your system should first be connected to a local network and then establish a connection to VPN tunnel. For those who often switch the internet from hotspot, WiFi, and router, your system is most vulnerable to DNS leaks. The reason is when you connect to the new network, the Windows OS prefers DNS server hosted by the LAN gateway instead of the DNS server hosted by the VPN service. Eventually, the DNS server hosted by LAN gateway will send all the address to the Internet service providers disclosing your online activity.

Also, another major cause of DNS leak is the lack of IPv6 addresses support in VPN. As you are aware that IP4 address are gradually being replaced with IPv6 and the world wide web is still in changeover phase from IPv4 to IPv6. If your VPN doesn’t support IPv6 address then any request for the IPv6 address is sent to the channel initially to convert from IPv4 to IPv6. This conversion of addresses will eventually bypass the VPN secure tunnel disclosing all the online activity leading to DNS leaks.

How to check if you are affected by DNS leaks

Checking for DNS leaks is quite a simple task. The following steps will guide you to make a simple DNS leak test using a free online service test.

To begin with, connect your computer to the VPN.

Next, visit the dnsleaktest.com website.

Click on Standard test and wait for the result.

Your system is leaking DNS if you see the server information related to your ISP. Also, your system is affected by DNS leaks if you see any lists that are not directed under VPN service.

How to fix the DNS leak

Windows system sre vulnerable to DNS leaks and whenever you connect to the internet, the DHCP settings automatically considers the DNS servers that may belong to Internet Service Provider.

To fix this problem instead of using DHCP settings try to use static DNS server or public DNS services or anything recommended by the Open NIC Project. Third party DNS servers like Comodo Secure DNS, OpenDNS, Cloudflare DNS, etc, are recommended if your VPN software doesn’t have any proprietary servers.

To change DNS settings open Control panel and go to Network and Sharing Center. Navigate to Change Adapter Settings on the left-hand panel and locate your network and Right click on the network icon. Select Properties from the drop-down menu.

Locate and search  Internet Protocol Version 4 in the window and then click on it and then go to Properties.

Click on the radio button Use the following DNS server addresses.

Enter the Preferred and Alternate address for DNS servers you wish to use.

If you want to use Google Public DNS server, follow these steps

• Locate preferred DNS server and type 8.8.8.8
• Locate alternate DNS server and type 8.8.4.4.

Click on OK to save the changes.

On a related note, it is advised to use a monitoring software for VPN, although it may top up your expenses, it certainly would ameliorate the users’ privacy. Also, it is worth mentioning that performing regular DNS leak test would pass muster as a precautionary measure.

Confidentiality and integrity of a data is the major concern in cyberspace.With the increase in the number of cyber attacks, it is important to regulate and test data processing system to verify security measures for a secure web browsing. The browsers these days are built with special security architecture and offer specific resources like add-ons and plugins to increase the web security. In this article, we discuss DNS leaks which happen to be the major problem with the network configuration and find the ways to fix and prevent the DNS leaks problem in Windows 10.

Before we begin let’s have a quick abstract about the role of DNS.

What is DNS

As we all know how Domain Name is used in browsers to find the web pages on the internet, in simple words Domain name is a collection of strings that can be easily read and remembered by humans. While humans access web pages with the domain name, machines access the web pages with the help of an IP address. So basically in order to access any websites, it is necessary to convert the human-readable domain name to the machine-readable IP address.

DNS server stores all the domain names and the corresponding IP address. Whenever you browse to a URL, you will be first directed to the DNS server to match the domain name to the respective IP address and then forward the request to the required computer. For example, if you type the URL say www.gmail.com, your system sends the request to DNS server. The server then matches the corresponding IP address for the domain name and routes the browser to the remote website. Generally, these DNS servers are provided by your Internet Service Provider(ISP).

In summary, DNS Server is the repository of the domain names and the corresponding Internet Protocol address.

Read: What is a DNS Hijacking.

What is DNS leak

On the Internet, there are numerous provisions to encrypt the data transferred between your system and the remote website.Well, Encrypting content alone is not enough. Like content encryption, there is no way to encrypt sender address as well as the address of the remote website. For strange reasons DNS traffic cannot be encrypted which eventually can expose all your online activity to anyone having access to DNS server.

That is,  every website visited by the user will be known by simply gaining access to the DNS logs.This way, the user loses all the privacy over browsing on the internet and there is a high probability of leaking the DNS data to your Internet Service Provider. In a nutshell, like the ISP, anyone who has access to DNS servers in a legal or illegal way can keep track of all your online activity.

In order to mitigate this problem and protect the privacy of the user,  Virtual Private Network (VPN) technology is employed that creates a safe and virtual connection over a network. Adding and connecting your system to VPN means that all your DNS requests and the data are passed to a secure VPN tunnel. If the DNS requests leak out of the secure tunnel, the DNS query enclosing the information like the recipient address and sender address is sent over an unsecured path. This will result in serious consequences where all your information is routed to your Internet service provider eventually revealing the address of all the website hosts you access.

Read: What is DNS Cache Poisoning?

What causes DNS leaks in Windows 10

The most common cause of DNS leaks is the improper configuration of the network settings.Your system should first be connected to a local network and then establish a connection to VPN tunnel. For those who often switch the internet from hotspot, WiFi, and router, your system is most vulnerable to DNS leaks. The reason is when you connect to the new network, the Windows OS prefers DNS server hosted by the LAN gateway instead of the DNS server hosted by the VPN service. Eventually, the DNS server hosted by LAN gateway will send all the address to the Internet service providers disclosing your online activity.

Also, another major cause of DNS leak is the lack of IPv6 addresses support in VPN. As you are aware that IP4 address are gradually being replaced with IPv6 and the world wide web is still in changeover phase from IPv4 to IPv6. If your VPN doesn’t support IPv6 address then any request for the IPv6 address is sent to the channel initially to convert from IPv4 to IPv6. This conversion of addresses will eventually bypass the VPN secure tunnel disclosing all the online activity leading to DNS leaks.

How to check if you are affected by DNS leaks

Checking for DNS leaks is quite a simple task. The following steps will guide you to make a simple DNS leak test using a free online service test.

To begin with, connect your computer to the VPN.

Next, visit the dnsleaktest.com website.

Click on Standard test and wait for the result.

Your system is leaking DNS if you see the server information related to your ISP. Also, your system is affected by DNS leaks if you see any lists that are not directed under VPN service.

How to fix the DNS leak

Windows system sre vulnerable to DNS leaks and whenever you connect to the internet, the DHCP settings automatically considers the DNS servers that may belong to Internet Service Provider.

To fix this problem instead of using DHCP settings try to use static DNS server or public DNS services or anything recommended by the Open NIC Project. Third party DNS servers like Comodo Secure DNS, OpenDNS, Cloudflare DNS, etc, are recommended if your VPN software doesn’t have any proprietary servers.

To change DNS settings open Control panel and go to Network and Sharing Center. Navigate to Change Adapter Settings on the left-hand panel and locate your network and Right click on the network icon. Select Properties from the drop-down menu.

Locate and search  Internet Protocol Version 4 in the window and then click on it and then go to Properties.

Click on the radio button Use the following DNS server addresses.

Enter the Preferred and Alternate address for DNS servers you wish to use.

If you want to use Google Public DNS server, follow these steps

• Locate preferred DNS server and type 8.8.8.8
• Locate alternate DNS server and type 8.8.4.4.

Click on OK to save the changes.

On a related note, it is advised to use a monitoring software for VPN, although it may top up your expenses, it certainly would ameliorate the users’ privacy. Also, it is worth mentioning that performing regular DNS leak test would pass muster as a precautionary measure.

В статье VPN безопасность мы уже рассказывали про утечку VPN-трафика. В другой похожей статье мы говорили об утечке WebRTC в браузерах, а в этой статье речь пойдет об утечке DNS-трафика. Которая затрагивает всех, и даже тех кто использует VPN-сервисы и считает, что находится за каменной стеной.

Здравствуйте друзья! Сегодня я расскажу что такое утечка DNS, почему вы должны об этом знать и как от этого защититься используя бесплатную утилиту DNSCrypt.

Утечка DNS

Содержание

• Предисловие
• Что значит утечка DNS
• Как проверить утечку DNS
• Как исправить утечку DNS используя DNSCrypt
  • Скачивание DNSCrypt
  • Установка DNSCrypt
  • Использование DNSCrypt
• DNSCrypt в Yandex браузере
• DNSCrypt в роутере
• Заключение
• Оценка и отзывы

Что значит утечка DNS?

При использовании HTTPS или SSL ваш HTTP трафик зашифрован, то есть защищен (не идеально, но защищен). Когда вы используете VPN, весь ваш трафик полностью шифруется (разумеется уровень и качество защиты зависит от правильной настройки VPN, но обычно все настроено и работает правильно).

Но бывают ситуации в которых даже при использовании VPN, ваши DNS-запросы передаются в открытом незашифрованном виде. Это открывает злоумышленнику большие возможности для творчества. Хакер может перенаправить трафик, применить MITM-атаку (человек посередине) и сделать еще кучу других вещей, которые могут поставить под угрозу вашу безопасность и анонимность в сети.

Давайте попробуем разобраться в этом вопросе поглубже. Если вас не интересует теория, но волнует безопасность, можете сразу переходить к следующей главе. Если хотите знать побольше, усаживайтесь поудобнее, сейчас я вам вынесу мозг.

В нашем примере на рисунке ниже вы видите как пользователь (компьютер) пытается обратиться к сайту www.spy-soft.net (это может быть и любой другой сайт). Для того чтобы попасть на сайт он должен сначала разрешить символьное имя узла в IP-адрес.

Если же конфигурация сети такова, что используется DNS-сервер провайдера (незашифрованное соединение, отмечено красной линией), то разрешение символьного имени в IP-адрес происходит по незашифрованному соединению.

Что в этом страшного?

Во-первых, в такой ситуации провайдер может просмотреть историю DNS и узнать какие сайты вы посещали. Он конечно не узнает какие именно данные передавались, но адреса сайтов он сможет просмотреть запросто.

Во-вторых, есть большая вероятность оказаться жертвой хакерской атаки. Такой как: DNS cache snooping и DNS spoofing.

Что такое DNS снупинг и спуфинг?

Вкратце для тех кто не в курсе.

DNS снупинг — с помощью  этой атаки злоумышленник может удаленно узнавать какие домены были недавно отрезолвлены на DNS-сервере, то есть на какие домены недавно заходила жертва. 

DNS спуфинг — атака, базируется на заражении кэша DNS-сервера жертвы ложной записью о соответствии DNS-имени хоста, которому жертва доверяет.

Так как запросы не шифруются, кто-то между вами и провайдером может перехватить и прочитать DNS-запрос,  после чего отправить вам поддельный ответ. В результате, вместо того чтобы посетить наш любимый spy-soft.net, gmail.com или vk.com, вы перейдете на поддельный или как еще говорят фейковый сайт хакера (поддельным будет не только вид страницы, но и урл в адресной строке), после чего вы введете свой логин и пароль, ну а потом сами понимаете что будет. Данные авторизации будут в руках злоумышленника.

Описанная ситуация называется утечка DNS (DNS leaking). Она происходит, когда ваша система для разрешения доменных имен даже после соединения с VPN-сервером или сетью Tor продолжает запрашивать DNS сервера вашего провайдера. Каждый раз когда вы попытаетесь зайти на сайт, соединится с новым сервером или запустить какое-нибудь сетевое приложение, ваша система будет обращаться к DNS серверам провайдера, чтобы разрешить имя в IP-адрес. В итоге какой-нибудь хакер или ваш провайдер смогут узнать все имена узлов, к которым вы обращаетесь.

Если вам есть что скрывать, тогда я вам предлагают использовать простое решение — DNSCrypt. Можно конечно прописать какие-нибудь другие DNS-сервера и пускать трафик через них. Например сервера Гугла 8.8.8.8 или того же OpenDNS 208.67.222.222, 208.67.220.220.  В таком случае вы конечно скроете от провайдера историю посещения сайтов, но расскажите о своих сетевых путешествиях Гуглу. Кроме этого никакого шифрования DNS трафика не будет, а это большой недостаток. Не знаю как вас, но меня это не возбуждает, я лучше установлю DNSCrypt.

Как проверить утечку DNS

Перед тем как мы перейдем к самой утилите, я бы хотел познакомить вас со специальными онлайн-сервисами. Они позволяют проверить утечку DNS.

Один из таких — сайт DNS Leak Test. Для проверки перейдите по ссылке и нажмите кнопку «Extended test».

Через несколько секунд сервис отобразит список DNS-серверов, через которые проходят ваши запросы. Таким образом вы сможете узнать, кто именно может видеть вашу историю посещения сайтов.

Еще неплохой сервис — DNS Leak. Сайт предоставляет полную информацию о DNS серверах от вас до сервера.

Как устранить утечку DNS утилитой DNSCrypt

DNSCrypt — бесплатная утилита с открытым исходным кодом. Программа позволяет шифровать запросы DNS и использовать DNS сервера по вашему усмотрению. После установки на компьютер ваши соединения будут защищены, и вы сможете безопаснее серфить по просторам сети. Утилита в связке с Tor или VPN дает неплохую защиту.

Скачивание DNSCrypt

Скачать консольную версию утилиты DNSCrypt вы можете по этой прямой ссылке с Гитаба. Для того чтобы все выглядело гламурно: виндовские окошки, кнопочки и все такое, нужно скачать еще и GUI отсюда. Для вашего удобства я все засунул в один архив и залил на файлообменик. Вот ссылочка.

Для работы программы требуется Microsoft .NET Framework 2.0 и выше.

Скачать DNSCrypt для Mac OS X вы можете по этой ссылке с Гитаб или с файлообменка по ссылке выше.

Разработчик программы OpenDNS.

Установка DNSCrypt

В этой статье мы разберем работу с консольной версией утилиты. Настраивать ДНСКрипт будем на Windows 10. Установка на других версиях винды не отличается.

Итак, скачанный архив распаковываем и помещаем содержимое папки dnscrypt-proxy-win32 в любое место на компьютере. В моем примере я расположил в папке “C:Program FilesDNSCrypt”.

После чего откройте от имени администратора командною строку.

Теперь в командной строке перейдите в папку DNSCrypt. Сделать это можно с помощью команды:

cd «C:Program FilesDNSCrypt»

Кликаем сюда, если не можете скопировать команды.

После этого подготовимся к установке службы прокси. Для начала необходимо выбрать провайдера DNS. В архив я положил файл dnscrypt-resolvers.csv. Этот файлик содержит список большинства DNS провайдеров, которые поддерживает DNSCrypt. Для каждого отдельного провайдера есть название, описание, расположение и поддержка DNSSEC и Namecoin. Кроме этого файл содержит необходимые IP-адреса и открытые ключи.

Выберите любого провайдера и скопируйте значение в первом столбце. В моем случае я буду использовать CloudNS, поэтому я скопировал “cloudns-can”. Теперь необходимо убедится, что прокси может подключиться. Сделать это можно с помощью этой команды:

dnscrypt—proxy.exe —R «cloudns-can» —test=0

Если все правильно работает, вы увидите следующие выходные данные:

Если у вас не получилось, попробуйте выбрать другого провайдера и повторить попытку еще раз.

Если все прошло успешно, продолжим установку и введем следующую команду:

dnscrypt—proxy.exe —R cloudns—can —install

Если все правильно работает, вы увидите следующие выходные данные:

Скрин того как это должно выглядеть в командой строке:

После чего необходимо зайти в параметры протокола TCP/IP Windows и изменить настройки DNS на 127.0.0.1.

Для удаления службы ДНСКрипт необходимо вернуть сетевые настройки DNS в начальное состояние. Делается это с помощью этой команды:

dnscrypt—proxy —uninstall

Данная команда также может использоваться для смены провайдера DNS. После применения нужно повторить установку с параметрами другого провайдера.

Если у вас после всей этой процедуры по какой-то причине во время проверки все еще определяться IP-адрес DNS вашего интернет-провайдера, кликните по кнопке «Дополнительно», которая находится под прописанным IP 127.0.0.1. В появившемся окне «Дополнительные параметры…», перейдите на вкладку «DNS» и удалите все адреса DNS-серверов кроме «127.0.0.1».

Все, теперь утечка DNS устранена.

Вас также может заинтересовать статья «Как удалить кэш DNS», в которой рассказывалось об удалении записей DNS на компьютере.

DNSCrypt в Яндекс Браузере

С недавнего времени в браузере от Яндекс появилась поддержка ДНСКрипт. Ну что сказать, ребята из Яндекса работают и пытаются защитить пользователя — это здорово, но в отличие от утилиты DNSCrypt защита у Яндекса реализуется только на уровне браузера, а не уровне всей системы.

DNSCrypt в роутере

Также поддержка ДНСКрипт реализована в популярных прошивках OpenWrt. Подробнее об установке и другой дополнительной информации вы можете узнать на этой странице.

Заключение

Конечно же утилита ДНСКрипт и шифрование DNS в целом не является панацеей, да и вообще в информационной безопасности нет такого понятия как панацея. Мы только можем максимально улучшить нашу безопасность и анонимность, но сделать наше присутствие в сети неуязвимым на все 100% к сожалению не получится. Технологии не стоят на месте и всегда найдутся лазейки. Поэтому я предлагаю вам подписаться на наши новости в социальных сетях, чтобы всегда быть в курсе. Это бесплатно.

На этом все друзья. Надеюсь эта статья помогла вам решить проблему утечки DNS. Удачи вам в новом 2017 году, будьте счастливы!

Итак, что такое DNS-утечки? Это сбой, который происходит в настройках сети и приводит к быстрому раскрытию конфиденциальной информации, поскольку после него DNS-запросы передаются через незащищенные каналы, а не через VPN-подключение.

Когда вы пользуетесь услугами любого VPN-сервиса с хорошей репутацией, то DNS-запросы направляются через VPN-туннель к  DNS-серверам, а не по каналам вашего интернет-провайдера. Благодаря этому вы сохраняете анонимность, пока работаете в сети. В то же время, если у вашего VPN случится DNS-утечка, то анонимности уже не будет, и ваш интернет-провайдер сможет видеть все, что вы делаете в интернете.

Некоторое программное обеспечение, например Windows, имеет собственные настройки по умолчанию, согласно которым запросы к DNS-серверам отправляются через вашего интернет-провайдера, а не через VPN-туннель. Вот почему очень важно проводить тщательное тестирование на DNS-утечки, чтобы вы смогли увидеть все IP-адреса. К примеру, любой результат, который покажет вам “настоящее’ местоположение, может свидетельствовать о DNS-утечках. Вот несколько распространенных проблем и как их решить в 2018 году!

Это, возможно, самая распространенная причина DNS-утечек, особенно если вы заходите в Интернет через разные интерфейсы. Например, если вы пользуетесь своим домашним роутером, точками общественного доступа или сетью WiFi в кафе, то перед созданием зашифрованного туннеля в сети VPN устройство подключится к местной сети.

В этом случае, если вы проигнорируете правильные настройки, то станут возможны различные утечки. Мы обнаружили, что протокол, который автоматически определяет IP-адрес вашего устройства внутри вашей сети, отправляет через этот же DNS-сервер все ваши запросы (через веб-браузер). Такой сервер не всегда безопасен, и как только вы воспользуетесь сетью VPN, DNS-запросы начнут обходить зашифрованные туннели стороной, что приведет к DNS-утечкам.

В большинстве случаев, если настроить свою VPN-сеть так, чтобы в ней использовался предоставленный DNS-сервер, то DNS-запросы будут передаваться через  VPN, а не напрямую из вашей локальной сети.

В то же время, не у всех VPN-провайдеров есть свои собственные DNS-серверы. В этом случае подходящей альтернативой могут стать серверы типа Google Public DNS и Open DNS.

Сможете ли вы изменить настройки подобным образом или нет? Во многом это зависит от того, какое VPN-приложение и протокол безопасности вы используете. Можно настроить все это так, чтобы подключение происходило к нужному DNS-серверу автоматически или вручную независимо от того, какая у вас локальная сеть.

ОС Windows запустила инструмент “Smart Multi—Homed Name Resolution”, который предназначен для увеличения скорости интернет-подключения. Этот инструмент направляет все DNS-запросы к доступным серверам, но первоначально он принимал только DNS-ответы от нестандартных серверов — в том случае, если ваши серверы по умолчанию не отвечали.

Этот вариант не подходит пользователям VPN, потому что многократно увеличивает риск DNS-утечек. Что еще больше шокирует, так это то, что для Windows 10 такая функция по умолчанию принимает все ответы от DNS-серверов, ответивших первыми. Когда это происходит, появляется не только проблема DNS-утечек — вы становитесь уязвимы для спуфинг-атак.

Возможно, это самая сложная DNS-утечка, которую вам нужно устранить, особенно если вы работаете в ОС Windows 10. Это встроенная функция Windows, которую очень трудно изменить.  Если вы пользуетесь готовым протоколом OpenVPN, у вас больше шансов перенастроить эту функцию.

Функцию Smart Multi—Homed Name Resolution можно отключить вручную через Windows-редактор Local Group Policy. Для этого вам нужно пользоваться версией Windows Home Edition. Впрочем, учтите вот что (и это важно!): даже когда вы отключите эту функцию, Windows все еще будет направлять все ваши DNS-запросы на доступные серверы. Вот почему мы рекомендуем использовать протокол OpenVPN, поскольку он хорошо справляется с этой проблемой.

Teredo — это технология Microsoft, которая разработана для улучшения совместимости между IPv6 и IPv4. Это еще одна встроенная функция  Windows. Мы также обнаружили, что это важнейшая технология передачи данных, которая позволяет IPv6 и IPv4 сосуществовать вместе без сбоев. Более того, эта технология обеспечивает более прямой процесс передачи, получения и расшифровки v6-адресов по всем v4-подключениям.

К сожалению, для пользователей VPN эта функция представляет собой просто зияющую дыру в безопасности. Поскольку это программный протокол туннелирования, то он более приоритетный, чем протокол туннелирования вашего VPN-приложения. Он обходит защищенный туннель, из-за чего возникает множество DNS-утечек!

К счастью, Teredo можно быстро отключить через ОС Windows. Просто откройте командную строку и введите ‘netsh interface teredo set state disabled’.

Теперь, хоть у вас и могут возникнуть некоторые проблемы из-за отключения Teredo, но ваш трафик больше не будет обходить зашифрованные туннели VPN, а потому вы будете защищены должным образом.

Устранив перечисленные выше проблемы, вы с легкостью сможете избегать DNS-утечек в будущем. Помните, что если не выявить и не решить эти проблемы, то ваше интернет-подключение никогда не будет безопасным на 100%, даже если вы используете VPN. Вот почему проверить свою систему на DNS-утечки и убедиться, что вы всегда под надежной защитой — это задача первоочередной важности!

Что такое утечка DNS (DNS leak)? В чем опасность утечки DNS для простого пользователя? Суть проблемы. Что такое Прозрачный DNS-прокси? Как исправить утечку DNS? Как проверить утечку DNS? Ответы на вопросы в данной заметке.

DNS или система доменных имен используется для преобразования доменных имен, таких как hpc.by, в числовые IP-адреса, например 31.130.207.8, которые необходимы для маршрутизации пакетов данных в Интернете. Всякий раз, когда вашему компьютеру необходимо связаться с сервером в Интернете, например, когда вы вводите URL-адрес в браузере, ваш компьютер обращается к серверу DNS и запрашивает IP-адрес. Большинство интернет-провайдеров назначают своим клиентам DNS-сервер (DNS сервера ByFly Белтелеком), который они контролируют и используют для регистрации, учета, хранения ваших действий в Интернете.

При определенных условиях, даже при подключении к VPN или другой анонимной сети, операционная система будет продолжать использовать DNS-серверы по умолчанию вместо анонимных DNS-серверов, назначенных вашему компьютеру VPN. Утечки DNS представляют собой серьезную угрозу конфиденциальности, поскольку могут обеспечивать ложное чувство безопасности, в то время как частные данные утекают.

Если вы обеспокоены утечками DNS, вам также следует разобраться в технологии «Прозрачного DNS-прокси», чтобы убедиться, что выбранное вами решение остановит утечки DNS.

Что такое Прозрачный DNS-прокси

Некоторые интернет-провайдеры сейчас используют технологию под названием «Прозрачный DNS-прокси». Используя эту технологию, они перехватывают все запросы на поиск DNS (TCP/UDP порт 53) и прозрачно проксируют результаты. Это фактически заставляет вас использовать их службу DNS для всех запросов поиска DNS.

Если вы изменили настройки DNS на использование «открытой» службы DNS, такой как Google, Comodo или OpenDNS, ожидая, что ваш DNS-трафик больше не будет отправляться на DNS-сервер вашего провайдера, вы можете быть удивлены, узнав, что он использует прозрачное DNS-проксирование. Вы можете легко проверить это, нажав на кнопку dns leak test на домашней странице.

Если ваш провайдер использует прозрачный DNS-прокси, очень важно, чтобы вы использовали один из методов на странице исправления утечки dns, чтобы гарантировать, что при подключении к VPN ваши запросы не будут перехвачены.

В чем опасность утечки DNS для простого пользователя?

Посредством DNS запросов поисковые гиганты (Yandex, Google) и государство постоянно следят за юзерами. Это факт. Если первые идут на это ради наживы, вторые могут использовать как угодно…им.

Не для кого не секрет, что правовое поле в России и Беларуси испытывает некоторые трудности в системе распознавания типа «свой-чужой». Для того, чтобы не стать объектом пристального внимания со стороны государства, лучше всего просто быть немного в тени и не высовываться.

При этом гражданин должен понимать, что все его шаги в сети Интернет постоянно записываются на бесконечные носители информации провайдерами и хранятся очень долго. Интернет-провайдеры, в том числе и отечественный «Белтелеком», с их ресурсами могут хранить (и хранят) данные о каждом своем абоненте в течение десятилетий и не испытывать при этом никаких неудобств.

Информация у провайдера содержит, как минимум, следующие данные (MegaContacts просто отдыхает):

• Какой сайт посещал конкретный пользователь.
• ФИО пользователя, место жительства, телефоны.
• Тип устройства, операционная система, браузер, разрешение экрана.
• Где он при этом находился территориально.
• В какое время он это делал и как часто.
• Сколько длилась сессия.
• Какие формы заполнялись пользователем.
• При определенных условия может происходить прослушка сессии пользователя и перехват контроля по типу «атака посредника».

Атака посредника, или атака «человек посередине» (англ. Man in the middle (MITM)) — вид атаки в криптографии и компьютерной безопасности, когда злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом. Является методом компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет вмешательство в протокол передачи, удаляя или искажая информацию.

Почему утечки DNS сложно избежать?

Для повышении конфиденциальности и безопасности очень важно, чтобы весь трафик, исходящий с вашего компьютера, направлялся через анонимные сервера в сети Интернет. Идеально, чтобы все ваши запросы DNS шли через сервера, которые находятся вне юрисдикции вашего предполагаемого противника.

Противником может быть кто угодно — хакер, банковский мошенник, администратор сервера, ваш недоброжелатель и т.д. Если какой-либо трафик просочится за пределы защищенного соединения с сетью, любой ваш противник, отслеживающий трафик, сможет зарегистрировать вашу деятельность. И легко использовать ее против вас даже много лет спустя!

Проверить утечку DNS домашней или рабочей сети

Рабочей или домашней сетью можно считать любое подключение к модему-роутеру по кабелю Ethernet, посредством Wi-Fi или сети 3G/4G. Любой выход в Интернет — это потенциальная угроза анонимности и безопасности. Проверить утечку DNS можно перейдя по ссылке ниже.

Интерпретация полученных данных утечки DNS

Пример 1. Есть утечка DNS в Google и Белтелеком.

При настроенных DNS серверов Google для сетевых адаптеров ноутбука, браузер обращается к серверам Google и Белтелеком. Большой брат из Беларуси все про вас знает)))

Пример 2. Утечки DNS нет. Идеальный для Беларуси результат

Отличный результат. Наши следы остаются лишь на серверах Cloudflare. Cloudflare заверяет, что не продает данные и не использует их в своих корыстных целях. По крайней мере, компания декларирует приверженность приватности и конфиденциальности.

Пример 3. Утечки DNS нет. Результат не идеальный, но приемлемый для Беларуси. Данные утекают в Google. А это уже потенциальная угроза, так как компания собирает данные о пользователях, продает их, использует для рекламных компаний.

Как избежать утечки DNS

Самый быстрый вариант для простого пользователя — это установить хороший бесплатный или платный VPN. Затем провести тест утечки DNS по ссылке выше.

Можно установить приложение Cloudflare WARP. Оно существует в версиях для смартфона, устройства под управлением Windows OS, Linux, а также для MacOS и iOS. Это не единственный способ обеспечить предотвращение утечки DNS, но наверное самый простой и достаточно надежный.

На нашем сайте есть статья о DNS 1.1.1.1 и Cloudflare WARP. Там описаны преимущества и некоторые недостатки использования данного ПО.

• Установку Cloudflare WARP рекомендуется проводить сразу после перезагрузки устройства. Желательно, чтобы все программы были закрыты.
• После установки Cloudflare WARP рекомендуется устройство перезагрузить.
• После установки рекомендуем провести также тест утечки DNS — все ли работает как надо.

Источник: www.dnsleaktest.com [1]