Попытки взлома стали более умными, учитывая более широкое использование удаленного доступа к Интернет-соединениям. Наличие общедоступного подключения к Wi-Fi также привело к серьёзным уязвимостям в соединениях, предлагаемых поставщиками услуг Интернета (ISP). Более того, с учетом роста числа кибератак и атак программ-вымогателей на персональные компьютеры и корпоративные сети, конфиденциальность и безопасность данных, хранящихся в киберпространстве, поставлены под сомнение.
Теперь хакерам и кибератакам не нужен доступ к вашей системе; всё, что им нужно сделать, это взломать вашу интернет-сеть и перенаправить вас на вредоносные веб-сайты, чтобы заразить вашу систему и всю активность браузера. Одним из таких способов атаки является проникновение в DNS, также известное как утечка DNS.
В этой статье мы подробнее обсудим утечки DNS, их симптомы в сети и способы их проверки.
Что такое DNS
DNS означает систему доменных имен, которая действует как база данных соответствий IP-адресов веб-сайтов, которые пользователь посещает через браузер. Когда вы вводите URL-адрес веб-сайта в браузере, интернет-провайдеры не могут напрямую подключить вас к сайту только по адресу домена. Вам нужен совпадающий или соответствующий IP-адрес серверам этого сайта для связи между вашим браузером и сайтом.
Поскольку запомнить абстрактные IP-адреса очень сложно, интернет-провайдеры используют DNS-серверы для хранения всех соответствующих IP-адресов веб-сайтов, которые вы хотите посетить. DNS-сервер автоматически сопоставляет доменное имя с IP-адресом и помогает вам получить доступ к веб-сайту.
Какой DNS-сервер вы используете?
Он принадлежит вашему интернет-провайдеру. Маршрутизатор Wi-Fi действует как путь для ваших DNS-запросов, которые достигают DNS-сервера, а затем передаются на веб-сайт.
Вы всегда можете проверить, какой DNS-сервер использует ваше устройство для получения IP-адресов веб-сайтов, которые вы просматриваете, посетив этот веб-сайт – Какой у меня DNS-сервер?
Что такое утечка DNS?
К сожалению, эти DNS-серверы подвержены кибератакам и могут раскрывать вашу личную информацию, касающуюся активности вашего браузера, злоумышленникам. Кроме того, информация видна интернет-провайдерам, что делает её менее безопасной, чем должна быть.
Иногда хакеры просматривают DNS-запросы, которые ваше устройство отправляет вашим интернет-провайдерам, или пытаются взломать DNS-сервера, чтобы получить дополнительную информацию о действиях пользователей в браузере, что, в конечном итоге, приводит к серьёзному нарушению или раскрытию ваших данных. Это называется утечкой DNS.
Каковы причины утечки DNS
Существует несколько причин утечки DNS:
Проблема в конфигурации сети
При подключении к Интернету убедитесь, что вы используете стабильное соединение. Часто случается, что соединение прерывается на несколько секунд до того, как будет установлено новое соединение. Это приводит к изменению IP-адреса. Когда это изменение произойдёт, вы можете подключиться к DNS-серверу вашего интернет-провайдера, даже если вы используете VPN. Хакеры могут проникнуть в соединение, поскольку ваша VPN не будет работать из-за внезапного изменения IP-адреса и раскрыть вашу информацию.
Утечки IPv6
Большинство IP-адресов состоят из четырех наборов трёхзначных кодов, например 111.111.111.111; это называется IPv4-адресом. Однако, Интернет медленно переходит в фазу IPv6, когда IP-адреса состоят из восьми наборов по 4 кода, которые также могут включать буквы.
В большинстве случаев, если вы отправляете запрос IPv6 на свой DNS-сервер для веб-сайта, у которого всё ещё есть адрес IPv4, в таком случае безопасность соединения может быть нарушена. Даже в случае соединения VPN запрос IPv6 обходит шифрование VPN, если VPN явно не поддерживает безопасность соединения IPv6.
Прозрачные DNS-прокси
VPN туннелирует ваше соединение через сторонний сервер, прежде чем достигнет DNS-серверов вашего интернет-провайдера, чтобы замаскировать ваш IP-адрес. Это также удерживает интернет-провайдеров от сбора и мониторинга ваших данных или действий в Интернете.
Иногда интернет-провайдеры используют отдельный или прокси-сервер для повторного перенаправления ваших запросов и веб-трафика на свои серверы – таким образом, интернет-провайдеры во многих случаях «заставляют» утечки DNS собирать информацию о пользователях.
Функция Windows «Smart Multi-Homed Name Resolution»
«Smart Multi-Homed Name Resolution» – это функция, представленная Windows версии 8.0. Эта функция позволяет подключаться к другим нестандартным серверам, отличным от того, который принадлежит соответствующим интернет-провайдерам, если серверы интернет-провайдеров перестают отвечать.
В Windows 10 эта функция позволяет принимать ответы на запросы DNS от любого самого быстрого доступного сервера. Так как это позволяет читать IP-адреса пользователей разными серверами, это может вызывать серьёзные проблемы, связанные с утечками DNS.
Проблема Teredo
Teredo – это технология, разработанная Mircosoft, которая позволяет пользователям находить IPv6-совместимые соединения с веб-сайтами и плавно переходить с IPv4 на IPv6. В этой технологии ваш запрос IPv4 туннелируется таким образом, что адреса веб-сайтов IPv4 выбирают их. Однако, этот процесс может обойти процесс туннелирования VPN и раскрыть ваш IP-адрес, что приведёт к утечке DNS.
Как предотвратить утечку DNS
Используйте эффективный VPN-сервис
Вы всегда можете предотвратить утечки DNS и связанные с этим проблемы, если используете правильный VPN-сервис. Имейте в виду, что это не должен быть бесплатный поставщик услуг VPN, поскольку они не обеспечивают достойной защиты от возможных утечек DNS и часто «грешат» разрывами соединения.
Используйте анонимные браузеры
Браузер Tor считается одним из самых безопасных браузеров для серфинга. Он использует луковую маршрутизацию, чтобы замаскировать или скрыть ваши данные и IP-адрес. Он перескакивает через три разных места, позволяя осуществлять обширный гео-спуфинг и скрывать большую часть информации, связанной с конкретным соединением.
Как проверить соединение на утечку DNS
Вы всегда можете проверить утечку DNS, посетив эти два веб-сайта:
- DNS leak test
- IP/DNS Detect
Чтобы узнать, «герметично» ли соединение, посмотрите:
- Совпадает ли полученный IP-адрес с IP-адресом VPN, а не вашим реальным.
- Посмотрите, указано ли в результатах теста имя вашего интернет-провайдера, это сигнализирует об утечке DNS.
Не используйте инструмент проверки DNS, который предлагается в приложении VPN, поскольку он никогда не показывает правильный результат и не указывает на какие-либо дефекты в защищенном VPN-соединении.
Утечки DNS широко распространены, особенно с учетом того, что хакеры разрабатывают новые методы поиска возможных нарушений в сетях. Однако, использование правильного VPN и агрессивный мониторинг активности вашего браузера может помочь вам уменьшить их.
Конфиденциальность и целостность данных является основной проблемой в киберпространстве.С увеличением числа кибератак, важно регулировать и тестировать систему обработки данных для проверки мер безопасности для безопасного просмотра веб-страниц. Браузеры в эти дни построены с особой архитектурой безопасности и предлагают конкретные ресурсы, такие как дополнения и плагины для повышения веб-безопасности. В этой статье мы обсудим утечки DNS , которые, кстати, основная проблема с сетевой конфигурации и поищем способы, чтобы исправить и не допустить утечки DNS в Windows 10.
Прежде чем мы начнем, давайте быстро изучим роль DNS.
Поскольку мы все знаем, как доменное имя используется в браузерах для поиска веб-страниц в интернете, проще говоря, доменное имя представляет собой набор строк, которые могут быть легко прочитаны и запомнены людьми. В то время как люди получают доступ к веб-страницам с доменным именем, компьютеры получают доступ к веб-страницам с помощью IP-адреса. Таким образом, в основном для того, чтобы получить доступ к любым веб-сайтам, необходимо преобразовать удобочитаемое доменное имя в машиночитаемый IP-адрес.
DNS-сервер хранит все доменные имена и соответствующий IP-адрес. Каждый раз, когда вы переходите к URL-адресу, вы сначала будете направлены на DNS-сервер, чтобы сопоставить доменное имя с соответствующим IP-адресом, а затем запрос перенаправится на требуемый компьютер. Например, если ввести URL-адрес www.gmail.com, ваша система отправляет запрос на DNS-сервер. Затем сервер сопоставляет соответствующий IP-адрес для доменного имени и направляет браузер на веб-сайт. Как правило, эти DNS-серверы предоставляются Вашим Интернет-провайдером (ISP).
Таким образом, DNS-сервер является хранилищем доменных имен и соответствующего адреса Интернет-протокола.
Что такое утечка DNS
Интернете существует множество положений по шифрованию данных, передаваемых между вашей системой и удаленным веб-сайтом. Ну, одного шифрования Контента недостаточно. Как шифрование контента, нет никакого способа зашифровать адрес отправителя, а также адрес удаленного веб-сайта. По странным причинам DNS-трафик не может быть зашифрован, что в конечном итоге может предоставить всю вашу онлайн-активность любому, кто имеет доступ к DNS-серверу.
То есть, каждый сайт, который посетит пользователь, будет известен, если просто изучить журналы DNS.Таким образом, пользователь теряет всю конфиденциальность при просмотре в интернете и существует высокая вероятность утечки данных DNS для вашего интернет-провайдера. В двух словах, как и интернет-провайдер, любой, кто имеет доступ к DNS-серверам законным или незаконным способом, может отслеживать все ваши действия в интернете.
Чтобы смягчить эту проблему и защитить конфиденциальность пользователя, используется технология виртуальной частной сети (VPN), которая создает безопасное и виртуальное соединение по сети. Добавление и подключение системы к VPN означает, что все ваши DNS-запросы и данные передаются в безопасный VPN-туннель. Если запросы DNS вытекают из безопасного туннеля, то запрос DNS, содержащий такие сведения, как адрес получателя и адрес отправителя, отправляется по незащищенному пути. Это приведет к серьезным последствиям, когда вся ваша информация будет передана вашему интернет-провайдеру, в конечном итоге, раскрыв адрес всех Хостов веб-сайта, к которым вы имеете доступ.
Что вызывает утечки DNS в Windows 10
Наиболее распространенной причиной утечек DNS является неправильная конфигурация сетевых параметров. Ваша система должна быть сначала подключена к локальной сети, а затем установить соединение с VPN-туннелем. Для тех, кто часто переключает Интернет с точки доступа, Wi-Fi и маршрутизатора, ваша система наиболее уязвима к утечкам DNS. Причина заключается в том, что при подключении к новой сети ОС Windows предпочитает DNS-сервер, размещенный шлюзом LAN, а не DNS-сервер, размещенный службой VPN. В конце концов, DNS-сервер, размещенный LAN gateway, отправит все адреса интернет-провайдерам, раскрывающим вашу онлайн-активность.
Кроме того, другой основной причиной утечки DNS является отсутствие поддержки адресов IPv6 в VPN. Как вам известно, что ИП4 адреса постепенно заменяются IPv6 и во всемирной паутине еще в переход фазы от IPv4 к IPv6. Если ваш VPN не поддерживает IPv6-адрес, то любой запрос на IPv6-адрес будет отправлен в канал для преобразования IPv4 в IPv6. Это преобразование адресов в конечном итоге обойдет безопасный туннель VPN, раскрывающий всю онлайн-активность, приводящую к утечкам DNS.
Как проверить, подвержены ли вы утечкам DNS
Проверка утечек DNS-довольно простая задача. Следующие шаги помогут Вам сделать простой тест на утечку DNS с помощью бесплатного онлайн-теста.
Для начала подключите компьютер к VPN.
Далее, посетите dnsleaktest.com.
Нажмите на стандартный тест и дождитесь результата.
Если вы видите информацию о сервере, относящуюся к вашему интернет-провайдеру, ваша система утекает DNS. Кроме того, ваша система подвержена утечкам DNS, если вы видите какие-либо списки, которые не направлены в рамках службы VPN.
Как исправить утечку DNS
Системы Windows уязвимый к утечкам DNS и всякий раз, когда вы подключаетесь к интернету, параметры DHCP автоматически считает DNS-серверы, которые могут принадлежать поставщику услуг Интернета.
Чтобы исправить эту проблему вместо того, чтобы использовать настройки DHCP попробуйте использовать статические DNS-сервера или публичного DNS-сервисы или что-нибудь рекомендованный открытия сетевого проекта. Сторонние DNS-серверы, как в Comodo защищенной DNS, видит, на Cloudflare ДНСи т. д., рекомендуется, если ваш VPN программное обеспечение не имеет каких-либо имущественных сервера.
Чтобы изменить настройки DNS откройте Панель управления и перейдите в Центр управления сетями. Перейдите в Изменение параметров адаптера в левой панели и найдите ваш сеть и кликните правой кнопкой мыши на значок сети. Выберите Свойства из выпадающего меню.
Найдите Протокол Интернета версии 4 в окне и затем щелкните на нем и затем перейдите к свойствам.
Нажмите на радио-кнопку Использовать следующие адреса dns-серверов.
Введите Предпочитаемый и Альтернативный адреса dns-серверов, которые вы хотите использовать.
Если вы хотите использовать Google в открытых DNS — сервера, выполните следующие действия
- Укажите предпочтительный DNS-сервер и введите 8.8.8.8
- Укажите альтернативный DNS-сервер и введите 8.8.4.4
Нажмите кнопку ОК, чтобы сохранить изменения.
В связи с этим, рекомендуется использовать программное обеспечение для мониторинга VPN, хотя это может увеличить ваши расходы, это, безусловно, улучшит конфиденциальность пользователей. Кроме того, стоит отметить, что выполнение регулярного теста на утечку DNS пройдет сбор в качестве меры предосторожности.
Contents
- 1 Что такое утечка DNS
- 1.1 Что такое система доменных имен (DNS)?
- 1.2 Как система доменных имен позволяет другим Отслеживать вас онлайн
- 1.2.1 Можно ли это предотвратить?
- 1.2.2 Это надежно?
- 1.3 Что такое утечка DNS?
- 1.4 Как я могу сказать, что у моего VPN есть утечка DNS?
- 1.5 Утечки DNS: проблемы и решения
- 1.5.1 Проблема № 1: неправильно настроенная сеть
- 1.5.1.1 Вот исправление:
- 1.5.2 Проблема № 2: нет поддержки IPv6
- 1.5.2.1 Вот исправление:
- 1.5.3 Проблема № 3: Прозрачные DNS-прокси
- 1.5.3.1 Вот исправление:
- 1.5.4 Проблема № 4: Windows 8 и 10: функция «Умное разрешение имен для нескольких домов»
- 1.5.4.1 Исправление:
- 1.5.5 Проблема № 5: технология Windows Teredo
- 1.5.5.1 Исправление:
- 1.5.1 Проблема № 1: неправильно настроенная сеть
- 1.6 Как я могу предотвратить утечки DNS в будущем?
- 1.6.1 Используйте только надежного независимого поставщика DNS
- 1.6.2 Настройте VPN или брандмауэр для блокировки не VPN-трафика
- 1.6.3 Регулярно проводите тест утечки DNS
- 1.6.4 Рассмотрим VPN-мониторинг программного обеспечения
- 1.6.5 Попробуйте другого провайдера VPN
- 1.7 Вывод
И как это исправить
Возможно, одна из самых важных услуг в Интернете – это то, что я держу пари, что большинство людей никогда не задумывается: система доменных имен (DNS).
В этой статье я объясню, как DNS-серверы могут представлять угрозу вашей конфиденциальности, что такое утечка DNS и как ее можно устранить..
Содержание
Что такое система доменных имен (DNS)? Как система доменных имен позволяет другим отслеживать вас онлайн Что такое утечка DNS? Как я могу узнать, есть ли в моей VPN утечка DNS? Утечки DNS: проблемы и решенияКак я могу предотвратить утечки DNS в будущее? Заключение
Что такое система доменных имен (DNS)?
Система доменных имен – это децентрализованная система именования для сетевых ресурсов, таких как компьютеры и другие службы..
DNS переводит доменные имена в IP-адреса, устранение необходимости запоминания пользователем длинных цепочек номеров для доступа к веб-сайтам и службам при подключении к Интернету.
Например, сайт, который вы посещаете в данный момент, имеет IP-адрес «104.27.166.50». Хотя некоторые из вас могут запомнить такую длинную цепочку цифр (и вы знаете, кто вы есть), гораздо проще запомнить «pixelprivacy.com», чтобы посетить мой веб-сайт..
Когда вы вводите адрес веб-сайта в адресную строку вашего любимого браузера, адрес отправляется на DNS-сервер, который ищет IP-адрес для этого доменного имени..
Затем запрос перенаправляется на правильный сервер, и веб-сайт загружается в окне браузера. Все это обычно происходит в мгновение ока.
Несмотря на то, что это логичный и удобный способ управления интернет-трафиком, он открывает большую банку червей, когда дело доходит до вашей конфиденциальности в Интернете.
Как система доменных имен позволяет другим
Отслеживать вас онлайн
Как я уже упоминал в разделе выше, когда вы вводите доменное имя веб-сайта в браузере, запрос направляется на DNS-сервер, где находится IP-адрес веб-сайта..
Если вы не настроили свой компьютер, мобильное устройство или маршрутизатор для использования другого источника DNS, ваши запросы DNS будут отправляться на DNS-серверы, принадлежащие и управляемые вашим поставщиком услуг Интернета..
Это проблема конфиденциальности, поскольку ваш интернет-трафик проходит через DNS-серверы вашего интернет-провайдера, которые запишите ваши данные. Запросы ресурсов записываются в журнал вместе с IP-адресом клиента, который запросил адрес, датой и временем суток, а также другой различной информацией..
Во многих странах эти журналы DNS-серверов могут быть вызваны в суд правительством, правоохранительными органами или юристами индустрии развлечений, чтобы позволить им отслеживать свою деятельность в сети.
В некоторых странах Соединенные Штаты включены, Интернет-провайдеры могут продавать эти журналы рекламодателям и другим третьим лицам без вашего разрешения на это.
1
Можно ли это предотвратить?
К счастью, подобное отслеживание в Интернете можно предотвратить с помощью Виртуальная частная сеть (VPN), чтобы держать ваши путешествия онлайн в тайне.
VPN направляет ваше онлайн-соединение и все его DNS-запросы через свои собственные VPN-серверы, не давая им посторонних глаз. Самое большее, что видит ваш провайдер – это то, что вы подключены к провайдеру VPN. Они не могут видеть какие-либо действия, в которых вы участвуете, когда подключены к VPN.
2
Это надежно?
Как правило, использование VPN достаточно, чтобы держать ваши запросы DNS под прикрытием.
Однако некоторые провайдеры VPN плохо скрывают ваши запросы., протечки
данные DNS из ваших сеансов VPN и открывая вам мониторинг.
В следующих разделах этой статьи я объясню, что такое утечка DNS и как вы можете проверить ваше VPN-соединение для обнаружения утечек DNS. Затем я объясню, почему происходят утечки DNS, и предложу способы предотвращения повторных утечек..
Что такое утечка DNS?
Когда вы подключаетесь к VPN, он создает зашифрованное соединение, которое удерживает ваш интернет-трафик в «туннеле», который скрывает всю вашу активность в интернете, DNS-запросы включены. Никто не может понять, чем вы занимаетесь – ни ваш провайдер, ни правительство, ни ваш (не) дружелюбный хакерский сосед.
Когда ваш компьютер или другое устройство подключено к провайдеру VPN, все ваши запросы DNS должны проходить только через зашифрованный туннель к DNS-серверам службы VPN.
Когда это работает должным образом, все, что видит ваш провайдер или кто-то еще, это то, что вы подключены к VPN. Кроме того, весь ваш интернет-трафик зашифрован, поэтому никакая внешняя сторона не может контролировать любой контент, к которому вы обращаетесь.
Однако, если ваше приложение VPN не выполняет свою работу, или если вы подключены к неправильно настроенной сети, ваш DNS-запросы могут «просочиться» за пределы зашифрованного туннеля.
Затем DNS-запросы проходят через интернет-провайдера, как если бы вы не использовали VPN. Это оставляет DNS-запрос широко открытым для наблюдения, и ваш IP-адрес, местоположение и данные о поиске снова доступны.
Как я могу сказать, что у моего VPN есть утечка DNS?
Есть множество сайтов, которые будут проверить ваше VPN-соединение на утечки DNS, в том числе многие поставляются провайдерами VPN.
Я обычно использую и предлагаю Сайт IPLeak, так как он прост в использовании и предлагает большое количество информации о моем соединении.
Прежде чем начинать тестирование на наличие утечек DNS из VPN, я предлагаю посетить сайт IPLeak и разрешить сайту запускать свои тесты перед подключением к вашему провайдеру VPN..
Как только вы получите результаты теста IPLeak (который запускается автоматически), запишите IP-адрес, отображаемый в разделе «Ваш IP-адрес» в верхней части страницы. Также запомните адреса DNS и количество серверов DNS, показанных в разделе «Адреса DNS»..
Вам не нужно записывать все адреса – просто запишите несколько или сделайте скриншот для дальнейшего использования..
Как вы можете видеть на скриншотах ниже, IPLeaks может видеть DNS-серверы, которые использует мой провайдер – все 54 из них. (В целях краткости я привел здесь лишь небольшое их количество.) Также можно сказать, что мое обычное подключение, предоставляемое провайдером, происходит в Теннесси..
Теперь пришло время подключиться к провайдеру VPN и снова запустить тесты..
Я использую ExpressVPN, но вы, безусловно, можете использовать свой VPN по выбору. Вы можете подключиться к любому доступному VPN-серверу или просто позволить своему VPN-приложению выбрать один для вас..
Теперь снова посетите веб-сайт IPLeaks и дайте возможность тестам DNS Leaks снова автоматически запускаться через VPN..
Как вы можете видеть на скриншотах ниже, мой провайдер делает большую работу по предотвращению любых утечек DNS, так как кажется, что мое соединение исходит от Делавера, и что единственный DNS-сервер находится в Техасе..
Это показывает, что мой VPN обеспечивает правильно защищенное соединение, и что ни одна из моих данных DNS не просачивается.
Если IPLeaks показал, что DNS-серверы из теста ISP соответствуют DNS-серверам из теста VPN, и что IP-адреса также были одинаковыми, это указывало бы на возможная утечка DNS в моем VPN-соединении.
Это означало бы, что VPN не выполняет свою работу, и что пришло время найти нового поставщика.
Утечки DNS: проблемы и решения
Существуют различные причины утечки DNS. В этом разделе я расскажу о 5 наиболее распространенных причин утечки DNS, а также поделиться решениями этих проблем, чтобы вы могли справиться с ними, если они возникнут.
Проблема № 1: неправильно настроенная сеть
Неправильно настроенная сеть является одной из наиболее распространенных причин утечки DNS, особенно для пользователей, которые регулярно подключаются к различным сетям..
Дорожные воины могут видеть эту проблему больше, чем другие пользователи, так как они работают из офиса, но также подключаются к своей сети Wi-Fi дома или к точке доступа Wi-Fi в кафе, аэропорту или отеле..
Поскольку VPN требует подключения вашего компьютера к Интернету через локальную сеть перед включением защиты VPN, неправильно настроенные параметры DHCP могут автоматически назначать DNS-сервер для обработки ваших запросов, и этот DNS-сервер может принадлежать вашему провайдеру или провайдеру поставщика точек доступа.
Даже если вы подключаетесь к VPN в этой проблемной сети, ваши запросы DNS могут обходить зашифрованный туннель VPN, повсеместно пропуская DNS. (И никто не хочет убирать это!)
Вот исправление:
В большинстве случаев вы можете заставить свой компьютер использовать DNS-серверы VPN-провайдера просто настройка VPN на использование только собственного DNS-сервера.
Несмотря на то, что настройки VPN-приложений у разных поставщиков различны, вы, скорее всего, увидите что-то вроде приведенных ниже снимков экрана, на которых показаны опции «DNS» приложений Mac ExpressVPN и VyprVPN..
Если ваше приложение VPN не предлагает настройки (как показано выше), обратитесь к специалистам службы поддержки вашего провайдера и спросите их, как заставить ваше устройство использовать их DNS-серверы. Если они не могут вам помочь или вы не удовлетворены их ответом, смените поставщика.
Проблема № 2: нет поддержки IPv6
IP-адреса, с которыми большинство из нас знакомо, называются IPv4-адреса.
Это 32-разрядные адреса, состоящие из 4 наборов по 3 цифры, например «123.04.321.23». (Я понятия не имею, куда этот IP-адрес приведет вас, поскольку я только что сделал это на месте.)
С появлением постоянно подключенного мира с компьютерами, смартфонами, планшетами, игровыми консолями, Smart TV и даже интеллектуальными холодильниками, подключенными к Интернету, пул адресов IPv4 иссякает.
Введите адреса IPv6.
Вместо того, чтобы ограничиваться 32-битной адресной схемой из 4 наборов до 3 цифр, как IPv4, IPv6 является 128-битным, что позволяет в 7,9 × 1028 раз больше, чем IPv4, приблизительно 4,3 млрд. Адресов. (WHEW! Это много адресов!)
Образец IPv4-адреса
Пример IPv6-адреса
123.04.321.23 |
2001: db8: 85a3: 8d3: 1319: 8a2e: 370: 7348 |
Интернет находится на начальных этапах перехода от IPv4 к IPv6, и этот переход не произойдет в одночасье. Это может создать много проблем, особенно для VPN, которые в настоящее время не поддерживают IPv6..
Если VPN не поддерживает IPv6 или не знает, как заблокировать запросы IPv6, тогда запросы, отправленные на или с вашего компьютера через IPv6, будут выпрыгнуть из зашифрованного туннеля VPN, утечка информации для всеобщего обозрения.
В настоящее время веб-сайты находятся на переходном этапе, как и остальная часть Интернета, и, хотя многие из них имеют адреса как IPv4, так и IPv6, у некоторых все еще есть только IPv4. (И да, есть несколько сайтов, которые только для IPv6.)
Вызывает ли это проблему для вашей VPN, зависит от ряда факторов, таких как ваш интернет-провайдер, ваш маршрутизатор и веб-сайт, к которому вы пытаетесь получить доступ..
Хотя утечка IPv6 еще не так опасна, как стандартная утечка DNS, скоро наступит день.
Вот исправление:
Проверьте, есть ли у вашего провайдера VPN полная поддержка IPv6. Это идеальная ситуация, и вам не нужно беспокоиться.
Тем не менее, ваш поставщик должен по крайней мере предложить возможность блокировать трафик IPv6. Хотя это временная мера, она поможет вам до тех пор, пока больше VPN-провайдеров не поддержат IPv6..
Проблема № 3: Прозрачные DNS-прокси
Некоторые интернет-провайдеры взяли на себя обязательство использовать свои DNS-серверы, даже если пользователь изменил свои настройки на использование стороннего провайдера, такого как OpenDNS, Google или серверы провайдера VPN..
Если Интернет-провайдер обнаружит какие-либо изменения в настройках DNS, он будет использоватьпрозрачный прокси,”, Который является сервером, который перехватывает и перенаправляет ваш веб-трафик заставить ваш DNS-запрос к DNS-серверам провайдера.
Это в основном ваш интернет-провайдер, заставляющий утечку DNS пытаться скрыть ее от вас..
Однако большинство инструментов обнаружения утечек, таких как IPLeak, обнаруживают прозрачный прокси-сервер ISP таким же образом, как и стандартная утечка..
Вот исправление:
Устранение этой «утечки» зависит от того, какой провайдер VPN и какое приложение VPN вы используете.
Если вы используете приложение провайдера VPN, найдите возможность принудительного использования DNS-серверов провайдера VPN. Включить его.
Если вы используете приложение с открытым исходным кодом OpenVPN для подключения к VPN, найдите файл .conf или .ovpn для сервера, к которому вы подключаетесь, откройте его в текстовом редакторе и добавьте следующую строку:
блок-вне-DNS
Вы можете проконсультироваться с Руководство OpenVPN чтобы узнать, где хранятся ваши файлы конфигурации.
Проблема № 4: Windows 8 и 10: функция «Умное разрешение имен для нескольких домов»
Начиная с Windows 8, Microsoft представилаSmart Multi-Homed Name ResolutionФункция, которая была разработана для увеличения скорости просмотра веб-страниц.
Эта функция отправляет DNS-запросы на все доступные DNS-серверы и принимает ответ от какой DNS-сервер ответит первым.
Как вы можете себе представить, это может привести к утечке DNS, а также к ужасному побочному эффекту, оставляя пользователей открытыми для DNS-спуфинг-атаки.
Исправление:
Эта функция является встроенной частью Windows и может быть трудно отключить.
Тем не менее, пользователи Windows, которые подключаются к своим VPN через OpenVPN приложение мочь скачать и установить бесплатный плагин решить проблему.
Пользователи Windows, которые используют собственное приложение своего провайдера VPN, должны обратиться в отдел поддержки клиентов провайдера за помощью в решении этой проблемы..
Проблема № 5: технология Windows Teredo
древоточец является встроенной функцией операционной системы Windows и является попыткой Microsoft облегчить переход между IPv4 и IPv6. Цель Teredo – позволить двум адресным схемам сосуществовать без проблем..
Хотя я уверен, что Microsoft имела в виду хорошо, они открыли огромную утечку безопасности для пользователей VPN. Teredo – это протокол туннелирования, а в некоторых случаях, он может иметь приоритет над собственным зашифрованным туннелем VPN.
Иди возьми свою виртуальную швабру, потому что здесь идут утечки.
Исправление:
Teredo достаточно легко исправить для пользователей, которым комфортно пользоваться командной строкой. Откройте окно командной строки и введите следующее:
состояние интерфейса netsh teredo отключено
Имейте в виду, что у вас могут возникнуть проблемы при подключении к определенным веб-сайтам, серверам и другим онлайн-сервисам, но вы восстановите безопасность, которую выбрасывает Teredo.
Как я могу предотвратить утечки DNS в будущем?
Мы проверили на утечки DNS, и, надеюсь, не было обнаружено. Или, если вы обнаружили утечку, по крайней мере, теперь у вас есть инструменты и знания для ее устранения..
Но что вы можете сделать, чтобы предотвратить утечку в будущем?
Следуя 5 шагов в этом разделе вы должны заразить вашу онлайн-деятельность от любой утечки в будущем.
1
Используйте только надежного независимого поставщика DNS
Большинство провайдеров VPN имеют свои собственные DNS-серверы, и их приложение автоматически подключает ваше устройство для использования этих серверов вместо медленных и всегда небезопасных DNS-серверов вашего интернет-провайдера..
Даже если вы не используете VPN, вы все равно можете избежать использования DNS-сервера вашего интернет-провайдера, из-за чего интернет-провайдеру сложно отслеживать ваши действия в Интернете..
Вместо этого вы можете использовать надежный сторонний DNS-сервер, как те, которые предлагают OpenDNS, Google и другие.
Вот несколько популярных вариантов адреса DNS-сервера:
Google Public DNS:
-
Предпочитаемый DNS-сервер: 8.8.8.8
-
Альтернативный DNS-сервер: 8.8.4.4
OpenDNS:
-
Предпочитаемый DNS-сервер: 208.67.222.222
-
Альтернативный DNS-сервер: 208.67.220.220
Cloudflare:
-
Предпочитаемый DNS-сервер: 1.1.1.1
-
Альтернативный DNS-сервер: 1.0.0.1
Другие варианты DNS можно найти здесь.
Выполните следующие действия, чтобы изменить настройки DNS в Windows и macOS. Пользователям Linux нужно будет обратиться к руководству, чтобы узнать их вкус Linux, но он не должен сильно отличаться.
Если вы хотите изменить настройки DNS для своего маршрутизатора Wi-Fi, обратитесь к руководству по эксплуатации вашего маршрутизатора или обратитесь к производителю за дополнительной информацией..
Чтобы изменить настройки DNS в Windows 10, выполните следующие действия.
-
Перейти к панели управления.
-
Нажмите «Сеть и Интернет».
-
Нажмите «Центр управления сетями и общим доступом».
-
На левой панели в следующем меню вы увидите опцию «Изменить настройки адаптера». Нажмите, что.
-
Найдите опцию «Internet Protocol Version 4» в открывшемся окне и щелкните ее.
-
Нажмите «Свойства».
-
Нажмите «Использовать следующие адреса DNS-серверов» в окне «Свойства»..
-
Введите предпочтительный и альтернативный адреса DNS-сервера из одного из вариантов.
-
Нажмите кнопку «ОК».
Чтобы изменить настройки DNS в macOS, выполните следующие действия:
-
Нажмите на меню Apple.
-
Нажмите «Системные настройки» в появившемся меню..
-
Нажмите на иконку «Сеть» – она должна быть в 3-м ряду вниз.
-
Нажмите на свой сетевой интерфейс с левой стороны. (Возможно, он будет помечен как «Wi-Fi», «Ethernet» или что-то подобное.)
-
Нажмите кнопку «Дополнительно», расположенную в правом нижнем углу окна «Сеть»..
-
Нажмите на вкладку «DNS» в верхней части экрана..
-
Чтобы добавить новый DNS-сервер, нажмите кнопку [+] (плюс) под списком DNS-серверов, которые уже могут быть там.
-
Чтобы изменить существующий DNS-сервер, дважды щелкните по IP-адресу DNS, который вы хотите изменить.
-
Чтобы удалить DNS-сервер, выберите IP-адрес DNS-сервера, а затем либо нажмите кнопку [-] (минус), расположенную под списком, либо нажмите кнопку «удалить» на клавиатуре вашего Mac..
-
Используйте адреса DNS-серверов, которые я упоминал ранее, или информацию для вашего любимого провайдера DNS.
-
Когда вы закончите вносить изменения, нажмите кнопку «ОК».
-
Нажмите «Применить», чтобы изменения вступили в силу..
-
Закройте системные настройки, как обычно.
2
Настройте VPN или брандмауэр для блокировки не VPN-трафика
Проверьте ваш VPN-клиент, чтобы увидеть, предлагает ли он возможность автоматически блокировать любой трафик, который не проходит через VPN.
Некоторые провайдеры называют это «IP-привязка,В то время как другие могут назвать это «Аварийная кнопка.Обратитесь к своему провайдеру VPN, чтобы убедиться, что ваш VPN предлагает его. Если это не так, поищите в другом месте свой VPN сервис.
Пользователи Windows также могут настроить свои Настройки брандмауэра Windows разрешить входящий и исходящий трафик только через VPN. Вот как это сделать. (Действия могут отличаться в зависимости от используемой версии Windows. Эти инструкции предназначены для Windows 10.)
-
Подключитесь к вашему VPN.
-
Войдите в систему Windows с правами администратора..
-
Откройте Центр управления сетями и общим доступом. Вы должны увидеть как ваше интернет-соединение (помеченное как «Сеть»), так и вашу VPN (помеченную именем вашего провайдера VPN).
Заметка: «Сеть» должна быть обозначена как Домашняя сеть, в то время как ваш VPN должен быть идентифицирован как Публичная сеть. Если вы обнаружите что-то другое, вам нужно нажать на них и установить правильный тип сети..
-
Откройте настройки брандмауэра Windows.
-
Нажмите «Дополнительные настройки».
-
Найдите «Входящие правила» в левой панели. Нажмите его.
-
На правой панели вы должны увидеть опцию «Новое правило»..
-
Когда появится новое окно, нажмите «Программа», а затем «Далее».
-
Выберите «Все программы» или отдельное приложение, для которого вы хотите заблокировать не VPN-трафик. Затем нажмите «Далее».
-
Нажмите «Заблокировать соединение» и нажмите «Далее».
-
Не забудьте проверить «Домен” и “Частный», Но не« Public ». Нажмите кнопку “Далее.”
-
Вы вернетесь в меню расширенных настроек брандмауэра Windows. Найдите «Исходящие правила» в левой панели. Нажмите на нее и повторите шаги с 6 по 10.
После того, как вы выполните описанные выше шаги, ваш брандмауэр будет настроен на маршрутизацию всего трафика на ваш компьютер и с него через VPN.
3
Регулярно проводите тест утечки DNS
Профилактика – отличный шаг, но время от времени вам нужно проверять, чтобы все работало как надо.
Проводите тестирование утечки DNS на регулярной основе. Выполните действия, описанные в разделе «Как узнать, есть ли в моем VPN утечка DNS?» Ранее в этой статье..
4
Рассмотрим VPN-мониторинг программного обеспечения
Есть программные пакеты, которые будут контролировать ваше VPN-соединение, чтобы убедиться, что ваши DNS-запросы не выходят за пределы зашифрованного туннеля защиты вашего VPN.
Это будет дополнительным расходом сверх того, что вы платите за услугу VPN, но, возможно, оно того стоит, если вы беспокоитесь о том, что ваша VPN может пропускать запросы DNS на регулярной основе..
VPN Watcher запретит приложениям отправлять запросы данных, когда ваше VPN-соединение обрывается. Он будет стоить вам 9,95 долларов, но есть также вариант «попробуй перед покупкой».
PRTG VPN мониторинг является действительным вариантом для корпоративных пользователей, которые хотят контролировать всю сеть VPN. Цены варьируются в зависимости от количества пользователей, которых вы хотите отслеживать. Доступна 30-дневная бесплатная пробная версия, а также «бесплатная» версия для небольших сетей..
5
Попробуйте другого провайдера VPN
Если ваше тестирование показало, что ваш VPN пропускает DNS-запросы, вы можете проверить у своего провайдера обновление приложения – или найти нового провайдера VPN в целом.
Ищите поставщика VPN, который предлагает защиту от утечки DNS, полную защиту IPv6, поддержку OpenVPN и возможность работать с любыми возможными прозрачными прокси DNS.
Для получения дополнительной информации о ваших параметрах VPN, обязательно прочитайте мои обзоры VPN, где я провожу лучших провайдеров VPN сегодня по их шагам и рассказываю, насколько хорошо каждая VPN работает и защищает вас.
Вывод
В этой статье мы рассмотрели, что такое утечка DNS, почему это плохо, как протестировать, чтобы убедиться, что ваш VPN не протекает, и как это исправить, если она есть..
Лучший способ убедиться, что ваша VPN не пропускает информацию о вашем запросе DNS, открывая тем самым ваши онлайн-путешествия для любопытных глаз посторонних, – это найти надежного поставщика VPN, который обеспечивает VPN-соединения с защитой от утечек..
Я считаю, что ExpressVPN – лучший выбор, поскольку это универсальная, хорошо работающая VPN-служба, обеспечивающая надежную и защищенную от утечек защиту моего интернет-соединения..
Sorry! The Author has not filled his profile.
Утечка DNS (DNS Leak) — это явление, при котором информация о Ваших DNS-запросах доступна третьей стороне не смотря на использование защищенного VPN-подключения, в результате чего происходит сбор истории посещенных сайтов, а собранная информация используется в различных целях, в т.ч. для формирования аналитики о Ваших предпочтениях, построения рекламной воронки и т.д.. В данной статье мы расскажем как предотвратить утечку DNS и повысить конфиденциальность в сети путём установки WireHole — связки WireGuard + Unbound + Pi-Hole в ОС CentOS 8.
Содержание
- Утечка DNS: Что это такое и как с ней бороться?
- Установка и настройка Unbound в CentOS 8
- Установка и настройка Pi-Hole для фильтрации DNS запросов
- Настройка клиента WireGuard для предотвращения утечки DNS
- Заключение
Утечка DNS: Что это такое и как с ней бороться?
При утечке DNS Leak наш трафик делится на 2 потока: туннелированный VPN-трафик и DNS-трафик, который проходит вне VPN-подключения. Это происходит за счет использования сторонних DNS (сервера провайдера, публичные сервера Google, Cloudflare и т.д.) для получения информация о доменных именах, к которым осуществляются запросы. Чтобы понять как происходит утечка DNS Leak, следует схематически представить нашу интернет-маршрутизацию, которая выглядит примерно следующим образом:
Чтобы проверить происходит ли утечка, пройдём тест на сайте https://dnsleak.com:
Как мы видим из теста, происходит утечка DNS, а в качестве сервера используются резолверы Cloudflare. Для её предотвращения, нам следует использовать приватный DNS-сервер. Для этого нам понадобится виртуальный сервер с операционной системой CentOS 8, на который будет установлен WireHole — связка WireGuard, Unbound и Pi-Hole:
- WireGuard — Это достаточно молодой, но зарекомендовавший себя VPN-протокол, обладающий высокой скоростью работы по сравнению с OpenVPN и IPSec, стабильностью и надёжным шифрованием;
- Unbound — Это кеширующий и рекурсивный DNS-резолвер, разработанный компанией NLnet Labs и предназначенный для получения информации о DNS-записях с коренных серверов;
- Pi-hole — Это приложение для блокировки рекламы и интернет-трекинга, основанный на фильтрации DNS-запросов и предназначенный для использования в частной сети.
Установку WireGuard на сервер с операционной системой CentOS 8 мы уже рассматривали в другой статье и она ничем не отличается для WireHole, поэтому произведём установку согласно ней, а в данной статье мы сразу перейдём к установке и настройке Unbound и Pi-Hole.
Установка и настройка Unbound в CentOS 8
Для предотвращения DNS Leak, нам необходим собственный DNS резолвер, который будет обрабатывать запросы вместо сторонних DNS серверов. В качестве такого резолвера мы будем использовать Unbound. Его установка в CentOS 8 достаточно простая и осуществляется при помощи пакетного менеджера yum. Для этого выполняем команду:
sudo yum install unbound -y
И обновляем список коренных DNS серверов:
curl -o /var/lib/unbound/root.hints https://www.internic.net/domain/named.cache
Теперь, забегая наперёд, создаём конфигурационный файл для Pi-Hole:
sudo vi /etc/unbound/conf.d/pi-hole.conf
В него следующее следующее содержимое:
server: # if no logfile is specified, syslog is used # logfile: "/var/log/unbound/unbound.log" verbosity: 1 port: 5353 do-ip4: yes do-udp: yes do-tcp: yes # may be set to yes if you have IPv6 connectivity do-ip6: no # use this only when you downloaded the list of primary root servers root-hints: "/var/lib/unbound/root.hints" # respond to DNS requests on all interfaces interface: 0.0.0.0 max-udp-size: 3072 # IPs authorised to access the DNS Server access-control: 0.0.0.0/0 refuse access-control: 127.0.0.1 allow access-control: 10.78.220.0/24 allow # hide DNS Server info hide-identity: yes hide-version: yes # limit DNS fraud and use DNSSEC harden-glue: yes harden-dnssec-stripped: yes harden-referral-path: yes # add an unwanted reply threshold to clean the cache and avoid, when possible, DNS poisoning unwanted-reply-threshold: 10000000 # have the validator print validation failures to the log val-log-level: 1 # don't use Capitalisation randomisation as it known to cause DNSSEC issues sometimes # see https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378 for further details use-caps-for-id: no # reduce EDNS reassembly buffer size # suggested by the unbound man page to reduce fragmentation reassembly problems edns-buffer-size: 1472 # TTL bounds for cache cache-min-ttl: 3600 cache-max-ttl: 86400 # perform prefetching of close to expired message cache entries # this only applies to domains that have been frequently queried prefetch: yes prefetch-key: yes # one thread should be sufficient, can be increased on beefy machines num-threads: 1 # ensure kernel buffer is large enough to not lose messages in traffic spikes so-rcvbuf: 1m # ensure privacy of local IP ranges private-address: 192.168.0.0/16 private-address: 169.254.0.0/16 private-address: 172.16.0.0/12 private-address: 10.0.0.0/8 private-address: fd00::/8 private-address: fe80::/10
В данном конфигурационном файле, подсеть IP access-control: 10.78.220.0/24 allow следует заменить на подсеть интерфейса wghub, который используется Вашим WireGuard. Для этого выполняем команду ifconfig на сервере:
[root@virtirio.com ~]# ifconfig wghub: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 1280 inet 10.78.220.1 netmask 255.255.255.0 destination 10.78.220.1 unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 1000
В нашем случае IP адрес интерфейса wghub 10.78.220.1, соответственно подсеть 10.78.220.0/24.
После внесения изменений в настройки, добавляем unbound в автозагрузку и запускаем его:
sudo systemctl enable unbound sudo systemctl start unbound
Открываем работу служб DNS в firewalld:
sudo firewall-cmd --permanent --add-service=dns sudo firewall-cmd --reload
Проверяем работу DNS резолвера Ubound. Для этого устанавливаем утилиты bind-utils, предназначенные для работы с DNS:
sudo yum install bind-utils -y
И выполняем команды:
dig pi-hole.net @127.0.0.1 -p 5353 dig sigok.verteiltesysteme.net @127.0.0.1 -p 5353 dig sigfail.verteiltesysteme.net @127.0.0.1 -p 5353
В первом и втором случае сервер должен ответить NOERROR, а в третьем — SERFAIL.
На этом установка Unbound завершена. Переходим к следующему шагу.
Установка и настройка Pi-Hole для фильтрации DNS запросов
Pi-Hole — Это высоко-функциональный продукт, предназначенный для фильтрации нежелательного трафика на уровне DNS-запросов, в частности, сервисов сбора статистики о действиях пользователей в сети и блокировки рекламы. Система обладает удобным и функциональным web-интерфейсом, с помощью которого выполняется настройка, а так же осуществляется мониторинг и анализ работы DNS сервера:
Перейдём непосредственно к установке и настройке Pi-Hole. Для этого запускаем скрипт:
curl -sSL https://install.pi-hole.net | bash
Соглашаемся со всеми предложенными параметрами и жмём Yes/Ok. Единственное что мы должны выбрать при установке — это интерфейс wghub для WireGuard вместо основного интерфейса сервера:
После завершения установки, сохраняем адрес и пароль для доступа к web-интерфейсу:
Так как последующая настройка будет происходить через браузер по протоколу http, откроем его в firewalld:
sudo firewall-cmd --permanent --add-service=http sudo firewall-cmd --reload
Для предотвращения доступа к web-интерфейсу, закрываем доступ по протоколу http из вне:
iptables -A INPUT -s 10.78.220.0/24 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP
Где 10.78.220.0/24 — подсеть, используемая WireGuard.
На этом установка Pi-Hole завершена и мы переходим непосредственно к его настройке через web-интерфейс в браузере по адресу http://<ip_адрес_сервера>/admin и авторизируемся с помощью пароля администратора, сгенерированного при установке.
Переходим в раздел Settings на вкладку DNS. Нам необходимо отключить внешние Upstream DNS Servers и указать адрес нашего Unbound 127.0.0.1#5353 как на скрине ниже:
Ниже на странице включаем поддержку DNSSEC и сохраняем настройки (кнопка Save внизу страницы).
На этом настройка Pi-Hole завершена. Переходим к тюнингу WireGuard.
Настройка клиента WireGuard для предотвращения утечки DNS
Утечка DNS происходит при обращении к сторонним DNS серверам. В нашем случае, подключение к DNS выполняется через VPN-клиент Wireguard, поэтому нам необходимо делегировать их на наш сервер. Для этого, редактируем настройки подключения в WireGuard клиенте. Нам нужно изменить IP-адрес DNS сервера на IP-адрес нашего интерфейса wghub:
Чтобы при добавлении новых клиентов WireGuard каждый раз не править вручную IP-адрес DNS сервера, внесем изменения в файл intnetdns.txt, который находится в директории со скриптом easy-wg-quick (директория, из которой мы производили установку WireGuard). Для этого, открываем его в редакторе vi:
sudo vi intnetdns.txt
И заменяем IP-адрес 1.1.1.1 (публичный DNS сервер CloudFlare), который используется по-умолчанию, на IP адрес нашего интерфейса wghub.
Теперь снова проходим тест на утечку DNS на сайте https://dnsleak.com. В результате, мы должны увидеть сообщение, что тест пройден успешно:
Заключение
Внедрение WireHole является эффективным способом борьбы с утечкой DNS Leak и является эффективным методом повышения сохранности личных данных пользователя и его конфиденциальности в сети интернет. Это стало возможным благодаря переходу от использования сторонних серверов к приватному DNS резолверу на базе Unbound, а за счет сервера фильтрации DNS запросов Pi-Hole, блокируется львиная доля нежелательного трафика и значительно снижается количество рекламы. Всего за несколько часов наш WireHole заблокировал 23,1% всех DNS запросов:
В итоге, сервисам интернет-трекинга и сбора пользовательской информации становится сложнее собирать статистику о нас и отслеживать наши действия в сети. Кроме того, Pi-Hole обладает высоким функционалом, что позволяет администратору сервера самостоятельно управлять как нежелательными ресурсами, так и использовать собственные списки фильтрации.
В статье VPN безопасность мы уже рассказывали про утечку VPN-трафика. В другой похожей статье мы говорили об утечке WebRTC в браузерах, а в этой статье речь пойдет об утечке DNS-трафика. Которая затрагивает всех, и даже тех кто использует VPN-сервисы и считает, что находится за каменной стеной.
Здравствуйте друзья! Сегодня я расскажу что такое утечка DNS, почему вы должны об этом знать и как от этого защититься используя бесплатную утилиту DNSCrypt.
Утечка DNS
Содержание
- Предисловие
- Что значит утечка DNS
- Как проверить утечку DNS
- Как исправить утечку DNS используя DNSCrypt
- Скачивание DNSCrypt
- Установка DNSCrypt
- Использование DNSCrypt
- DNSCrypt в Yandex браузере
- DNSCrypt в роутере
- Заключение
- Оценка и отзывы
Что значит утечка DNS?
При использовании HTTPS или SSL ваш HTTP трафик зашифрован, то есть защищен (не идеально, но защищен). Когда вы используете VPN, весь ваш трафик полностью шифруется (разумеется уровень и качество защиты зависит от правильной настройки VPN, но обычно все настроено и работает правильно).
Но бывают ситуации в которых даже при использовании VPN, ваши DNS-запросы передаются в открытом незашифрованном виде. Это открывает злоумышленнику большие возможности для творчества. Хакер может перенаправить трафик, применить MITM-атаку (человек посередине) и сделать еще кучу других вещей, которые могут поставить под угрозу вашу безопасность и анонимность в сети.
Давайте попробуем разобраться в этом вопросе поглубже. Если вас не интересует теория, но волнует безопасность, можете сразу переходить к следующей главе. Если хотите знать побольше, усаживайтесь поудобнее, сейчас я вам вынесу мозг.
В нашем примере на рисунке ниже вы видите как пользователь (компьютер) пытается обратиться к сайту www.spy-soft.net (это может быть и любой другой сайт). Для того чтобы попасть на сайт он должен сначала разрешить символьное имя узла в IP-адрес.
Если же конфигурация сети такова, что используется DNS-сервер провайдера (незашифрованное соединение, отмечено красной линией), то разрешение символьного имени в IP-адрес происходит по незашифрованному соединению.
Что в этом страшного?
Во-первых, в такой ситуации провайдер может просмотреть историю DNS и узнать какие сайты вы посещали. Он конечно не узнает какие именно данные передавались, но адреса сайтов он сможет просмотреть запросто.
Во-вторых, есть большая вероятность оказаться жертвой хакерской атаки. Такой как: DNS cache snooping и DNS spoofing.
Что такое DNS снупинг и спуфинг?
Вкратце для тех кто не в курсе.
DNS снупинг — с помощью этой атаки злоумышленник может удаленно узнавать какие домены были недавно отрезолвлены на DNS-сервере, то есть на какие домены недавно заходила жертва.
DNS спуфинг — атака, базируется на заражении кэша DNS-сервера жертвы ложной записью о соответствии DNS-имени хоста, которому жертва доверяет.
Так как запросы не шифруются, кто-то между вами и провайдером может перехватить и прочитать DNS-запрос, после чего отправить вам поддельный ответ. В результате, вместо того чтобы посетить наш любимый spy-soft.net, gmail.com или vk.com, вы перейдете на поддельный или как еще говорят фейковый сайт хакера (поддельным будет не только вид страницы, но и урл в адресной строке), после чего вы введете свой логин и пароль, ну а потом сами понимаете что будет. Данные авторизации будут в руках злоумышленника.
Описанная ситуация называется утечка DNS (DNS leaking). Она происходит, когда ваша система для разрешения доменных имен даже после соединения с VPN-сервером или сетью Tor продолжает запрашивать DNS сервера вашего провайдера. Каждый раз когда вы попытаетесь зайти на сайт, соединится с новым сервером или запустить какое-нибудь сетевое приложение, ваша система будет обращаться к DNS серверам провайдера, чтобы разрешить имя в IP-адрес. В итоге какой-нибудь хакер или ваш провайдер смогут узнать все имена узлов, к которым вы обращаетесь.
Если вам есть что скрывать, тогда я вам предлагают использовать простое решение — DNSCrypt. Можно конечно прописать какие-нибудь другие DNS-сервера и пускать трафик через них. Например сервера Гугла 8.8.8.8 или того же OpenDNS 208.67.222.222, 208.67.220.220. В таком случае вы конечно скроете от провайдера историю посещения сайтов, но расскажите о своих сетевых путешествиях Гуглу. Кроме этого никакого шифрования DNS трафика не будет, а это большой недостаток. Не знаю как вас, но меня это не возбуждает, я лучше установлю DNSCrypt.
Как проверить утечку DNS
Перед тем как мы перейдем к самой утилите, я бы хотел познакомить вас со специальными онлайн-сервисами. Они позволяют проверить утечку DNS.
Один из таких — сайт DNS Leak Test. Для проверки перейдите по ссылке и нажмите кнопку «Extended test».
Через несколько секунд сервис отобразит список DNS-серверов, через которые проходят ваши запросы. Таким образом вы сможете узнать, кто именно может видеть вашу историю посещения сайтов.
Еще неплохой сервис — DNS Leak. Сайт предоставляет полную информацию о DNS серверах от вас до сервера.
Как устранить утечку DNS утилитой DNSCrypt
DNSCrypt — бесплатная утилита с открытым исходным кодом. Программа позволяет шифровать запросы DNS и использовать DNS сервера по вашему усмотрению. После установки на компьютер ваши соединения будут защищены, и вы сможете безопаснее серфить по просторам сети. Утилита в связке с Tor или VPN дает неплохую защиту.
Скачивание DNSCrypt
Скачать консольную версию утилиты DNSCrypt вы можете по этой прямой ссылке с Гитаба. Для того чтобы все выглядело гламурно: виндовские окошки, кнопочки и все такое, нужно скачать еще и GUI отсюда. Для вашего удобства я все засунул в один архив и залил на файлообменик. Вот ссылочка.
Для работы программы требуется Microsoft .NET Framework 2.0 и выше.
Скачать DNSCrypt для Mac OS X вы можете по этой ссылке с Гитаб или с файлообменка по ссылке выше.
Разработчик программы OpenDNS.
Установка DNSCrypt
В этой статье мы разберем работу с консольной версией утилиты. Настраивать ДНСКрипт будем на Windows 10. Установка на других версиях винды не отличается.
Итак, скачанный архив распаковываем и помещаем содержимое папки dnscrypt-proxy-win32 в любое место на компьютере. В моем примере я расположил в папке “C:Program FilesDNSCrypt”.
После чего откройте от имени администратора командною строку.
Теперь в командной строке перейдите в папку DNSCrypt. Сделать это можно с помощью команды:
cd “C:Program FilesDNSCrypt”
Кликаем сюда, если не можете скопировать команды.
После этого подготовимся к установке службы прокси. Для начала необходимо выбрать провайдера DNS. В архив я положил файл dnscrypt-resolvers.csv. Этот файлик содержит список большинства DNS провайдеров, которые поддерживает DNSCrypt. Для каждого отдельного провайдера есть название, описание, расположение и поддержка DNSSEC и Namecoin. Кроме этого файл содержит необходимые IP-адреса и открытые ключи.
Выберите любого провайдера и скопируйте значение в первом столбце. В моем случае я буду использовать CloudNS, поэтому я скопировал “cloudns-can”. Теперь необходимо убедится, что прокси может подключиться. Сделать это можно с помощью этой команды:
dnscrypt–proxy.exe –R “cloudns-can” —test=0
Если все правильно работает, вы увидите следующие выходные данные:
Если у вас не получилось, попробуйте выбрать другого провайдера и повторить попытку еще раз.
Если все прошло успешно, продолжим установку и введем следующую команду:
dnscrypt–proxy.exe –R cloudns–can —install
Если все правильно работает, вы увидите следующие выходные данные:
Скрин того как это должно выглядеть в командой строке:
После чего необходимо зайти в параметры протокола TCP/IP Windows и изменить настройки DNS на 127.0.0.1.
Для удаления службы ДНСКрипт необходимо вернуть сетевые настройки DNS в начальное состояние. Делается это с помощью этой команды:
dnscrypt–proxy —uninstall
Данная команда также может использоваться для смены провайдера DNS. После применения нужно повторить установку с параметрами другого провайдера.
Если у вас после всей этой процедуры по какой-то причине во время проверки все еще определяться IP-адрес DNS вашего интернет-провайдера, кликните по кнопке «Дополнительно», которая находится под прописанным IP 127.0.0.1. В появившемся окне «Дополнительные параметры…», перейдите на вкладку «DNS» и удалите все адреса DNS-серверов кроме «127.0.0.1».
Все, теперь утечка DNS устранена.
Вас также может заинтересовать статья «Как удалить кэш DNS», в которой рассказывалось об удалении записей DNS на компьютере.
DNSCrypt в Яндекс Браузере
С недавнего времени в браузере от Яндекс появилась поддержка ДНСКрипт. Ну что сказать, ребята из Яндекса работают и пытаются защитить пользователя — это здорово, но в отличие от утилиты DNSCrypt защита у Яндекса реализуется только на уровне браузера, а не уровне всей системы.
DNSCrypt в роутере
Также поддержка ДНСКрипт реализована в популярных прошивках OpenWrt. Подробнее об установке и другой дополнительной информации вы можете узнать на этой странице.
Заключение
Конечно же утилита ДНСКрипт и шифрование DNS в целом не является панацеей, да и вообще в информационной безопасности нет такого понятия как панацея. Мы только можем максимально улучшить нашу безопасность и анонимность, но сделать наше присутствие в сети неуязвимым на все 100% к сожалению не получится. Технологии не стоят на месте и всегда найдутся лазейки. Поэтому я предлагаю вам подписаться на наши новости в социальных сетях, чтобы всегда быть в курсе. Это бесплатно.
На этом все друзья. Надеюсь эта статья помогла вам решить проблему утечки DNS. Удачи вам в новом 2017 году, будьте счастливы!
Наша оценка
DNSCrypt – бесплатная утилита для защиты DNS-трафика Путем шифрования DNS-трафика и использования серверов DNS. Наша оценка – очень хорошо!
User Rating:
4.19
( 47 votes)