Was ist ein DNS-Leak?
Auch wenn Sie ein oder verwenden, können Hinweise auf die Domainnamen, zu denen Sie eine Verbindung herstellen wollten, über einen anderen Weg nach außen gelangen, wenn der Umgang mit DNS übersehen wird.
Das nennt man einen DNS-Leak.
Ein DNS-Leak ist etwas anderes als ein Problem, bei dem der Inhalt der Kommunikation selbst gelesen wird. Problematisch ist der Hinweis darauf, welche Website jemand aufrufen wollte.
Wenn Sie zum Beispiel glauben, die Kommunikationsroute mit einem VPN geändert zu haben, DNS-Anfragen aber weiterhin an den DNS-Resolver Ihres gewohnten ISP gesendet werden, kann der ISP unter Umständen die angefragten Domainnamen sehen.
Dieser Artikel ordnet ein, was bei einem DNS-Leak sichtbar wird, wie das mit VPNs und Tor zusammenhängt und worauf Sie bei einer Prüfung achten sollten.
DNS ist der Mechanismus zum Nachschlagen des Ziels
DNS ist der Mechanismus, der Domainnamen IP-Adressen zuordnet.
Wenn Menschen eine Website im Browser öffnen, verwenden sie Domainnamen. Für die tatsächliche Kommunikation im Netzwerk wird jedoch die IP-Adresse des Ziels benötigt.
Daher fragt das Gerät oder der Browser einen DNS-Resolver ab und ermittelt die zum Domainnamen gehörende IP-Adresse.
| Phase | Was geschieht | Worauf bei Anonymität zu achten ist |
|---|---|---|
| 1 | Der Browser verwendet einen Domainnamen | Der Name der Website, zu der eine Verbindung aufgebaut werden soll, entsteht |
| 2 | Ein DNS-Resolver wird abgefragt | Wichtig wird, welcher Resolver abgefragt wurde |
| 3 | Eine IP-Adresse wird zurückgegeben | Die Kommunikation mit dieser IP-Adresse wird möglich |
| 4 | Die Verbindung zur Website wird hergestellt | Bei HTTPS ist der Inhalt durch Verschlüsselung geschützt |
Eine DNS-Anfrage ist nicht der Seiteninhalt oder der Inhalt eines Formulars selbst. Welche Domain nachgeschlagen wurde, ist jedoch ein starker Hinweis, aus dem sich das Zugriffsziel ableiten lässt.
Was ist das Problem bei einem DNS-Leak?
Das Problem bei einem DNS-Leak besteht darin, dass Sie zwar glauben, die Kommunikationsroute geändert zu haben, aber nur die DNS-Anfragen über einen anderen Weg hinausgehen.
Angenommen, der Zweck eines VPN besteht darin, das direkte Erkennen des Verbindungsziels durch den ISP zu erschweren. Wenn in dieser Situation der Webverkehr zwar zum VPN-Server läuft, aber nur die DNS-Anfragen zur ISP-Seite gehen, kann der ISP unter Umständen die angefragten Domainnamen sehen.
Mit anderen Worten: Auch wenn der Inhalt der Zielwebsite durch HTTPS schwer mitzulesen ist, kann auf der DNS-Ebene weiterhin zurückbleiben, welche Domain jemand ansehen wollte.
| Zustand | Sichtbarkeit des Webverkehrs | Sichtbarkeit von DNS |
|---|---|---|
| Normale Verbindung | Der ISP kann Ziel-IP und ähnliche Informationen sehen | Häufig wird DNS auf ISP-Seite genutzt |
| VPN funktioniert korrekt | Der ISP sieht die VPN-Verbindung | DNS läuft zur VPN-Seite oder zu einem festgelegten DNS |
| DNS-Leak vorhanden | Der Webverkehr läuft durch das VPN | Nur DNS geht zur ISP-Seite |
| Tor Browser wird genutzt | Die Namensauflösung innerhalb des Tor Browser wird über Tor behandelt | Von normalen Browsern und anderen Apps getrennt betrachten |
Ein DNS-Leak wird leicht übersehen, wenn man annimmt: "Ich benutze ein VPN, also ist das Ziel nicht sichtbar."
Für Anonymität müssen die Route des Webverkehrs und die Route der DNS-Anfragen getrennt geprüft werden.
Besonders wichtig bei VPN-Nutzung
DNS-Leaks werden besonders bei der Nutzung eines VPN beachtet.
Ein VPN baut einen Kommunikationsweg vom Gerät zum VPN-Server auf und kommuniziert von dort aus nach außen. Für die Zielwebsite sieht es so aus, als käme die Nutzerin oder der Nutzer nicht von der heimischen IP-Adresse, sondern von der IP-Adresse des VPN-Servers.
Wenn die Einstellungen für DNS-Anfragen jedoch nicht passend zum VPN geändert wurden, kann nur DNS über das gewohnte Netzwerk hinausgehen.
In diesem Zustand ist für die Zielwebsite zwar die IP des VPN-Servers sichtbar, auf der Seite des DNS-Resolvers bleiben aber die angefragten Domainnamen zurück.
| Ursache | Was geschieht | Was geprüft werden sollte |
|---|---|---|
| Fehlerhafte DNS-Einstellung des VPN | Nur DNS geht über die normale Leitung hinaus | DNS-Server während der VPN-Verbindung |
| Festes DNS im Betriebssystem | Die OS-Einstellung hat Vorrang vor dem VPN | Netzwerkeinstellungen |
| Browsereigenes DNS | Der Browser nutzt ein anderes DNS | DNS-Einstellungen des Browsers |
| Leak beim VPN-Abbruch | Nach dem Abbruch wird auf die normale Leitung zurückgefallen | Kill switch und Einstellungen zur Wiederverbindung |
Wenn Sie ein VPN verwenden, prüfen Sie nicht nur die IP-Adresse, sondern auch DNS. Allein dass sich die für das Ziel sichtbare IP geändert hat, beweist nicht, dass kein DNS-Leak vorliegt.
Zusammenhang mit Tor
Bei der Nutzung von Tor Browser unterscheidet sich die Betrachtung von gewöhnlichem Websurfen.
Tor Browser ist so konzipiert, dass Kommunikation über das Tor-Netzwerk abgewickelt wird. Daher muss die Namensauflösung für Websites, die innerhalb von Tor Browser aufgerufen werden, getrennt von einem normalen Browser betrachtet werden.
Wenn jedoch andere Apps als Tor Browser oder der gewohnte Browser über die normale Leitung kommunizieren, bleiben deren DNS-Anfragen ein eigenes Problem.
Das bedeutet: Auch wenn Sie Tor verwenden, läuft nicht automatisch der gesamte Verkehr des ganzen Geräts über Tor. Sie müssen prüfen, aus welcher App die Kommunikation kommt, die anonymisiert werden soll.
Sichtbare und nicht sichtbare Informationen bei einem DNS-Leak
Um DNS-Leaks richtig zu verstehen, muss man Sichtbares und Nicht-Sichtbares trennen.
| Information | Bei einem DNS-Leak sichtbar? | Erklärung |
|---|---|---|
| Domainname | Kann sichtbar sein | Wird zu einem Hinweis darauf, welche Website nachgeschlagen wurde |
| Zeitpunkt der Anfrage | Kann sichtbar sein | Wird zu einer Achse für den Abgleich mit anderen Logs |
| Seiteninhalt | Allein durch DNS nicht sichtbar | Ein anderes Problem als der HTTPS-Inhalt |
| URL-Pfad und Query | Bei normalem DNS meist nicht sichtbar | DNS behandelt hauptsächlich Domainnamen |
| Formulareingaben | Über DNS nicht sichtbar | Gehören zum Inhalt der HTTP-Kommunikation |
Ein DNS-Leak ist kein Problem, bei dem der gesamte Seiteninhalt ausläuft. Für Anonymität kann aber schon die Information, welche Domain jemand aufrufen wollte, ein wichtiger Hinweis sein.
Besonders in Kombination mit Uhrzeit, IP-Adresse, VPN-Verbindungslogs, Veröffentlichungszeit und Kontoverhalten wird sie zu Material für Korrelation.
Was geprüft werden sollte
Wenn Sie auf DNS-Leaks prüfen, vergleichen Sie die sichtbaren Informationen vor und nach dem Aufbau der VPN-Verbindung.
Wenn Sie eine externe DNS-Leak-Testseite verwenden, achten Sie darauf, ob der angezeigte DNS-Server zur gewohnten ISP-Seite, zur VPN-Seite oder zu einem browsereigenen DNS gehört.
Beurteilen Sie jedoch nicht allein anhand der Ergebnisse einer Testseite, dass Sie vollständig sicher seien. Die Ergebnisse ändern sich je nach Testumfang, Browser, OS-Einstellungen, VPN-App und Zeitpunkt der Verbindung.
| Prüfpunkt | Warum prüfen? |
|---|---|
| DNS-Server während der VPN-Verbindung | Prüfen, ob DNS auf ISP-Seite sichtbar ist |
| DNS-Einstellungen des Browsers | Prüfen, ob browsereigenes DNS beabsichtigt ist |
| Verhalten beim VPN-Abbruch | Sehen, ob bei Abbruch auf die normale Leitung zurückgefallen wird |
| Umgang mit IPv6 | Prüfen, ob nur IPv6 über eine andere Route läuft |
| Mehrere Browser | Sehen, ob Ergebnisse zwischen anonymem und gewohntem Browser vermischt werden |
DNSLeakTest ist eine Prüfseite, mit der sich Informationen zum von außen sichtbaren DNS-Resolver überprüfen lassen. Wenn Sie die angezeigten Ergebnisse vor und nach dem Aufbau der VPN-Verbindung vergleichen, lässt sich leichter prüfen, ob DNS-Anfragen die beabsichtigte Route nehmen.
URL : https://www.dnsleaktest.com/
Verlassen Sie sich bei riskanten anonymen Aktivitäten nicht allein auf eine DNS-Leak-Prüfung. Prüfen Sie , Login-Status, Browser-Fingerprinting, Beitragsinhalt und Datei-Metadaten ebenfalls getrennt.
Zusammenfassung
Ein DNS-Leak bedeutet, dass DNS-Anfragen eine unbeabsichtigte Route nehmen, obwohl Sie glauben, die Kommunikationsroute geändert zu haben.
DNS ist kein Mechanismus, der Seiteninhalte behandelt. Angefragte Domainnamen werden jedoch zu Hinweisen darauf, mit welcher Website jemand eine Verbindung herstellen wollte.
Auch bei VPN-Nutzung bleibt Material zur Ableitung des Verbindungsziels zurück, wenn nur DNS zur ISP-Seite geht. Auch bei Tor Browser muss der Verkehr von Apps außerhalb des Tor Browser oder von normalen Browsern getrennt betrachtet werden.
Für Anonymität prüfen Sie nicht nur die IP-Adresse, sondern DNS, Cookie, Login-Status, Browser und Beitragsinhalt gemeinsam. DNS-Leak-Gegenmaßnahmen sind wichtig, aber sie stellen Anonymität nicht allein vollständig her.
Verwandte Werkzeuge
WhatIsMyIP
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
DNSLeakTest
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
BrowserLeaks WebRTC
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Proton VPN
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://protonvpn.com/
Mullvad VPN
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
URL : https://mullvad.net/