O que é um vazamento de DNS
Mesmo usando uma ou , se o tratamento de DNS for deixado de lado, pistas sobre os nomes de domínio aos quais você tentou se conectar podem sair por outra rota.
Isso é chamado de vazamento de DNS.
Um vazamento de DNS é um pouco diferente de um problema em que o conteúdo da comunicação em si é lido. O problema é a pista sobre "qual site se tentou visitar".
Por exemplo, mesmo que você ache que mudou a rota de comunicação com uma VPN, se apenas as consultas DNS forem enviadas ao resolvedor DNS do provedor de internet que você usa normalmente, o provedor pode conseguir ver os nomes de domínio consultados.
Este artigo organiza o que fica visível em um vazamento de DNS, como isso se relaciona com VPN e Tor, e o que observar ao verificar.
DNS é o mecanismo para buscar o destino
DNS é o mecanismo que associa nomes de domínio a endereços IP.
Quando abrimos um site no navegador, usamos nomes de domínio. No entanto, para se comunicar de fato na rede, é necessário o endereço IP do destino.
Por isso, o dispositivo ou o navegador consulta um resolvedor DNS e busca o endereço IP correspondente ao nome de domínio.
| Etapa | O que acontece | Ponto a observar para anonimato |
|---|---|---|
| 1 | O navegador usa um nome de domínio | Surge o nome do site ao qual se quer conectar |
| 2 | Consulta um resolvedor DNS | Torna-se importante qual resolvedor foi consultado |
| 3 | Um endereço IP é retornado | A comunicação com esse endereço IP se torna possível |
| 4 | Conecta-se ao site | Com HTTPS, o corpo fica protegido por criptografia |
Uma consulta DNS não é o conteúdo da página nem o conteúdo de um formulário em si. No entanto, "qual nome de domínio foi consultado" se torna uma pista forte para inferir o destino do acesso.
Qual é o problema de um vazamento de DNS
O problema de um vazamento de DNS é que, mesmo achando que a rota de comunicação mudou, apenas as consultas DNS saem por uma rota diferente.
Por exemplo, suponha que o objetivo de usar uma VPN seja "dificultar que o ISP veja diretamente o destino da conexão". Nessa situação, mesmo que a comunicação web esteja indo para o servidor VPN, se apenas as consultas DNS forem para o lado do ISP, o ISP pode conseguir ver os nomes de domínio consultados.
Ou seja, mesmo que o conteúdo do site de destino seja difícil de ler por causa do HTTPS, na etapa de DNS pode ficar registrado "qual domínio se tentou ver".
| Estado | Como a comunicação web aparece | Como o DNS aparece |
|---|---|---|
| Conexão normal | O ISP pode ver o IP de destino e informações semelhantes | Frequentemente usa DNS do lado do ISP |
| VPN funcionando corretamente | O ISP vê a conexão VPN | Flui para DNS do lado da VPN ou para o DNS especificado |
| Com vazamento de DNS | A comunicação web passa pela VPN | Apenas o DNS sai para o lado do ISP |
| Uso do Tor Browser | A resolução de nomes dentro do Tor Browser é tratada via Tor | Pense separadamente de navegadores normais e outros aplicativos |
Um vazamento de DNS é fácil de deixar passar quando se presume que "como estou usando uma VPN, o destino não é visível".
Em anonimato, é preciso verificar separadamente a rota da comunicação web e a rota das consultas DNS.
Costuma exigir atenção ao usar uma VPN
Vazamentos de DNS são especialmente considerados ao usar uma VPN.
Uma VPN cria um caminho de comunicação do dispositivo até o servidor VPN e, a partir desse servidor, comunica-se com o exterior. Para o site de destino, parece que o usuário vem do endereço IP do servidor VPN, não do IP de casa.
No entanto, se a configuração das consultas DNS não tiver mudado para acompanhar a VPN, apenas o DNS pode sair pela rede habitual.
Nesse estado, mesmo que o IP visível para o site de destino seja o servidor VPN, os nomes de domínio consultados ficam do lado do resolvedor DNS.
| Causa | O que acontece | O que verificar |
|---|---|---|
| Problema na configuração DNS da VPN | Apenas o DNS sai pela conexão normal | Servidor DNS durante a conexão VPN |
| DNS fixado no sistema operacional | A configuração do sistema operacional tem prioridade sobre a VPN | Configuração de rede |
| DNS próprio do navegador | O navegador usa outro DNS | Configuração DNS do navegador |
| Vazamento ao desconectar a VPN | Após a desconexão, volta para a conexão normal | Kill switch e configuração de reconexão |
Ao usar uma VPN, verifique não só o endereço IP, mas também o DNS. Só "o IP visível para o destino mudou" não permite dizer que não há vazamento de DNS.
Relação com Tor
Ao usar o Tor Browser, a forma de pensar muda em relação à navegação web normal.
O Tor Browser é projetado para tratar a comunicação pela rede Tor. Por isso, a resolução de nomes dos sites acessados dentro do Tor Browser precisa ser pensada separadamente de um navegador normal.
No entanto, se aplicativos fora do Tor Browser ou o navegador habitual estiverem se comunicando pela conexão normal, essas consultas DNS continuam sendo outro problema.
Ou seja, mesmo usando Tor, nem toda a comunicação do dispositivo passa automaticamente por Tor. É preciso verificar de qual aplicativo sai a comunicação que você quer anonimizar.
Informações que um vazamento de DNS mostra e não mostra
Para entender corretamente um vazamento de DNS, separe o que pode ser visto do que não pode.
| Informação | Pode ser vista em um vazamento de DNS | Explicação |
|---|---|---|
| Nome de domínio | Pode ser visto | Torna-se uma pista sobre qual site foi consultado |
| Horário da consulta | Pode ser visto | Torna-se um eixo para comparação com outros registros |
| Conteúdo da página | Não é visto apenas por DNS | É uma questão separada do conteúdo dentro do HTTPS |
| Caminho ou consulta da URL | Normalmente não é visto por DNS | DNS lida principalmente com nomes de domínio |
| Conteúdo inserido em formulários | Não é visto por DNS | É tratado como conteúdo da comunicação HTTP |
Um vazamento de DNS não é um problema que vaza todo o conteúdo da página. No entanto, para o anonimato, apenas "a qual domínio se tentou ir" já pode ser uma pista importante.
Especialmente quando combinado com horário, endereço IP, registros de conexão da VPN, horário de publicação e comportamento de conta, isso se torna material para correlação.
O que verificar
Ao verificar um vazamento de DNS, compare as informações visíveis antes e depois de se conectar à VPN.
Se você usar um site externo de verificação de vazamento de DNS, observe se os servidores DNS exibidos são do ISP habitual, do lado da VPN ou do DNS próprio do navegador.
No entanto, não conclua que está completamente seguro apenas pelo resultado de um site de teste. O resultado muda conforme o escopo do teste, o navegador, a configuração do sistema operacional, o aplicativo VPN e o momento da conexão.
| Item de verificação | Razão para observar |
|---|---|
| Servidor DNS durante a conexão VPN | Verificar se DNS do lado do ISP não aparece |
| Configuração DNS do navegador | Verificar se o DNS próprio do navegador está como pretendido |
| Comportamento ao desconectar a VPN | Ver se, ao desconectar, volta para a conexão normal |
| Tratamento de IPv6 | Verificar se apenas o IPv6 não está por outra rota |
| Vários navegadores | Ver se os resultados do navegador anônimo e do habitual não se misturam |
DNSLeakTest é um site de verificação que permite conferir informações sobre o resolvedor DNS visto do exterior. Comparar os resultados antes e depois de se conectar a uma VPN facilita verificar se as consultas DNS saem pela rota pretendida.
URL : https://www.dnsleaktest.com/
Em atividades anônimas de alto risco, não se tranquilize apenas com a verificação de vazamento de DNS. Verifique separadamente , estado de login, impressão digital do navegador, conteúdo da publicação e metadados de arquivos.
Resumo
Um vazamento de DNS ocorre quando, mesmo achando que a rota de comunicação foi alterada, as consultas DNS saem por uma rota não pretendida.
DNS não é um mecanismo que trata o conteúdo da página. No entanto, os nomes de domínio consultados se tornam pistas sobre a qual site se tentou conectar.
Mesmo usando uma VPN, se apenas o DNS sair para o lado do ISP, permanecem materiais para inferir o destino da conexão. Ao usar o Tor Browser, também é preciso pensar separadamente na comunicação de aplicativos fora do Tor Browser e do navegador normal.
Em anonimato, verifique em conjunto não só o endereço IP, mas também DNS, Cookie, estado de login, navegador e conteúdo da publicação. Medidas contra vazamento de DNS são importantes, mas não completam o anonimato por si só.
Ferramentas relacionadas
WhatIsMyIP
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
DNSLeakTest
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
BrowserLeaks WebRTC
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
Proton VPN
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
URL : https://protonvpn.com/
Mullvad VPN
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
URL : https://mullvad.net/