Что такое утечка DNS
Даже если вы используете или , при невнимании к DNS признаки доменных имен, к которым вы пытались подключиться, могут уйти по другому маршруту.
Это называется утечкой DNS.
Утечка DNS немного отличается от ситуации, когда читается само содержимое сетевого обмена. Проблема в том, что появляется признак того, какой сайт кто-то пытался открыть.
Например, вы можете считать, что изменили маршрут трафика с помощью VPN. Но если только DNS-запросы отправляются на DNS-резолвер вашего обычного интернет-провайдера, на стороне провайдера в некоторых случаях будут видны запрошенные доменные имена.
В этой статье разбирается, что видно при утечке DNS, как это связано с VPN и Tor и на что смотреть при проверке.
DNS — это механизм поиска адреса назначения
DNS — это механизм, который сопоставляет доменные имена с IP-адресами.
Когда человек открывает сайт в браузере, он использует доменное имя. Но для фактической передачи данных по сети нужен IP-адрес назначения.
Поэтому устройство или браузер обращается к DNS-резолверу и узнает IP-адрес, соответствующий доменному имени.
| Этап | Что происходит | Что смотреть с точки зрения анонимности |
|---|---|---|
| 1 | Браузер использует доменное имя | Появляется имя сайта, к которому нужно подключиться |
| 2 | Выполняется запрос к DNS-резолверу | Важным становится то, к какому резолверу был запрос |
| 3 | Возвращается IP-адрес | С этим IP-адресом становится возможен обмен данными |
| 4 | Выполняется подключение к сайту | При HTTPS тело страницы защищено шифрованием |
DNS-запрос — это не содержимое страницы и не данные формы. Однако то, какое доменное имя было запрошено, становится сильным признаком для вывода о целевом сайте.
В чем проблема утечки DNS
Проблема утечки DNS в том, что вы думаете, будто маршрут трафика изменился, но только DNS-запросы уходят по другому пути.
Допустим, цель использования VPN — сделать так, чтобы интернет-провайдеру было сложнее напрямую увидеть целевой сайт. В такой ситуации веб-трафик может идти к VPN-серверу, но если только DNS-запросы уходят на сторону провайдера, провайдер в некоторых случаях сможет видеть запрошенные доменные имена.
Иными словами, даже если содержимое целевого сайта трудно прочитать из-за HTTPS, на этапе DNS может остаться след того, какой домен кто-то пытался открыть.
| Состояние | Как виден веб-трафик | Как виден DNS |
|---|---|---|
| Обычное подключение | Провайдер может видеть IP назначения и похожие сведения | Часто используется DNS на стороне провайдера |
| VPN работает корректно | Провайдер видит VPN-подключение | DNS идет на сторону VPN или к заданному DNS |
| Есть утечка DNS | Веб-трафик проходит через VPN | Только DNS уходит на сторону провайдера |
| Используется Tor Browser | Разрешение имен внутри Tor Browser обрабатывается через Tor | Рассматривать отдельно от обычных браузеров и других приложений |
Утечку DNS легко пропустить, если исходить из мысли: «раз я использую VPN, целевой сайт не виден».
Для анонимности нужно отдельно проверять маршрут веб-трафика и маршрут DNS-запросов.
Особенно важно при использовании VPN
Об утечках DNS особенно часто думают при использовании VPN.
VPN создает канал от устройства до VPN-сервера, а затем обращается наружу через этот сервер. Для целевого сайта соединение выглядит так, будто оно идет с IP-адреса VPN-сервера, а не с домашнего IP-адреса пользователя.
Но если настройки DNS-запросов не изменились в соответствии с VPN, только DNS может уходить через обычную сеть.
В таком состоянии целевой сайт видит IP-адрес VPN-сервера, но запрошенные доменные имена остаются на стороне DNS-резолвера.
| Причина | Что происходит | Что проверить |
|---|---|---|
| Проблема с DNS-настройками VPN | Только DNS уходит через обычное подключение | DNS-сервер во время VPN-подключения |
| Фиксированный DNS на стороне операционной системы | Настройки операционной системы имеют приоритет над VPN | Сетевые настройки |
| Собственный DNS браузера | Браузер использует другой DNS | DNS-настройки браузера |
| Утечка при разрыве VPN | После разрыва происходит возврат к обычному подключению | Kill switch и настройки повторного подключения |
Если вы используете VPN, проверяйте не только IP-адрес, но и DNS. Одно лишь изменение IP-адреса, видимого целевому сайту, не доказывает отсутствие утечки DNS.
Связь с Tor
При использовании Tor Browser подход отличается от обычного веб-серфинга.
Tor Browser спроектирован так, чтобы обрабатывать трафик через сеть Tor. Поэтому разрешение имен для сайтов, открываемых внутри Tor Browser, нужно рассматривать отдельно от обычного браузера.
Но если приложения вне Tor Browser или ваш обычный браузер обмениваются данными через обычное подключение, их DNS-запросы остаются отдельной проблемой.
Иными словами, даже при использовании Tor не весь трафик всего устройства автоматически идет через Tor. Нужно проверить, из какого приложения выходит трафик, который вы хотите анонимизировать.
Что видно и чего не видно при утечке DNS
Чтобы правильно понимать утечки DNS, нужно разделять видимое и невидимое.
| Информация | Видна при утечке DNS? | Объяснение |
|---|---|---|
| Доменное имя | Может быть видно | Становится признаком того, какой сайт был запрошен |
| Время запроса | Может быть видно | Становится осью для сопоставления с другими логами |
| Тело страницы | Не видно по одному DNS | Отдельный вопрос от содержимого HTTPS |
| Путь и строка запроса в URL | Обычно не видны в DNS | DNS в основном работает с доменными именами |
| Данные, введенные в форму | Не видны через DNS | Относятся к содержимому HTTP-обмена |
Утечка DNS — это не ситуация, когда наружу уходит все содержимое страницы. Но для анонимности даже то, к какому домену кто-то пытался перейти, может быть важным признаком.
Особенно вместе со временем, IP-адресом, логами VPN-подключения, временем публикации и поведением аккаунта это становится материалом для корреляции.
Что проверять
При проверке утечки DNS сравнивайте сведения, видимые до VPN-подключения и после него.
Если вы используете внешний сайт проверки DNS-утечек, смотрите, какой DNS-сервер отображается: обычный со стороны провайдера, со стороны VPN или собственный DNS браузера.
Однако не делайте вывод о полной безопасности только по результатам тестового сайта. Результаты зависят от охвата теста, браузера, настроек операционной системы, VPN-приложения и момента подключения.
| Пункт проверки | Зачем смотреть |
|---|---|
| DNS-сервер во время VPN-подключения | Проверить, виден ли DNS со стороны провайдера |
| DNS-настройки браузера | Проверить, намеренно ли используется собственный DNS браузера |
| Поведение при разрыве VPN | Посмотреть, возвращается ли подключение к обычной сети при разрыве |
| Обработка IPv6 | Проверить, не идет ли только IPv6 по другому маршруту |
| Несколько браузеров | Посмотреть, не смешиваются ли результаты между анонимным и обычным браузером |
DNSLeakTest — это проверочный сайт, который позволяет увидеть сведения о DNS-резолвере с внешней стороны. Если сравнить результаты до VPN-подключения и после него, проще проверить, уходят ли DNS-запросы по задуманному маршруту.
URL : https://www.dnsleaktest.com/
При анонимной деятельности с высоким риском не успокаивайтесь одной проверкой утечки DNS. Отдельно проверяйте , состояние входа в аккаунт, браузерный fingerprinting, содержание публикации и метаданные файлов.
Итоги
Утечка DNS означает, что DNS-запросы уходят по непредусмотренному маршруту, хотя вы считаете, что изменили путь трафика.
DNS не является механизмом, который обрабатывает тело страницы. Однако запрошенные доменные имена становятся признаками того, с каким сайтом кто-то пытался соединиться.
Даже при использовании VPN, если только DNS уходит на сторону провайдера, остаются данные для вывода о целевом сайте. При использовании Tor Browser трафик приложений вне Tor Browser и обычного браузера тоже нужно рассматривать отдельно.
Для анонимности проверяйте не только IP-адрес, но и DNS, Cookie, состояние входа, браузер и содержание публикации вместе. Меры против утечки DNS важны, но сами по себе они не делают анонимность полной.
Связанные инструменты
WhatIsMyIP
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
DNSLeakTest
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
BrowserLeaks WebRTC
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
Proton VPN
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://protonvpn.com/
Mullvad VPN
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://mullvad.net/