DNS-Leak
Was ist DNS-Leak?
DNS-LeakDatenschutz-Schwachstelle, bei der DNS-Anfragen am VPN- oder Tor-Tunnel vorbei im Klartext an den ISP oder den Standardresolver gehen.
Ein DNS-Leak liegt vor, wenn Namensauflösungs-Traffic den verschlüsselten Tunnel verlässt, in dem er eigentlich laufen sollte, und damit jeden besuchten Domainnamen an ISP, öffentliches WLAN oder DNS-Anbieter preisgibt. Häufige Ursachen sind Split-Tunnel-Konfigurationen, aktiviertes IPv6 obwohl das VPN nur IPv4 abdeckt, Windows-Multihomed-Resolution mit parallelen Abfragen über alle Interfaces oder Smart-Resolution-Funktionen des Betriebssystems. Selbst wenn Webtraffic über HTTPS verschlüsselt ist, geben DNS-Metadaten Surfgewohnheiten preis und ermöglichen Zensur oder Tracking. Gegenmassnahmen sind die Erzwingung aller DNS-Anfragen durch den Tunnel, das Blockieren des Systemresolvers an der Firewall, das Deaktivieren von IPv6 bei fehlender Unterstützung sowie DoH oder DoT zum VPN-Resolver.
● Beispiele
- 01
VPN-Client leitet IPv4-DNS durch den Tunnel, lässt IPv6-Anfragen aber zum ISP-Resolver gehen.
- 02
Windows sendet DNS-Anfragen parallel über Ethernet und VPN-Adapter und gibt besuchte Domains preis.
● Häufige Fragen
Was ist DNS-Leak?
Datenschutz-Schwachstelle, bei der DNS-Anfragen am VPN- oder Tor-Tunnel vorbei im Klartext an den ISP oder den Standardresolver gehen. Es gehört zur Kategorie Datenschutz der Cybersicherheit.
Was bedeutet DNS-Leak?
Datenschutz-Schwachstelle, bei der DNS-Anfragen am VPN- oder Tor-Tunnel vorbei im Klartext an den ISP oder den Standardresolver gehen.
Wie funktioniert DNS-Leak?
Ein DNS-Leak liegt vor, wenn Namensauflösungs-Traffic den verschlüsselten Tunnel verlässt, in dem er eigentlich laufen sollte, und damit jeden besuchten Domainnamen an ISP, öffentliches WLAN oder DNS-Anbieter preisgibt. Häufige Ursachen sind Split-Tunnel-Konfigurationen, aktiviertes IPv6 obwohl das VPN nur IPv4 abdeckt, Windows-Multihomed-Resolution mit parallelen Abfragen über alle Interfaces oder Smart-Resolution-Funktionen des Betriebssystems. Selbst wenn Webtraffic über HTTPS verschlüsselt ist, geben DNS-Metadaten Surfgewohnheiten preis und ermöglichen Zensur oder Tracking. Gegenmassnahmen sind die Erzwingung aller DNS-Anfragen durch den Tunnel, das Blockieren des Systemresolvers an der Firewall, das Deaktivieren von IPv6 bei fehlender Unterstützung sowie DoH oder DoT zum VPN-Resolver.
Wie schützt man sich gegen DNS-Leak?
Schutzmaßnahmen gegen DNS-Leak kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DNS-Leak?
Übliche alternative Bezeichnungen: DNS-Bypass, Resolver-Leak.
● Verwandte Begriffe
- privacy№ 1214
VPN-Leak
Versagen eines VPN-Tunnels, bei dem identifizierender Traffic – IP, DNS, IPv6 oder WebRTC – am verschlüsselten Kanal vorbei ins offene Netz gelangt.
- privacy№ 1231
WebRTC-IP-Leak
Browser-Leck, bei dem die STUN/ICE-Mechanik von WebRTC die tatsächlichen lokalen und öffentlichen IP-Adressen offenlegt, selbst wenn ein VPN oder Proxy aktiv ist.
- network-security№ 340
DNS over HTTPS (DoH)
Protokoll, das DNS-Anfragen verschlüsselt, indem es sie über HTTPS transportiert und so verhindert, dass On-Path-Beobachter sie lesen oder manipulieren.
- network-security№ 341
DNS over TLS (DoT)
Protokoll, das DNS-Anfragen in einer dedizierten TLS-Sitzung verschlüsselt und so vor Abhören und Manipulation auf der Leitung schützt.
● Siehe auch
- № 1215VPN-Split-Tunneling
- № 1213VPN-Kill-Switch