DNS-утечка
Что такое DNS-утечка?
DNS-утечкаСбой приватности, при котором DNS-запросы обходят VPN- или Tor-туннель и уходят в открытом виде к провайдеру или системному резолверу.
DNS-утечка возникает, когда трафик разрешения имён уходит мимо шифрованного туннеля, который должен его нести, и каждое посещаемое доменное имя становится видимым ISP, публичному Wi-Fi или DNS-провайдеру. Типичные причины — конфигурация split tunnel, включённый IPv6 при том, что VPN обрабатывает только IPv4, многоинтерфейсное разрешение Windows, рассылающее запросы по всем адаптерам, и функции smart resolution в ОС. Даже при HTTPS-шифровании веб-трафика метаданные DNS раскрывают паттерны посещений и могут использоваться для цензуры и отслеживания. Среди мер защиты — принудительная отправка всего DNS через туннель, блокировка системного резолвера на файрволе, отключение IPv6 при отсутствии поддержки, использование DoH или DoT к VPN-резолверу.
● Примеры
- 01
VPN-клиент пускает IPv4 DNS через туннель, но позволяет IPv6-запросам уходить к резолверу провайдера.
- 02
Windows параллельно посылает DNS-запросы через Ethernet и VPN-адаптер, раскрывая посещённые домены.
● Частые вопросы
Что такое DNS-утечка?
Сбой приватности, при котором DNS-запросы обходят VPN- или Tor-туннель и уходят в открытом виде к провайдеру или системному резолверу. Относится к категории Приватность и защита данных в кибербезопасности.
Что означает DNS-утечка?
Сбой приватности, при котором DNS-запросы обходят VPN- или Tor-туннель и уходят в открытом виде к провайдеру или системному резолверу.
Как работает DNS-утечка?
DNS-утечка возникает, когда трафик разрешения имён уходит мимо шифрованного туннеля, который должен его нести, и каждое посещаемое доменное имя становится видимым ISP, публичному Wi-Fi или DNS-провайдеру. Типичные причины — конфигурация split tunnel, включённый IPv6 при том, что VPN обрабатывает только IPv4, многоинтерфейсное разрешение Windows, рассылающее запросы по всем адаптерам, и функции smart resolution в ОС. Даже при HTTPS-шифровании веб-трафика метаданные DNS раскрывают паттерны посещений и могут использоваться для цензуры и отслеживания. Среди мер защиты — принудительная отправка всего DNS через туннель, блокировка системного резолвера на файрволе, отключение IPv6 при отсутствии поддержки, использование DoH или DoT к VPN-резолверу.
Как защититься от DNS-утечка?
Защита от DNS-утечка обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия DNS-утечка?
Распространённые альтернативные названия: Обход DNS, Утечка резолвера.
● Связанные термины
- privacy№ 1214
Утечка VPN
Сбой VPN-туннеля, при котором идентифицирующий трафик — IP, DNS, IPv6 или WebRTC — уходит мимо шифрованного канала.
- privacy№ 1231
Утечка IP через WebRTC
Утечка на стороне браузера: механизмы STUN/ICE в WebRTC раскрывают реальные локальный и публичный IP пользователя даже при активном VPN или прокси.
- network-security№ 340
DNS over HTTPS (DoH)
Протокол, шифрующий DNS-запросы, перенося их внутри HTTPS, что не даёт наблюдателю на пути читать или изменять разрешения.
- network-security№ 341
DNS over TLS (DoT)
Протокол, шифрующий DNS-запросы в выделенной TLS-сессии и защищающий их от прослушивания и подмены в сети.
● См. также
- № 1215Раздельное туннелирование VPN
- № 1213VPN Kill Switch