DNS 泄漏
DNS 泄漏 是什么?
DNS 泄漏一种隐私泄漏:DNS 查询绕过 VPN 或 Tor 隧道,以明文形式发送给用户的 ISP 或默认解析器。
当本应通过加密隧道的域名解析流量逃逸到隧道之外,就会发生 DNS 泄漏,让用户访问的每个域名都暴露给 ISP、公共 Wi-Fi 或 DNS 服务商。常见原因包括 split-tunnel 配置、VPN 只处理 IPv4 而 IPv6 仍直连、Windows 的多宿主解析在所有网卡上同时发起查询,以及操作系统的智能解析功能。即便 Web 流量通过 HTTPS 加密,DNS 元数据仍会暴露浏览模式,从而被用于审查或跟踪。常见对策包括强制所有 DNS 走隧道、在防火墙阻止系统解析器、不支持时关闭 IPv6,以及使用 DoH 或 DoT 指向 VPN 提供的解析器。
● 示例
- 01
VPN 客户端将 IPv4 DNS 路由进隧道,却让 IPv6 查询走向 ISP 解析器。
- 02
Windows 在以太网与 VPN 适配器上并行发送 DNS 查询,暴露所访问的域名。
● 常见问题
DNS 泄漏 是什么?
一种隐私泄漏:DNS 查询绕过 VPN 或 Tor 隧道,以明文形式发送给用户的 ISP 或默认解析器。 它属于网络安全的 隐私与数据保护 分类。
DNS 泄漏 是什么意思?
一种隐私泄漏:DNS 查询绕过 VPN 或 Tor 隧道,以明文形式发送给用户的 ISP 或默认解析器。
DNS 泄漏 是如何工作的?
当本应通过加密隧道的域名解析流量逃逸到隧道之外,就会发生 DNS 泄漏,让用户访问的每个域名都暴露给 ISP、公共 Wi-Fi 或 DNS 服务商。常见原因包括 split-tunnel 配置、VPN 只处理 IPv4 而 IPv6 仍直连、Windows 的多宿主解析在所有网卡上同时发起查询,以及操作系统的智能解析功能。即便 Web 流量通过 HTTPS 加密,DNS 元数据仍会暴露浏览模式,从而被用于审查或跟踪。常见对策包括强制所有 DNS 走隧道、在防火墙阻止系统解析器、不支持时关闭 IPv6,以及使用 DoH 或 DoT 指向 VPN 提供的解析器。
如何防御 DNS 泄漏?
针对 DNS 泄漏 的防御通常结合技术控制与运营实践,详见上方完整定义。
DNS 泄漏 还有哪些其他名称?
常见的别称包括: DNS 绕行, 解析器泄漏。
● 相关术语
- privacy№ 1214
VPN 泄漏
VPN 隧道失效导致标识性流量(IP、DNS、IPv6 或 WebRTC)逃出加密通道的情形。
- privacy№ 1231
WebRTC IP 泄漏
一种浏览器侧泄漏:WebRTC 的 STUN/ICE 机制会暴露用户真实的本地与公网 IP,即使开启了 VPN 或代理。
- network-security№ 340
DNS over HTTPS (DoH)
通过将 DNS 查询封装在 HTTPS 中传输的协议,可防止路径上的观察者读取或篡改查询。
- network-security№ 341
DNS over TLS (DoT)
在专用 TLS 会话中加密 DNS 查询的协议,防止其在网络上被窃听或篡改。
● 参见
- № 1215VPN 分流(Split Tunneling)
- № 1213VPN 紧急停断(Kill Switch)