Мы постарались написать статью, которая по своей сути должна быть технической, языком, понятным обычному пользователю. Вам не нужно быть сисадмином, чтобы понять, о чём мы здесь пишем, но Вам нужны эти знания, чтобы избежать утечки DNS, которая может привести к уязвимости Ваших личных данных.
Утечки DNS случаются, когда пользователь или само устройство меняет сетевые настройки — к примеру, если был утерян сигнал Wi-Fi). Приложение VPN, как правило, упускает эту уязвимость. А если мы говорим про бесплатный VPN сервис — они грешат этим почти всегда.
Для того, чтобы Ваша конфиденциальность в Интернете была сохранена, необходимо, чтобы приложение VPN непрерывно скрывало Ваш IP-адрес. VPN туннель не должен иметь ни единого разрыва на протяжении всей сессии. Шифрование трафика должно идти постоянно на всём протяжении сессии. Ести соединение стабильное, приложение VPN, как правило, справляется с этой задачей. А если нет?
А если нет — в момент, когда случился разрыв соединения, VPN туннель так же рвётся. Да, подключение к другой сети происходит через считанные секунды, но даже если эта сеть тоже безопасна и защищена VPN, в течение этих секунд Ваш IP-адрес становится видимым. Всё. Шифрование трафика нарушено. Чтобы этого не произошло, приложение VPN должно иметь 'предохранитель', разрывающий соединение с Интернетом, как только контакт с VPN-сервером утерян.
Поговорим о конкретных случаях, когда приложение VPN может упустить утечки DNS. Это происходит не только при самой очевидной причине — разрыве соединения с сервером VPN.
Утечки DNS происходят при переключении между точками доступа Например, у Вас есть ноутбук, Вы подключены к Интернету через точку доступа Wi-Fi. Приложение VPN активно с начала сессии, соединение стабильное (ещё бы — маршрутизатор в двух шагах от Вас), вроде бы всё под контролем.
Затем Вы подключаете кабель локальной сети, чтобы взаимодействовать с ещё одним домашним компьютером. Вроде бы ничего страшного не произошло, но конфигурация сети изменилась. Особенно если сам этот компьютер подключен к Интернету через обычный кабель, идущий в квартиру. Утечки DNS могут произойти не только в момент переключения соединения (о предпочтительном соединении мы поговорим далее), но и в том случае, если подключение второго компьютера не защищено.
(Не)тонкая настройка
В данном примере мы покажем эту тонкость на Mac OS, но и устройства под Windows уязвимы для этой утечки DNS ничуть не меньше. Итак, что нужно сделать. В момент, когда Вы подключены к точке доступа Wi-Fi и кабелю Ethernet, зайдите в системные настройки и откройте вкладку Сеть. На экране будет что-то вроде этого.
Что это означает? Подключены-то Вы к обеим сетям. Но есть одна предпочтительная. И если зайти в эту предпочтительную (вкладка Дополнительно), и затем в раздел DNS... сисадмины здесь уже всё поняли, остальным поясним.
Указанные во вкладке DNS-серверов IP-адреса выглядят как 10.x.x.x, 192.168.x.x, или 172.16.x.x-172.31.x.x. Что это значит: роутер в этой структуре играет роль DNS. С готовностью демонстрируя провайдеру все DNS-запросы пользователя (то есть Ваши). Если, конечно, Вы не используете приложение VPN.
Более того: не стоит расслабляться и в том случае, если в качестве DNS-сервера указан другой IP-адрес. Лучший выход — не использовать для выхода в Интернет столь сложные конфигурации. Или хотя бы запустите приложение VPN на обоих устройствах.
Утечки DNS: как их обнаружить?
Если Ваше приложение VPN имеет функцию, позволяющую проверить утечки DNS, самый простой способ — Вы не поверите: используйте эту функцию! Если приложение VPN, которое Вы используете, не может проверить утечки DNS самостоятельно — есть сторонние программы, позволяющие выполнить этот тест.
Критерий, показывающий, что утечки DNS не найдены (если это не указано в результате теста прямым образом) — в результате теста будет указан только один DNS-сервер.
Есть ещё один способ обнаружить утечки DNS – с помощью утилиты tcpdump. Имейте в виду, что это профессиональная программа с широким набором функций. Если Вы не владеете навыками системного администратора, лучше выберите предыдущий вариант — а то даже с инструкцией разбираться будете в несколько раз дольше, чем если использовать программу-тестер, специально созданную, чтобы показывать утечки DNS.
Утечки DNS: из-за чего они вообще случаются?
Суть проблемы в том, что операционная система выбирает серверы DNS, которые использовать в приоритетном режиме. А что такое приоритет? Это выбор из нескольких вариантов. То есть всегда, когда есть несколько вариантов подключения, система будет выбирать из них лучший — по её мнению.
Какое здесь самое безопасное решение? Если Вы используете приложение VPN (а мы надеемся, что это так), лучшее решение очевидно. Сделать приоритетом серверы, которые использует приложение VPN.
Как правило, у провайдеров VPN это уже настроено. Когда Вы соединились с сервером VPN, приложение VPN автоматически выбирает 'свой' DNS-сервер. Следующий шаг — чтобы приложение VPN этот сервер не 'потеряло'. И мы снова возвращаемся к необходимости надёжного соединения и 'предохранителя', обрывающего соединение с Интернетом, если соединение с VPN-сервером разорвано.
Как правило, приложение VPN считает, что всё ок — ведь оно по-прежнему отправляет зашифрованный трафик. Но если при этом DNS-запросы не шифруются — провайдер видит их без проблем.
Утечки DNS: как изучить поведение DNS-сервера с помощью утилиты Terminal Если Вы хотите лучше понять, как работают Ваши DNS-серверы — Вам поможет утилита Terminal для Linux. Вот как это сделать:
● Запустите Terminal
● Наберите scutil --dns
● Наверху появится resolver # 1 со списком nameserver
● Адрес IP, написанный рядом с именем сервера, будет тем самым адресом, который используется для запросов DNS.
Источник статьи: https://brovpn.io/blog/tehnicheskij-obzor-predotvrashchenie-utechek-dns-pri-pereklyuchenii-setevyh-interfejsov