Технички преглед: Спречавање цурења ДНС-а приликом пребацивања мрежних интерфејса
Да би ефикасно понудили приватност и сигурност корисника, ВПН апликација мора осигурати да кориснички ДНС захтеви остану приватни током читавог трајања везе са ВПН-ом. Апликације обично то раде тако што гарантују да се сви ДНС захтеви шаљу шифровано кроз ВПН тунел и њима рукује ДНС сервер ВПН провајдера..
Да бисте одржали ову гаранцију, важно је схватити под којим сценаријима може доћи до цурења ДНС-а. Узимајући у обзир само једноставне сценарије, на пример када су мрежне везе стабилне, није довољно. У стварном свету мреже су често нестабилне или се њихове конфигурације могу мењати, и генерално, то се догађа када дође до цурења. Истраживање сложених сценарија стога је пресудни део процеса израде ВПН апликације отпорне на пропуштање.
На ЕкпрессВПН-у трошимо много времена и труда истражујући сложене сценарије под којима може процурити ваша ВПН апликација. У остатку овог чланка разговарамо о једном одређеном сценарију који смо открили где може доћи до цурења ДНС-а. Објаснићемо како и зашто долази до цурења ДНС-а и даћемо вам начин да сами тестирате пропусте.
Сценариј: ДНС цури након пребацивања у мрежне интерфејсе
Пребацивање између мрежних интерфејса је уобичајени сценарио где су могућа цурења ДНС-а. Размотрите следећи пример:
- Кући сте са лаптопом и повезани на Ви-Фи
- Повезујете се са ВПН апликацијом
- Нешто касније прикључите свој Етхернет кабл
Већина ВПН апликација неће открити ову промену мрежне конфигурације. Они ће вас и даље обавештавати да су ваша приватност и сигурност још увек 100% заштићени, али стварност може бити врло другачија.
Под покривачима, ваши ДНС захтеви могу упорно процурити вашем даватељу интернетских услуга или другим трећим лицима, а ви то никада нећете схватити.
Технички квар
Када се то заиста може догодити?
Узмимо пример Мац рачунара (имајте на уму да се то цурење догађа и са Виндовс уређајима). Претпоставимо да су вам на располагању Ви-Фи и Етхернет веза. Отворите апликацију „Преференцес система“ и идите на „Мрежа“. Видећете нешто попут следећег:
Ово указује да сте повезани и са Ви-Фи-ом и са Етхернет-ом, али Етхернет је ваша омиљена веза.
Претпоставимо да је ваш ДНС пуштен на „локалну“ ИП адресу. Ово можете да проверите кликом на „Напредно“ када је истакнута ваша Етхернет веза, а затим прелазите на „ДНС“. Требало би да видите нешто овако:
Ако су ИП адресе под „ДНС сервери“ у облику 10.к.к.к, 192.168.к.к или између 172.16.к.к и 172.31.к.к, онда су то „локалне“ ИП адресе. То највероватније значи да ваш рутер делује као ваш ДНС сервер и на тај начин, без ВПН-а, ваш ИСП може видети све ваше ДНС захтеве. Ако имате такво подешавање, можда ћете бити рањиви на ово цурење ДНС-а.
Имајте на уму да чак и ако ваши ДНС сервери немају локалне ИП адресе, вероватно ћете и даље бити рањиви на цурење ДНС-а. У овом случају, ДНС захтеви могу проћи кроз тунел ВПН. Међутим, они не би били преусмерени на ДНС сервер ВПН-а већ на неки други ДНС сервер, попут вашег даватеља интернетских услуга или другог ДНС провајдера..
Како можете проверити да ли цури?
Најједноставнији метод је употреба ДНС-овог алата за пропуштање ЕкпрессВПН-а и урадите следеће:
- Провјерите је ли ваш Етхернет кабел искључен из напајања
- Проверите да ли сте повезани на Ви-Фи мрежу
- Повежите се са својом ВПН апликацијом
- Користите ЕкпрессВПН-ов испитивач пропуштања ДНС-а или трећи страна
- Требали бисте видети само један ДНС сервер
- Ако користите ЕкпрессВПН, онда ће вам наш испитивач рећи и да је то наш препознати сервер
- Прикључите свој Етхернет кабл
- Освежите страницу за цурење ДНС-а. Ако вам цури ДНС, сада ћете видети другу листу ДНС сервера
Такође можете проверити да ли постоји пропуштање ДНС-а без ослањања на нашу веб страницу помоћу тцпдумп на следећи начин.
Прво пронађите мрежни интерфејс који одговара вашој Етхернет вези:
- Отворите прозор терминала
- Откуцајте нетворксетуп -листаллхардварепортс
- Потражите линију попут “Хардверски порт: Тхундерболт Етхернет”, нпр.
- Мрежни интерфејс за вашу Етхернет везу приказан је поред „Уређај“. У овом примеру је ен4
А сада, покренимо тест:
- Провјерите је ли ваш Етхернет кабел искључен из напајања
- Повежите се са својом ВПН апликацијом преко Ви-Фи-ја
- Прикључите свој Етхернет кабл
- Отворите прозор терминала
- Упишите судо тцпдумп -и ен4 порт 53 и унесите своју лозинку
- судо даје тцпдумп потребне привилегије за хватање мрежног промета
- -и ен4 говори тцпдумп да слуша Етхернет интерфејс
- Замените ен4 интерфејсом који сте открили изнад
- порт 53 је порт који се користи за ДНС саобраћај и на тај начин приказује само ДНС захтеве
- Ако видите било какав промет, имате пропусте за ДНС, нпр.
- Отворите прозор терминала
- Откуцајте сцутил –днс
- На врху излаза требали бисте видети „резолуцију бр. 1“ са списком „намесервер“ -а, нпр..
- ИП адресе поред сваког „послужитеља имена“ означавају шта ће систем користити за ДНС захтеве
Шта се ту заправо догађа?
Основни узрок овог пропуштања своди се на то како оперативни систем одређује које ДНС сервере треба користити. ДНС сервери које користи систем су увек повезани са активном мрежном услугом највишег приоритета – то одговара зеленој услузи на врху листе на слици изнад.
Ако је Етхернет онемогућен, сервери који ће примати ваше ДНС упите су они повезани са Ви-Фи услугом јер је то сада мрежна услуга са највишим приоритетом. Исто важи и када се повежете на ВПН. Да би исправно послали свој ДНС саобраћај на ДНС сервер ВПН-а, већина ВПН провајдера мења ДНС сервере на интерфејсу највишег приоритета у свој ДНС сервер. У овом сценарију, то значи да мењају ДНС сервере повезане са вашом Ви-Фи мрежном услугом.
Када прикључите свој Етхернет кабл, услуга Етхернет мреже скаче на врх активне листе јер је то сада мрежни сервис највишег приоритета. Оперативни систем ће тада покушати да користи ДНС сервере повезане са том услугом за било које ДНС претраге.
Многе ВПН апликације неће приметити проблем јер је ваша Ви-Фи мрежа и даље у функцији – никада није била прекинута. Међутим, иако они могу слати ваше податке шифроване преко Ви-Фи мреже, ваши ДНС захтеви биће слани нешифровани на вашег даваоца интернетских услуга.
Ако се ваша ВПН апликација не заштити од овог сценарија, то ће значити да ће се ваши ДНС захтеви исцурити из тунела у ваш ИСП..
Провера ДНС сервера имена у Терминалу
Као споредну напомену, сами можете истражити понашање ДНС сервера помоћу команде сцутил. Да бисте видели које ДНС сервере систем користи једноставно:
Заинтересовани сте да сазнате више? Имате питање или коментар?
Наш инжењерски тим би волео да вас чује – једноставно нам пошаљите линију на едитор@екпрессвпн.цом.
17.04.2023 @ 16:25
технологију користећи командну линију у Терминалу. Унесите команду „nslookup“ за проверу ДНС сервера имена. Ако видите ДНС сервере који нису ваш ВПН провајдер, то значи да вам цури ДНС. Шта се ту заправо догађа? Када се пребацујете између мрежних интерфејса, ваш рачунар може да промени ДНС сервер који користи. Ако ваша ВПН апликација не прати ову промену, ваш ДНС захтев може да прође кроз вашу стару мрежну конфигурацију, а не кроз ВПН тунел. Ово може довести до цурења ДНС-а и откривања ваше онлајн активности. Провера ДНС сервера имена у Терминалу је један начин да проверите да ли вам цури ДНС. Заинтересовани сте да сазнате више? Имате питање или коментар? Посетите нашу веб страницу или контактирајте наш тим за подршку. Ми смо ту да вам помогнемо да заштитите своју приватност и сигурност на мрежи.