סקירה טכנית: מניעת דליפות DNS בעת החלפת ממשקי רשת

מניעת דליפות DNS בעת החלפת ממשקי רשת

כדי להציע למשתמש באופן אפקטיבי פרטיות ואבטחה, על יישום VPN להבטיח כי בקשות ה- DNS של המשתמש יישארו פרטיות לאורך כל החיבור ל- VPN. יישומים בדרך כלל עושים זאת על ידי הבטחה כי כל בקשות ה- DNS נשלחות מוצפנות דרך מנהרת VPN ומטופלות על ידי שרתי ה- DNS של ספק ה- VPN..

כדי לשמור על ערבות זו, חשוב להבין באילו תרחישים דליפות DNS עשויות להתרחש. אין די בהתחשב בתרחישים פשוטים, למשל כאשר חיבורי רשת יציבים. בעולם האמיתי, לרוב הרשתות אינן יציבות, או שהקונפיגורציות שלהן יכולות להשתנות, ובאופן כללי, זה כאשר מתרחשות דליפות. חקירת תרחישים מורכבים היא אפוא חלק מכריע בתהליך הנדסת יישום VPN מוגן דליפה.

ב- ExpressVPN אנו משקיעים זמן ומאמץ רב בחקירת תרחישים מורכבים שתוכנת VPN שלך עשויה לדלוף. בשאר מאמר זה, אנו דנים בתרחיש מסוים אחד שחשפנו בו יכול להתרחש דליפות DNS. נסביר כיצד ומדוע מתרחשת דליפת ה- DNS וניתן לך דרך לבדוק את ההדלפות בעצמך.

תרחיש: DNS דולף לאחר מתג בממשקי רשת

מעבר בין ממשקי רשת הוא תרחיש נפוץ בו קיימות דליפות DNS. שקול את הדוגמה הבאה:

  • אתה בבית עם המחשב הנייד ומחובר ל- Wi-Fi
  • אתה מתחבר ליישום VPN שלך
  • זמן מאוחר יותר אתה מחבר את כבל ה- Ethernet שלך

מרבית יישומי ה- VPN לא יזהו שינוי תצורת רשת זה. הם ימשיכו ליידע אותך כי הפרטיות והביטחון שלך עדיין מוגנים במאה אחוז, אולם המציאות יכולה להיות שונה מאוד.

תחת הכיסויים, בקשות ה- DNS שלך יכולות לדלוף בהתמדה לספק שירותי האינטרנט שלך או לצדדים שלישיים אחרים, ולעולם לא תוכל להבין זאת.

פירוט טכני

מתי זה באמת יכול לקרות?

בואו ניקח את הדוגמא של מקינטוש (עם זאת, שים לב שהדלף הזה מתרחש גם במכשירי Windows). נניח שיש לך חיבור Wi-Fi ו- Ethernet זמינים. פתח את האפליקציה "העדפות מערכת" ונווט אל "רשת". תראה משהו כמו הבא:

דליפות Wi-Fi של DNS

זה מציין שאתה מחובר גם ל- Wi-Fi וגם ל- Ethernet, אבל Ethernet הוא החיבור המועדף עליך.

נניח עוד ש- DNS שלך מותר לכתובת IP "מקומית". אתה יכול לבדוק זאת על ידי לחיצה על "מתקדם" כאשר חיבור ה- Ethernet שלך מודגש ואז ניווט אל "DNS". אתה אמור לראות דבר כזה:

צפה בשרת DNS

אם כתובות ה- IP תחת "שרתי DNS" הן בטופס 10.x.x.x, 192.168.x.x או בין 172.16.x.x ל- 172.31.x.x, הן כתובת IP מקומית. פירוש הדבר שסביר להניח שהנתב שלך פועל כשרת DNS שלך ובכך, ללא VPN, ספק שירותי האינטרנט שלך יכול לראות את כל בקשות ה- DNS שלך. אם יש לך הגדרה כזו, אתה עלול להיות פגיע לדליפת DNS זו.

שים לב שגם אם לשרתי ה- DNS שלך אין כתובות IP מקומיות, סביר להניח שעדיין תהיה חשוף לדליפות DNS. במקרה זה, בקשות ה- DNS עשויות לעבור במנהרת VPN. עם זאת, הם לא ינותבו לשרת ה- DNS של ה- VPN אלא לשרת DNS אחר, כמו זה של ספק שירותי האינטרנט שלך או ספק DNS של צד שלישי..

איך אתה יכול לבדוק אם אתה דולף?

השיטה הפשוטה ביותר היא להשתמש בכלי דליפת ה- DNS של ExpressVPN ולבצע את הפעולות הבאות:

  • ודא שכבל ה- Ethernet אינו מנותק
  • ודא שאתה מחובר לרשת Wi-Fi
  • התחבר ליישום ה- VPN שלך
  • השתמש במבחן דליפת ה- DNS של ExpressVPN או בבוחן צד שלישי
  • אתה אמור לראות רק שרת DNS אחד רשום
  • אם אתה משתמש ב- ExpressVPN, הבודק שלנו יגיד לך שהוא שרת מוכר משלנו
  • חבר את כבל ה- Ethernet שלך
  • רענן את דף דליפת ה- DNS. אם אתה מדליף DNS, כעת תראה רשימה אחרת של שרתי DNS

אתה יכול גם לבדוק אם מדובר בדליפות DNS מבלי להסתמך על דף האינטרנט שלנו באמצעות tcpdump כדלקמן.

ראשית, מצא את ממשק הרשת המתאים לחיבור ה- Ethernet שלך:

  • פתח חלון מסוף
  • הקלד רשתות הגדר - רשימת כל קבצי hardwareports
  • חפש שורה כמו "נמל חומרה: Thunderbolt Ethernet", למשל.
  • נמל חומרה: Thunderbolt Ethernet

  • ממשק הרשת לחיבור ה- Ethernet שלך מוצג לצד "התקן". בדוגמה זו הוא en4

עכשיו, בואו וננהל את המבחן:

  • ודא שכבל ה- Ethernet אינו מנותק
  • התחבר ליישום VPN שלך באמצעות Wi-Fi
  • חבר את כבל ה- Ethernet שלך
  • פתח חלון מסוף
  • הקלד sudo tcpdump -i en4 יציאה 53 והזן את הסיסמה שלך
  • sudo מעניק ל- tcpdump את ההרשאות הדרושות לתפיסת תעבורת רשת
  • -i en4 אומר ל- tcpdump להאזין בממשק ה- Ethernet
  • החלף את en4 בממשק שגילית למעלה
  • יציאה 53 היא היציאה המשמשת לתעבורת DNS וכך מציגה לך רק בקשות DNS
  • אם אתה רואה תנועה כלשהי, יש לך דליפות DNS, למשל.
  • תנועת דליפות DNS

    מה בעצם קורה כאן?

    הגורם השורש לדליפה זו נוגע לאופן שבו מערכת ההפעלה קובעת באילו שרתי DNS להשתמש. שרתי ה- DNS המשמשים את המערכת הם תמיד אלה המשויכים לשירות הרשת הפעיל בעל העדיפות הגבוהה ביותר - זה תואם את השירות הירוק בראש הרשימה בתמונה למעלה.

    כאשר Ethernet מושבת, השרתים שיקבלו את שאילתות ה- DNS שלך הם אלה המשויכים לשירות ה- Wi-Fi, מכיוון שהוא כעת שירות הרשת הפעיל בעל העדיפות הגבוהה ביותר. הדבר נכון גם כשאתה מתחבר ל- VPN. כדי לשלוח נכונה את תעבורת ה- DNS שלך לשרת ה- VPN, מרבית ספקי ה- VPN משנים את שרתי ה- DNS בממשק בעדיפות הגבוהה ביותר לשרת ה- DNS שלהם. בתרחיש זה פירוש הדבר שהם משנים את שרתי ה- DNS המשויכים לשירות רשת ה- Wi-Fi שלך.

    כשאתה מחבר את כבל ה- Ethernet שלך, שירות רשת ה- Ethernet קופץ לראש הרשימה הפעילה מכיוון שהוא כעת שירות הרשת בעל העדיפות הגבוהה ביותר. לאחר מכן תנסה מערכת ההפעלה להשתמש בשרתי ה- DNS המשויכים לשירות זה עבור בדיקות DNS כלשהן.

    יישומי VPN רבים לא שמים לב לבעיה מכיוון שרשת ה- Wi-Fi שלך עדיין פועלת - היא מעולם לא הופרעה. עם זאת, למרות שהם עשויים לשלוח את הנתונים שלך מוצפנים דרך רשת ה- Wi-Fi, בקשות ה- DNS שלך יישלחו ללא מוצפנות לספק האינטרנט שלך..

    אם יישום ה- VPN שלך לא מצליח להגן מפני תרחיש זה, פירוש הדבר כי בקשות ה- DNS שלך ידלפו מהמנהרה אל ספק שירותי האינטרנט שלך..

    בודק שרתי שמות DNS בטרמינל

    כהערה צדדית, אתה יכול לחקור את התנהגותם של שרתי DNS בעצמך באמצעות הפקודה scutil. כדי לראות באילו שרתי DNS משתמשים במערכת פשוט:

    • פתח חלון מסוף
    • הקלד scutil - dns
    • בחלק העליון של הפלט, אתה אמור לראות "רזולוציה מס '1" עם רשימה של "שרת שמות", למשל.
    • רזולוציה מספר שרתים מס '1

    • כתובות ה- IP שליד כל "שרת שמות" מציינות מה המערכת תשתמש בבקשות DNS

    מעוניין ללמוד עוד? יש לך שאלה או תגובה?

    צוות ההנדסה שלנו ישמח לשמוע ממך - פשוט תוריד לנו שורה בכתובת [email protected]

    סקירה טכנית: מניעת דליפות DNS בעת החלפת ממשקי רשת
    admin Author
    Sorry! The Author has not filled his profile.