DNS leak – co to jest wyciek DNS i jak się przed tym zabezpieczyć?

DNS leak to jedna z poważniejszych luk bezpieczeństwa wiążąca się z korzystaniem z VPN i nieprawidłową konfiguracją urządzenia, na którym działa usługa. Wyciek DNS powoduje, że dostawca usług sieciowych może poznać strony, na które wchodzisz podczas połączenia z internetem za pomocą VPN. Ale nie tylko on, bo również inne osoby, które mogą chcieć podsłuchiwać Twoją aktywność sieciową. Wszystko przez to, że przy wystąpieniu wycieku DNS zapytania są wysyłane do serwerów DNS bez pośrednictwa serwera VPN.

Co to jest DNS?

DNS (Domain Name System) służy do „tłumaczenia” domen internetowych na fizyczne adresy IP serwerów, na których znajduje się zawartość stron internetowych. Za każdym razem gdy łączysz się z jakimś serwisem i wpisujesz nazwę domeny, komputer komunikuje się z serwerem DNS aby uzyskać właściwy adres IP. Na przykład dla domeny „dobryvpn.pl” adresem IP serwera może być „104.28.20.235”.

To właśnie dzięki DNS internet działa w taki sposób, jaki każdy z nas zna. Nie trzeba pamiętać adresów IP serwerów, wystarczy wpisać wygodną i prostą do zapamiętania domenę w pasku przeglądarki, żeby momentalnie przenieść się do wybranej strony internetowej. Większość dostawców internetu dostarcza użytkownikom swój własny serwer DNS, który jest przez nich kontrolowany i w oparciu o który mogą logować połączenia i aktywność użytkowników oraz blokować dostęp do niektórych stron.

Co to jest wyciek DNS czyli DNS leak?

Wyciek DNS to luka w konfiguracji i zabezpieczeniach podczas połączenia z VPN, w wyniku której zapytania wysyłane są do serwerów DNS dostawcy internetu (ISP), zamiast na serwery DNS dostawcy VPN. W konsekwencji tego dostawca usług internetowych oraz inne podmioty próbujące podsłuchać aktywność użytkownika w sieci, mogą poznać odwiedzane przez niego strony.

Wyciek DNS nie powoduje, że ujawnione zostają dane zaszyfrowane przez VPN. Te wciąż pozostają ukryte i chronione przed wzrokiem niepowołanych osób. Za to w jego wyniku zostaje ujawnione to, że wchodzisz na konkretną stronę internetową. Dostawca internetu będzie wiedział, że odwiedzasz np. google.com czy protonmail.com, ale nie będzie wiedział co na niej robisz. DNS leak wyjawia wyłącznie adresy domen, które odwiedzasz.

Nastąpienie wycieku DNS jest możliwe w kilku sytuacjach, które głównie wiążą się z błędami w aplikacjach VPN lub pewnymi funkcjami systemu operacyjnego. Może się on wydarzyć gdy:

  • Używasz sytemu Windows 8 lub nowszego i masz włączoną funkcję Inteligentne rozpoznawanie nazw z obsługą wielu adresów (Smart Multi-Homed Name Resolution). Powoduje to wysyłanie zapytań DNS przez wszystkie dostępne w systemie operacyjnym interfejsy, w tym te które pomijają połączenie z VPN. W założeniu Microsoftu ma to przyśpieszyć odpytywanie serwerów VPN, ale skutkiem ubocznym jest wyciek DNS.
  • Korzystasz z sieci VPN, która nie zapewnia własnych serwerów DNS użytkownikom oraz nie posiada wbudowanej ochrony przed wyciekami.
  • Konfigurujesz połączenie VPN w systemie operacyjnym ręcznie.

Test DNS leak – jak przetestować połączenie z VPN?

To czy dochodzi do wycieku DNS można bardzo łatwo sprawdzić przy pomocy prostego narzędzia online. Pozwala na określenie w ciągu kilku sekund czy DNS wycieka czy też wszystko jest bezpieczne. Warto to sprawdzić zawsze po instalacji lub konfiguracji nowej usługi VPN, żeby mieć 100% pewność że wszystko dobrze działa i jest bezpieczne.

Żeby wykonać test DNS leak podczas połączenia z VPN wystarczy wejść na stronę jednego z narzędzi online:

Następnie trzeba kliknąć na przycisk rozpoczynający test. Potrwa on kilka sekund i sprawdzi czy dochodzi do wycieku DNS. W rezultacie zobaczymy adres IP oraz serwer lub serwery DNS.

test wyciek dns wyniki
Przykładowe wyniki testu DNS leak podczas połączenia z NordVPN

Na obrazku powyżej widoczny jest wynik testu wycieku DNS podczas aktywnego połączenia z usługą VPN od NordVPN. Jest to jeden z dostawców, którego aplikacje są wyposażone w zabezpieczenia przed tą luką bezpieczeństwa.

Test wycieku DNS – jak interpretować wyniki

Jeżeli po przeprowadzeniu testu wycieku DNS jako wykryty serwer DNS zobaczysz taki, który dostałeś od dostawcy usług VPN to wszystko jest dobrze. Nie dochodzi do wycieku DNS, a wszystkie połączenie są bezpieczne i prywatne. Możesz swobodnie korzystać z sieci bez obaw, że ktoś niepowołany pozna Twoją aktywność online. VPN działa tak, jak powinien.

Jeżeli w wynikach testu widoczny będzie serwer DNS, który otrzymujesz od dostawcy internetu lub samodzielnie skonfigurowałeś w ustawieniach systemu, to będzie to oznaczać że doszło do wycieku DNS. W tej sytuacji trzeba

Jakie są konsekwencje wycieku DNS?

W konsekwencji wycieku DNS Twój ISP czyli dostawca usług internetowych dowie się jakie strony odwiedzałeś podczas połączenia z VPN. Nie będzie miało tutaj znaczenia, że połączenie było szyfrowane najlepszym możliwym protokołem VPN. Trzeba mieć to na uwadze gdy korzysta się z niesprawdzonej usługi VPN, która nie chroni przed DNS leak. W tej sytuacji każde zapytanie wysłane przez komputer do serwera DNS o domenę internetową zostanie w logach ISP. Zarówno dostawca internetu jak i służby, które wystąpią do niego o Twoją historię przeglądanych stron będą w stanie poznać, na jakie strony wchodzisz. Na szczęście wyciek DNS nie powoduje ujawnienia innych danych, jak np. przesyłanych w sposób nieszyfrowany treści.

W przypadku DNS leak nie tylko ISP dowie się coś o Tobie. Również administrator strony, na którą wejdziesz pozna z jakiego prawdziwego serwera DNS zostało wysłane zapytanie, a tym samym dowie się kto jest dostawcą Twoich usług internetowych. Jeżeli próbujesz zmienić kraj i IP, to w ten sposób ujawnisz swoją prawdziwą lokalizację geograficzną. A w przypadku małych sieci i pozostałych śladów, które każdy zostawia po sobie w sieci (np. w postaci różnych ustawień przeglądarki, na podstawie których można wygenerować odcisk palca) namierzyć również konkretnego użytkownika.

Jak zabezpieczyć się przed wyciekiem DNS?

Zabezpieczenie się przed wyciekiem DNS jest bardzo proste. Sposoby zależą w dużej mierze od tego, na jakim urządzeniu i systemie operacyjnym korzysta się z VPN. Istotne jest też to, w jaki sposób została skonfigurowana usługa VPN oraz czy i z jakiego klienta VPN się korzysta.

Sposoby na zabezpieczenie się przed wyciekiem DNS podczas korzystania z DNS:

  • Konfiguracja połączenia z VPN za pomocą specjalnego programu klienckiego, a nie bezpośrednio w ustawieniach połączenia VPN w ustawieniach sieciowych.
  • Korzystanie z klienta VPN, który posiada wbudowane mechanizmy chroniące przed wyciekami DNS. Większość najlepszych usług VPN skutecznie chroni użytkownika przed wyciekiem DNS i jedyne co trzeba zrobić, to zainstalować oficjalną aplikację kliencką, którą otrzymuje się od dostawcy sieci VPN. Na wszelki wypadek zawsze warto wykonać test.
  • Wyłączenie inteligentnego rozpoznawania nazw z obsługą wielu adresów w systemie Windows – jest to podstawowa przyczyna wycieków DNS na komputerach z systemem Windows. Instrukcja jak to zrobić poniżej.
  • Użycie prywatnej przeglądarki Tor – nie wymaga korzystania z systemowych ustawień DNS i pozwala zachować prywatność podczas wchodzenia na strony internetowe.

Wyłączenie inteligentnego rozpoznawania nazw z obsługą wielu adresów w systemie Windows

Żeby wyłączyć tę opcję trzeba przejść do zaawansowanych ustawień systemu Windows 8 lub Windows 10. Na obu systemach robi się to niemal identycznie.

  1. Kliknij przycisk Start, wpisz gpedit.msc i kliknij Edytuj zasady grupy.
  2. W oknie które się pojawi po lewej stronie wybierz Szablony administracyjne > Sieć > Klient DNS.
  3. Kliknij na opcję Wyłącz inteligentne rozpoznawanie nazw z obsługą wielu adresów
  4. Spośród dostępnych ustawień wybierz Włącz i kliknij Zastosuj.

W ten sposób wyłączysz inteligentnego rozpoznawanie nazw z obsługą wielu adresów w systemie Windows 8 oraz 10. Nie będzie to już powodować wycieków DNS podczas korzystania z VPN.