DNS leak: что это, как проверить и устранить
DNS leak: что это, как проверить и устранить
Вы подключились к VPN и уверены в анонимности. Но DNS-запросы по-прежнему уходят провайдеру — это DNS leak. Несмотря на зашифрованный трафик, провайдер (или случайный наблюдатель) видит, какие домены вы посещаете. В статье — как обнаружить утечку и исправить её на всех популярных платформах.
Что такое DNS leak
При использовании VPN весь трафик должен идти через туннель. Но если ОС или приложение отправляет DNS-запросы в обход туннеля — напрямую на резолвер ISP — происходит leak. Контент запроса (имя домена) виден провайдеру или злоумышленнику.
Чем опасна утечка
- Провайдер видит список посещённых доменов.
- Нарушается цель VPN — полная приватность.
- В странах с цензурой — DNS-блокировки продолжают действовать.
- Фингерпринт: утечка DNS — один из признаков VPN в продвинутых deep packet inspection.
Типы утечек
- IPv6 leak
- VPN туннелирует IPv4, а IPv6 идёт напрямую. Очень частый сценарий.
- WebRTC leak
- STUN-запросы браузера раскрывают реальный IP.
- OS DNS leak
- ОС игнорирует DNS-настройки VPN и использует свой резолвер.
- Smart Multi-Homed Name Resolution (Windows)
- Windows параллельно опрашивает все сетевые интерфейсы и берёт первый ответ.
Как проверить
Онлайн-сервисы
- dnsleaktest.com — эталонный тест, запускает extended test с 6 запросами.
- browserleaks.com/dns — детальная диагностика.
- ipleak.net — проверка IPv4, IPv6, DNS, WebRTC.
Поверх этого используйте Enterno.io IP Geolocation — покажет текущий публичный IP для сравнения с IP резолвера.
Через dig
# какой резолвер используется на ОС
cat /etc/resolv.conf # Linux / macOS
ipconfig /all # Windows
# проверить, какой IP видит авторитативный сервер
dig +short myip.opendns.com @208.67.222.222
dig +short whoami.akamai.netДиагностика на Windows
Windows 10/11 использует Smart Multi-Homed Name Resolution — отправляет DNS-запросы на все сетевые интерфейсы параллельно. Это источник leak.
# Отключить SMHNR
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" /v DisableSmartNameResolution /t REG_DWORD /d 1 /f
# Отключить NetBIOS over TCP/IP
# Panel, Network, Adapter, TCP/IPv4, Advanced, WINS, Disable NetBIOSДиагностика на macOS
macOS обычно корректно обрабатывает VPN DNS. Для принудительного использования резолверов VPN:
# Показать текущие резолверы
scutil --dns
# Установить вручную через System Preferences, Network, DNSДиагностика на Linux
# Что использует система
resolvectl status
cat /etc/resolv.conf
# Заставить использовать только VPN DNS
sudo resolvectl dns tun0 10.8.0.1
sudo resolvectl domain tun0 "~."Исправление
1. Используйте WireGuard или OpenVPN с правильной настройкой
В конфиге VPN должны быть строки:
# OpenVPN
dhcp-option DNS 10.8.0.1
dhcp-option DOMAIN-ROUTE .
block-outside-dns
# WireGuard
[Interface]
DNS = 10.8.0.12. Отключите IPv6
Многие VPN не туннелируют IPv6. Проще всего отключить его до настройки поддержки в VPN:
# Linux
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1
# macOS
networksetup -setv6off Wi-Fi
# Windows — адаптер, свойства, снять галку IPv63. Включите Kill Switch
Большинство качественных VPN (NordVPN, Mullvad, ProtonVPN) имеют Kill Switch — блокирует весь трафик при обрыве VPN-соединения.
4. Отключите WebRTC в браузере
Chrome — расширение WebRTC Control. Firefox — about:config, media.peerconnection.enabled = false.
5. Принудительный DNS-резолвер
Настройте DoH / DoT:
# Cloudflare WARP
# Firefox, Settings, Network, Enable DNS over HTTPSЧастые ошибки
«У меня не утекает — я проверил один раз»
Утечки могут возникать при переподключении сети, переезде между Wi-Fi и Ethernet, сбоях VPN. Проверяйте регулярно и используйте Kill Switch.
«VPN сам защищает от leak»
Не все. Бесплатные VPN и некоторые провайдеры не имеют защиты от leak. Выбирайте VPN с явной поддержкой DNS leak protection.
Кастомный hosts-файл
Запись в /etc/hosts имеет приоритет над DNS, и при некоторых сценариях может создать впечатление leak. Проверяйте файл перед диагностикой.
FAQ
- Как часто нужно проверять на leak?
- При смене сети, обновлении VPN-клиента, обновлении ОС.
- Можно ли полностью устранить leak без VPN?
- Leak появляется только при работе через VPN/Tor. В обычном использовании термин неприменим.
- Защищает ли DoH от leak?
- Защищает от видимости запросов третьим лицам, но не от leak в смысле «обход VPN». Для полной защиты нужен VPN + DoH через VPN.
- Какой VPN точно не допускает leak?
- Mullvad, ProtonVPN, NordVPN — аудитированы третьими сторонами. Но конфигурация клиента всё равно важна.
Заключение
DNS leak — распространённая, но часто незаметная уязвимость VPN. Проверяйте через онлайн-тесты после каждой смены конфигурации, включайте Kill Switch, блокируйте IPv6 без поддержки и используйте WebRTC Control. Для анализа собственных DNS-настроек пригодится DNS Lookup и IP Geolocation.
Проверьте ваш сайт прямо сейчас
Проверить →