什麼是DNS洩漏?我該如何預防?

我撰寫關於DNS服務器及它的記錄、域名和IP地址等的文章,為你提供終極的網絡安全知識,以識別和防止公司網站和應用程序上的信息安全問題。

今天,我將會探索如何預防DNS洩漏。

什麼是DNS?

DNS(域名服務)是使網絡正常運行的關鍵服務,並允許你將主機名映射到IP地址。

這樣,你可以輕鬆記住任何網站的名稱,而無需記住IP地址。換句話說,對於那些上網的人來說,這就像一本巨大的電話簿。

每次瀏覽網站時,本地計算機都會要求你的ISP DNS解析器標識這個網站的IP地址。然後,ISP返回這個信息,你可以開始瀏覽指定的網站。

對於幾乎每個使用網絡的人來說,這都是一種正常情況。大多數人不知道的是,使用你的ISP提供的DNS解析器會洩漏你的隱私!

我都知道將你的數據保密是很困難的,ISP最終將開始過濾流量(降低網上串流節目、電影、音樂或遊戲的速度),或分析來自使用它的DNS服務器的用戶的數據。

更差的是,他們被迫將你所有的個人解析主機和與DNS相關的信息提供給任何合法請求的政府或聯邦機構。

使用基於公共ISP的DNS服務器可能會導致一個常見的安全問題,稱為DNS洩漏。

好消息是你可以選擇避免使用ISP提供的DNS解析器。

因此,讓我進一步了解DNS洩漏及它的預防方法。

什麼是DNS洩漏?

正如我提到的,ISP(尤其是DNS服務器)可以保留有關它的用戶的大量數據,並存儲有關哪些IP地址向網絡上的任何主機名發出原始請求的信息。

如果你的公共DNS提供商能夠永久地監視這個信息並將它存儲在它的服務器中,那麼你將面臨DNS洩漏的巨大風險。

DNS洩漏是在ISP級別監視、存儲和過濾DNS流量的行為,通過檢查用於將網絡主機名解析為IP地址的公共DNS服務器。

運作方式如下:

  1. 打開瀏覽器
  2. 輸入“Twitter.com”
  3. 這時,你的ISP DNS服務器將通過以下活動將記錄存儲在它的服務器中:
    • 原始計算機IP(你的)
    • 目標主機名
    • 目標服務器IP

換句話說,DNS洩漏是計算機和DNS解析器之間的安全問題,它會影響你的網上隱私,因為所有查詢都是使用未加密的DNS請求通過網絡發送的。

在網絡中立的世界中,用戶不必擔心自己的瀏覽活動是否受到檢查。作為用戶,你應該可以自由瀏覽和聯繫各種類型的網站和網上服務,而不必擔心DNS洩漏。

但是,仍有一些方法可以阻止DNS監視活動。

如何防止DNS洩漏?

有什麼辦法可以避免DNS洩漏?

使用你自己或第三方的VPN服務

避免DNS洩漏的最流行方法之一是使用VPN服務器。

VPN(虛擬專用網絡)服務使你可以在計算機和網絡之間建立專用隧道。這樣,你可以連接到VPN服務器,然後開始匿名瀏覽而不顯示你的原始IP。

儘管VPN服務器的主要目標是隱藏你的真實IP地址並加密你的流量,但並非所有VPN提供商都能確保這一點。實際上,許多VPN容易遭受DNS洩漏。

在選擇下一個提供商之前,請始終仔細檢查VPN功能,並確保它們不會允許任何DNS洩漏。

如果你不相信任何VPN提供商,則可以做的另一件事是在離岸國家設置自己的專用或Cloud VPS盒子,那裡的ISP不會像當前的ISP那樣洩漏(盡可能多的)信息,並且使用OpenVPN之類的軟件安裝自己的VPN服務。

使用Cloudflare DNS服務器

這是另一個不錯的選擇。

Cloudflare推出了它的1.1.1.1公共DNS服務器,這個服務器聲稱是世界上最快、最安全的DNS解析器。

實際上,Cloudflare可能將DNS信息洩漏給你的提供商的可能性非常低,因為它們幾乎不存儲有關你的連接的信息。如果存儲了任何信息,它將在24小時後銷毀,至少那是他們對用戶的承諾。用他們自己的話說:

日誌會保留24小時以進行調試,然後將它清除。

如果要在Unix和Linux上更改本地解析器,請嘗試在/etc/resolv.conf文件中設置以下兩個值:

nameserver 1.1.1.1

nameserver 1.0.0.1

對於Windows、Mac和其他移動操作系統,請查看官方安裝說明。

這可能是防止DNS洩漏的最快、最安全的方法,儘管你還應該記住,如果需要,Cloudflare可以並將互聯網DNS活動的最後24小時提供給執法機構。

額外的好處:Cloudflare還可以極大地提高你的網絡速度。目前,它們被評為全球最快的DNS解析器。

使用你自己的DNS解析服務器

這是另一種解決方案:你可以使用任何域名系統服務器軟件來安裝自己的DNS解析器。但是,與“建立自己的VPN”解決方案一樣,這個操作必須在離岸國家進行,ISP可以確保這個國家不會記錄你的DNS請求。

我有危險嗎?運行DNS洩漏測試

首先,第一件事:如果你使用的是本地ISP DNS公共解析器,而沒有使用VPN提供商或Cloudflare DNS(1.1.1.1)保護IP,那麼你很有可能會遭受DNS洩漏。

如果你使用的是VPN服務,則有幾種方法可以運行DNS洩漏測試。使用網上DNS洩漏測試應用程序:

  • dnsleaktest.com
  • dnsleak.com
  • ipleak.net

這些網上測試通常會很快產生結果,但是請注意,一些最受歡迎的VPN公司與開發這些DNS洩漏測試工具的公司相同。知道他們可以操縱結果以反映自己的興趣,向你出售自己的VPN服務。

使用命令行運行DNS洩漏測試

測試提供商是否存在DNS洩漏的另一種方法是查詢Akamai,只需運行:

nslookup whoami.akamai.net

這應該返回你的VPN提供商的IP地址,而不是你本地ISP分配的IP。雖然這意味著你正在瀏覽網絡並通過VPN分配的IP進行響應,但問題仍然存在:你真的可以信任你的VPN提供商嗎?

他們存儲你的瀏覽活動多長時間?他們的日誌記錄和數據保留政策是什麼?

這些是你在購買VPN服務之前應始終詢問的問題。

幸運的是,大多數VPN提供商都允許進行試用測試,因此你可以運行VPN服務來確定它的是否真正安全。

總結

使用基於ISP的DNS解析器可能會導致你完全失去網上隱私,包括但不限於過濾你的娛樂訂閱,根據瀏覽的內容降低互聯網速度或將所有詳細信息提供給執法機構。

根據我的經驗,防止DNS洩漏的最佳方法是建立自己的VPN服務器或使用可以完全保證你的隱私的服務器。其他建議是使用Cloudflare 1.1.1.1公共服務器,並且作為最後的選擇,運行你自己的DNS解析器。

DNS仍然是現有的最具針對性的互聯網服務之一。

Leave a Comment