Fexyn
Fexyn
All posts

كيف تعمل تسريبات DNS فعلاً (وكيف تصلحها)

Fexyn Team··7 min read

تسريب DNS هو عندما تذهب استعلامات DNS الخاصة بك — البحوث التي تترجم أسماء النطاقات إلى عناوين IP — إلى خادم DNS غير الذي يوجهك VPN خلاله. النتيجة: رغم أن VPN نشط، الجهة التي تتحكم بخادم DNS ذاك (عادةً ISP) يمكنها رؤية كل نطاق تزوره.

تسريبات DNS شائعة. تحدث حتى مع عملاء VPN ذوي سمعة، غالباً بشكل غير مرئي للمستخدم، ويمكن أن تقوّض تماماً فائدة الخصوصية لاستخدام VPN. هنا النسخة الفنية لسبب وكيفية الإصلاح.

ما يفعله DNS ولماذا هو مهم

عندما تكتب example.com، حاسوبك يسأل خادم DNS عن عنوان IP. استعلام DNS بنص واضح (مع استثناءات نادرة مغطاة في الأسفل). أياً كان من يخدم DNS الخاص بك يرى النطاق الذي تحاول الوصول إليه.

بدون VPN، استعلامات DNS عادةً تذهب لخادم DNS الخاص بـ ISP. ISP يرى كل نطاق تبحث عنه — غالباً البيانات الوصفية الأكثر حساسية للخصوصية حول نشاطك على الإنترنت.

مع VPN نشط ومُكوَّن بشكل صحيح، استعلامات DNS يجب أن توجه عبر نفق VPN وتُحلّ في خادم DNS الخاص بمزود VPN. ISP يرى نفقاً مشفراً لمزود VPN؛ لا يستطيعون رؤية أي نطاقات تبحث عنها.

تسريبات DNS تحدث عندما يسبب شيء ما تجاوز بعض الاستعلامات لنفق VPN والذهاب لمحلل مختلف — عادةً ISP. ISP يحصل على نفس الرؤية كما لو لم يكن VPN موجوداً.

كيف تحدث تسريبات DNS

عدة آليات فنية:

1. Windows SMHNR (Smart Multi-Homed Name Resolution). Windows لديه ميزة حيث يرسل استعلامات DNS إلى واجهات شبكة متعددة بالتوازي ويستخدم أياً يستجيب أولاً. إذا كان لديك VPN نشط وواجهة شبكة عادية، Windows قد يرسل استعلامات DNS لكليهما في وقت واحد. DNS الخاص بـ ISP يستجيب أولاً لأنه أقرب؛ Windows يستخدم تلك الإجابة. DNS الخاص بـ VPN يرى نفس الاستعلام لكن يقدم إجابة مكررة. ISP رأى الاستعلام.

هذا أكثر سبب شائع لتسريبات DNS على Windows. SMHNR مفعَّل افتراضياً. عملاء VPN يجب أن يعطلوه بنشاط، مثالياً على مستوى WFP (Windows Filtering Platform).

2. تسريبات DNS لـ IPv6. كثير من عملاء VPN ينفقون حركة IPv4 لكن لا يتعاملون مع IPv6 بشكل صحيح. إذا كانت شبكتك تدعم IPv6 وVPN لا ينفق IPv6، استعلامات DNS لـ IPv6 تذهب لـ ISP. حركة IPv4 خاصة؛ DNS لـ IPv6 يسرّب نفس معلومات النطاق.

3. NRPT (Name Resolution Policy Table). ميزة Windows توجه استعلامات نطاق محددة لخوادم DNS محددة. بعض عملاء VPN يستخدمون NRPT لتوجيه الحركة؛ إذا أُسيء تكوينه، بعض الاستعلامات تتسرب.

4. سجلات DNS مخزنة مؤقتاً. نظام التشغيل يحافظ على ذاكرة DNS مؤقتة. عندما تتصل بـ VPN، الذاكرة المؤقتة ما زالت تحوي إدخالات من قبل اتصال VPN. الاستعلامات اللاحقة لتلك النطاقات المخزنة لا تولد بحوثاً جديدة؛ نظام التشغيل يستخدم الاستجابة المخزنة. الذاكرة المؤقتة نفسها ليست تسريباً، لكن التوقيت مهم — إذا زرت موقعاً قبل اتصال VPN، تلك الزيارة كانت مرئية.

5. DNS على مستوى التطبيق. بعض التطبيقات (Chrome، Firefox مع DoH مفعَّل) تجري بحوثها الخاصة لـ DNS متجاوزة محلل DNS الخاص بنظام التشغيل. إذا ذهب DNS الخاص بالتطبيق عبر مسار مختلف عن نظام التشغيل، قد يتسرب.

6. تسريبات IP لـ WebRTC (مرتبطة لكن مختلفة). WebRTC يمكّن اتصالات peer-to-peer في المتصفحات. WebRTC يمكن أن يكشف IP الحقيقي عبر STUN/TURN حتى عند توجيه الحركة عبر VPN. ليس تسريب DNS بدقة لكن غالباً يخلط بينهما.

اكتشاف تسريبات DNS

الاختبار القياسي:

  1. اتصل بـ VPN
  2. زر موقع اختبار تسريب DNS (أداة Fexyn في /tools/dns-leak-test أو أدوات طرف ثالث مثل dnsleaktest.com)
  3. شغّل الاختبار الموسع
  4. افحص المحللات المعروضة في النتيجة

إذا كانت المحللات تنتمي لمزود VPN الخاص بك، لا تسريب. إذا كان أي محلل ينتمي لـ ISP، ISP منزلك، مزود DNS لنظام التشغيل، أو أي طرف غير VPN، لديك تسريب.

لتسريبات IPv6 تحديداً، تأكد أن الاختبار يغطي IPv6 (بعض الأدوات الأقدم تفحص IPv4 فقط). أداة Fexyn تغطي كليهما.

إصلاح تسريبات DNS

الإصلاحات الفعلية، حسب عميل VPN:

عملاء VPN حديثون (Fexyn، ProtonVPN، Mullvad، NordVPN، ExpressVPN). هذه تمنع تسريبات DNS بنشاط عبر:

  • مرشحات WFP تحجب استعلامات DNS على واجهات غير-النفق
  • تعطيل SMHNR عبر Windows registry / تكوين NRPT
  • حماية تسريب IPv6 (حجب IPv6 كلياً أو إنفاقه)
  • إجبار كل استعلامات DNS عبر محللات VPN

إذا كنت تستخدم أحد هؤلاء العملاء وما زلت ترى تسريبات، شيء ما معطل — قدم طلب دعم. التسريب يجب ألا يحدث.

عملاء VPN أقدم أو أبسط. غالباً يفتقدون واحداً أو أكثر مما سبق. الإصلاح من جانب المستخدم:

  • كوّن محلل DNS لمحول شبكتك يدوياً لمحلل يحترم الخصوصية (Cloudflare 1.1.1.1، Quad9 9.9.9.9) بدلاً من تلقائي
  • عطّل IPv6 على محول شبكتك كلياً إذا لم يتعامل VPN معه
  • استخدم جدار حماية نظام التشغيل لحجب استعلامات DNS لأي مكان عدا خادم DNS الخاص بـ VPN

DNS على مستوى التطبيق. إعدادات DoH للمتصفح التي تتجاوز DNS لنظام التشغيل: عطّل DoH إذا أردت كل DNS أن يوجه عبر VPN. أو كوّن DoH لاستخدام نقطة DoH الخاصة بمزود VPN إذا متاح.

كيف يمنع Fexyn تسريبات DNS

عدة طبقات:

1. مرشحات WFP تحجب DNS لغير-النفق. عندما يكون نفق VPN قائماً، قواعد WFP الخاصة بنا تحجب UDP منفذ 53 لأي مكان عدا خادم DNS لـ VPN. حتى Windows SMHNR لا يستطيع التسريب لأن القواعد تطبق على مستوى النواة.

2. SMHNR معطَّل صراحة. المثبت الخاص بنا يعدل إدخال registry الذي يتحكم بـ SMHNR. يُعاد تفعيله عند إلغاء التثبيت.

3. IPv6 مُتعامل معه. إما مُنفَق (عندما يدعم تكوين VPN للمستخدم ذلك) أو محجوب (عندما يكون التكوين IPv4 فقط). بأي حال، لا تتسرب استعلامات IPv6 بنص واضح.

4. DNS داخل النفق. كل استعلامات DNS داخل النفق تُحلّ في خوادم DNS الخاصة بنا، لا في أي محلل خارجي.

5. استمرار وقت الإقلاع (اختياري). قواعد WFP تستمر عبر إعادات التشغيل، حتى لا يتسرب DNS أثناء نافذة الإقلاع قبل بدء عميل VPN.

DoH وDoT — DNS مشفر

DNS-over-HTTPS (DoH) وDNS-over-TLS (DoT) بروتوكولات تشفر استعلامات DNS بين عميلك والمحلل. مفيدة في سيناريوهين:

بدون VPN. DNS مشفر يمنع ISP من رؤية استعلامات DNS الخاصة بك. محلل DNS ما زال يراها؛ نقلت الثقة من ISP إلى محلل DNS. Cloudflare 1.1.1.1 مع DoH تكوين شائع.

مع VPN. حزام-وحمالات. VPN يشفر النفق بالفعل؛ DoH داخل النفق يضيف تشفيراً مكرراً يمنع DNS الخاص بـ VPN من أن يكون قابلاً للقراءة لمزود VPN في حالة اختراق سجل من جانب المزود. معظم المستخدمين لا يحتاجون هذه المقاربة الطبقية.

مع DNS مشفر لكن بدون VPN. DNS مشفر يخفي محتوى الاستعلام من ISP؛ ISP ما زال يرى البيانات الوصفية على مستوى الاتصال (أي محلل DNS تستخدم، متى، كم مرة). مفيد في الغالب إذا أردت بعض خصوصية DNS بدون عبء VPN.

للمستخدمين الذين يريدون أقصى خصوصية DNS: VPN + DoH داخل النفق + مزود VPN no-logs يستخدم DNS مشفر في المنبع. هذا يكدس طبقات الخصوصية؛ ليس ضرورياً لمعظم المستخدمين.

أسئلة شائعة

كيف أعرف إذا كان VPN يسرّب DNS؟

أجرِ اختبار تسريب DNS (Fexyn في /tools/dns-leak-test أو طرف ثالث). إذا كانت المحللات المعروضة تنتمي لمزود VPN، لا تسريب. إذا ظهر أي شيء آخر، تسريب.

لماذا VPN يسرّب DNS؟

الأكثر شيوعاً: Windows SMHNR يرسل استعلامات لواجهات متعددة. أقل شيوعاً: تسريب IPv6، DNS على مستوى التطبيق، عميل VPN مُكوَّن خطأً.

هل تسريب DNS سيعطي ISP تاريخ تصفحي؟

نعم للاستعلامات المسرّبة. ISPs ترى أسماء النطاقات التي تبحث عنها. تسريب DNS يعطيهم نفس الرؤية التي سيكون لديهم بدون VPN.

هل DNS مشفر كافٍ بنفسه؟

DNS مشفر يخفي محتوى DNS من ISP. لا يشفر حركتك الأخرى. IP الوجهة ما زال مرئياً لـ ISP عبر وسائل أخرى (SNI في TLS handshakes، توجيه الحركة). VPN أداة خصوصية شاملة أقوى.

هل يجب أن أستخدم إعدادات DNS لراوتري؟

إذا كان راوترك يمكن تكوينه لاستخدام DNS يحترم الخصوصية (Cloudflare، Quad9)، نعم. هذا ينطبق على كل الأجهزة على شبكتك. أفضل عند دمجه مع VPN على مستوى الجهاز للتشفير الكامل.

هل يستخدم Fexyn DNS الخاص به أم طرف ثالث؟

Fexyn يستخدم محللات DNS الخاصة به داخل النفق. المحللات أنفسهم لا يسجلون الاستعلامات. حالياً لا نستخدم DNS مشفر في المنبع (DoH/DoT في المنبع)؛ الحل مباشر لخوادم root وTLD من محللاتنا.

جرّب Fexyn مجاناً 7 أيام — منع تسريب DNS مستند لـ WFP، حماية تسريب IPv6، kill switch على مستوى النواة. اختبر تسريبات DNS عبر أداة اختبار تسريب DNS. Kill switch explained يغطي بنية WFP.

آخر مراجعة 2026-05-09.

كيف تعمل تسريبات DNS فعلاً (وكيف تصلحها) | Fexyn VPN