قاموس
ما هو تسريب DNS
عندما تتجاوز استعلامات DNS نفق VPN وتصل إلى مزوّد الإنترنت — تكشف المواقع التي تزور رغم أن الحركة نفسها مشفّرة.
تسريب DNS يحدث عندما يكون VPN متصلًا، حركتك مشفّرة، لكن استعلامات DNS تتجاوز النفق وتصل إلى مزوّد الإنترنت لديك على أي حال. VPN يبدو جيّدًا. مزوّد الإنترنت لا يزال يرى النطاقات التي تزور. معظم المستخدمين لا يلاحظون أبدًا.
الآلية: VPN يمرّر الحزم إلى خادمه، لكن تحليل DNS يحدث في طبقة مختلفة من نظام التشغيل. إذا لم تكن تلك الطبقة مقفلة على النفق، تتسرّب الاستعلامات عبر أي resolver DNS مكوَّن في Windows أو في الراوتر — عادةً resolver مزوّد الإنترنت.
أربعة مسارات تسريب شائعة
1. Smart Multi-Homed Name Resolution (SMHNR)
Windows 8 قدّم SMHNR. يرسل استعلامات DNS بالتوازي إلى كل خادم DNS متاح ويستخدم الردّ الذي يصل أولًا. مع VPN متصل، هذا يعني أن الاستعلامات تذهب إلى كل من resolver VPN (داخل النفق) وresolver مزوّد الإنترنت (خارج النفق) في نفس الوقت. مزوّد الإنترنت يرى الاستعلام بغضّ النظر عمّن يفوز بالسباق.
Windows 10 غيّر هذا قليلًا — SMHNR يجب أن يفضّل نفق VPN عند وجوده. عمليًا لا يفعل دائمًا. السلوك يعتمد على ترتيب metric للمحوّل وNetwork Connectivity Status Indicator (NCSI). التسريبات متقطّعة — تمرّ مرة واحدة، تتسرّب تحت الحمل الفعلي.
2. سقوط IPv6
معظم بروتوكولات VPN تمرّر IPv4 فقط. إذا أعطاك مزوّد الإنترنت اتصال IPv6 وكان جهازك يفضّل IPv6، فإن استعلامات DNS قد تأخذ مسار IPv6. الاستعلام يخرج من واجهتك الحقيقية، يصل إلى resolver IPv6 لمزوّد الإنترنت، ومزوّد الإنترنت يرى البحث.
3. DNS-over-HTTPS في المتصفّح
Chrome وFirefox وEdge وBrave الحديثة تستطيع فعل DNS-over-HTTPS إلى resolver عام (Cloudflare وGoogle وQuad9 وNextDNS). عندما يكون DoH نشطًا، يتجاوز المتصفّح طبقة DNS الخاصة بالنظام بالكامل.
سواء كان هذا تسريبًا فعلًا يعتمد على نموذج تهديدك. DoH إلى Cloudflare أكثر خصوصية من resolver مزوّد الإنترنت، لكن إذا أردت أن يمرّ كل شيء عبر النفق، فإن DoH يعطّل ذلك.
4. Resolvers على مستوى التطبيق
بعض التطبيقات تضمّن DNS الخاص بها (Tailscale، Cloudflare WARP، عملاء VPN لمؤسسات معيّنة). تركّب قواعد نظام منافسة تتعارض مع قواعد VPN. عدّة VPN تعمل في وقت واحد تتسرّب تقريبًا دائمًا.
كيف تختبر
استخدم أداة اختبار تسريب DNS من Fexyn أثناء توصيل VPN. النتيجة يجب أن تظهر فقط resolvers مزوّد VPN. إذا ظهر اسم مزوّد الإنترنت لديك في أي إدخال — لديك تسريب.
اختباران:
- اختبار قياسي — دفعة واحدة من الاستعلامات، يكشف التسريبات الثابتة.
- اختبار موسّع — ست جولات منتشرة عبر الوقت، يكشف التسريبات المتقطّعة.
شغّل الاثنين. الاختبار الموسّع يكشف الفئة الأسوأ: يعمل مرة واحدة، يتسرّب تحت الحمل الفعلي.
ماذا يحصل المهاجم أو مزوّد الإنترنت من تسريب
من كل استعلام متسرّب: النطاق، طابع الوقت، صورة طويلة الأمد لنمط تصفّحك. حتى مع نفق مشفّر يخفي كل شيء آخر، الوجهات كافية لتحديد السلوك. مزوّدو الإنترنت في دول لها احتفاظ إجباري (الإمارات تحت قانون الجرائم الإلكترونية، السعودية تحت لوائح CITC، المملكة المتحدة تحت Investigatory Powers Act) يحتفظون بهذه كسجلّات طويلة الأمد.
كيف يغلق Fexyn التسريبات
دفاع متعدّد الطبقات:
- قواعد NRPT على مستوى نظام التشغيل تفرض مرور كل نطاق عبر resolver VPN، متجاوزةً SMHNR.
- DNS لكل بروتوكول — WireGuard وVLESS Reality وOpenVPN كلّ منها يمرّر DNS عبر النفق.
- null-routing لـ IPv6 أثناء قيام النفق.
- WFP kill switch — إذا سقط النفق، فلاتر WFP تحجب كل الحركة غير النفقية — بما فيها DNS.
اقرأ الشرح المعمّق في كيف تكشف تسريبات DNS الموقع ودليل استكشاف الأخطاء.
جرّب Fexyn مجانًا لمدة 7 أيام وتحقق باختبار التسريب.
مصطلحات ذات صلة
جرّب Fexyn مجانًا لمدة 7 أيام
تطبيق Windows متاح الآن في النسخة التجريبية. WireGuard وVLESS Reality وOpenVPN دون تسجيل سجلّ التصفح أو استعلامات DNS أو محتوى حركة البيانات.
الأسعار