Fexyn
Fexyn
All posts

Como DNS leaks silenciosamente expõem sua localização

Fexyn Team··7 min read

Uma VPN criptografa seu tráfego e roteia por um servidor de saída. Essa parte funciona. O que é menos confiável, no Windows especificamente, é garantir que toda lookup de DNS também tome aquele caminho. Quando DNS vaza, seu provedor vê os domínios que você visita mesmo que tudo o mais esteja criptografado. O leak é silencioso — seu navegador não mostra aviso, o cliente VPN diz que você está conectado, e seu provedor está logando todo site que você procura mesmo assim.

Esse post explica os quatro caminhos comuns de leak, como testar, e como o Fexyn fecha eles.

De onde vêm os leaks

1. Smart Multi-Homed Name Resolution (SMHNR)

Windows 8 introduziu uma feature chamada Smart Multi-Homed Name Resolution. Manda queries DNS simultaneamente pra todo servidor DNS disponível e usa qualquer resposta que chegue primeiro. A intenção era acelerar resolução DNS pra usuários com múltiplas interfaces de rede.

O resultado, com VPN ligada: suas queries DNS vão pra o resolver da VPN (dentro do túnel) E pro resolver do seu provedor (fora do túnel) ao mesmo tempo. Seu provedor vê a query independente de qual resposta ganha a corrida.

Isso mudou um pouco no Windows 10 — SMHNR deveria preferir o túnel VPN quando existe um. Na prática, nem sempre. O comportamento depende de ordem de metric do adaptador, do Network Connectivity Status Indicator (NCSI) e qual interface o Windows considera "primária" em qualquer momento. Os leaks são intermitentes, que é o pior tipo: um teste passa, mas uso de fato vaza.

2. IPv6 fall-through

A maioria dos protocolos VPN só tunela IPv4. Se seu provedor te dá conectividade IPv6 (a maioria dá, em 2026) e sua máquina prefere IPv6 sobre IPv4, então DNS lookups podem tomar o caminho IPv6. A query IPv6 sai pela sua interface real, atinge o resolver IPv6 do seu provedor, e seu provedor vê a lookup.

Isso não é teórico — é o comportamento padrão no Windows há uma década. O fix é desabilitar IPv6 na interface de baixo enquanto a VPN está de pé, ou tunelar tráfego IPv6 pela VPN.

3. DNS-over-HTTPS no navegador

Chrome, Firefox, Edge e Brave modernos podem fazer DNS-over-HTTPS pra um resolver público (Cloudflare, Google, Quad9, NextDNS). Quando DoH está ativo, o navegador pula a camada de DNS do sistema inteiramente.

Isso é bom pra privacidade do seu provedor — DoH pra Cloudflare é mais privado que o resolver do seu provedor. É ruim pra DNS tunelado por VPN, porque o navegador agora está falando com Cloudflare diretamente pela interface de baixo (DoH usa HTTPS, que o SO roteia pela interface ativa — e essa é o túnel da VPN só se a VPN tunelar tudo).

O resultado: testadores de DNS leak que esperam que todo DNS venha do resolver da VPN sinalizam navegadores usando DoH como "vazando." Se isso é de fato leak depende de qual modelo de ameaça você se importa.

4. WebRTC e STUN

WebRTC é um browser API pra conexões peer-to-peer. Usa servidores STUN pra descobrir seu IP público. A troca STUN opera acima do network stack — o navegador sabe seu IP real localmente e só conta pra página quando perguntado.

Isso não é DNS leak per se, mas é adjacente. Uma página rodando WebRTC pode aprender seu IP real mesmo com VPN ativa e mesmo com todo seu DNS indo pelo túnel. Fix completamente diferente.

Leia o post de WebRTC pra esse.

Como testar

Use a ferramenta de teste de DNS leak do Fexyn enquanto a VPN está conectada. Duas checagens:

  • Teste padrão. Único batch de queries. Pega leaks consistentes.
  • Teste estendido. Seis rodadas espalhadas no tempo. Pega leaks intermitentes de SMHNR ou races de prioridade de adaptador.

O resultado deve mostrar só resolvers operados pelo provedor de VPN. Se mostrar resolvers do seu provedor (ou o nome do seu provedor em qualquer das entradas), você tem leak.

O que um atacante ou provedor vê dum leak

Cada query DNS vazada dá a eles:

  • O domínio exato que você procura
  • O timestamp
  • A frequência (se acontece repetidamente)
  • O padrão da sua navegação — quais sites correlacionam com outros

Isso basta pra construir perfil detalhado de navegação. O tráfego criptografado em si é opaco, mas os destinos não. Seu provedor sabe o que você navega sem nunca ver o conteúdo.

Em países que retêm logs de query DNS por padrão (Reino Unido sob o Investigatory Powers Act, França sob a Loi Renseignement, outros — incluindo o Brasil sob o Marco Civil), os leaks viram registros de longo prazo. A janela de retenção varia; a existência dos registros não.

Como o Fexyn previne leaks no Windows

O helper service do Fexyn instala uma defesa em camadas:

Regras de Name Resolution Policy Table (NRPT). NRPT opera no nível do SO, antes que qualquer aplicação veja a requisição DNS. O Fexyn instala regras NRPT catch-all que forçam toda lookup de domínio pelo resolver da VPN. NRPT sobrescreve configs DNS por adaptador, configurações manuais e SMHNR. É o lock a nível de SO sobre roteamento DNS.

Configuração DNS por protocolo. Cada protocolo VPN (WireGuard, VLESS Reality, OpenVPN) é configurado com seu próprio caminho DNS. WireGuard usa o catch-all AllowedIPs. VLESS usa tun2socks com override de DNS de túnel. OpenVPN empurra DNS via dhcp-option DNS. Os três convergem no resolver da VPN.

Null-routing de IPv6. Quando a VPN está ativa, o Fexyn null-routa tráfego IPv6. Em vez de torcer pra que IPv6 tome o túnel (às vezes não toma), todo tráfego IPv6 é roteado pra um destino null local. Isso elimina o caminho de leak IPv6 inteiramente. Conectividade IPv4 pelo túnel não é afetada.

Kill switch Windows Filtering Platform. Se o túnel cair, filtros WFP bloqueiam todo tráfego não-túnel — incluindo DNS. Não tem janela de leak durante reconexões.

A combinação aborda SMHNR (NRPT sobrescreve), IPv6 fall-through (null-routed) e leaks de queda de túnel (WFP bloqueia). DoH no navegador é deixado em paz — é escolha do usuário usar resolver DoH público ou o da VPN.

O que fazer se você está vazando

Se o teste mostra leaks, trabalhe nisso em ordem:

  1. Reconecte a VPN. O fix mais simples. Regras NRPT às vezes derivam depois de ciclos sleep/resume ou depois dum update do Windows. Conexão fresca reaplica.
  2. Tente um protocolo diferente. Troque pra Fexyn Stealth (VLESS Reality) ou Fexyn Secure (OpenVPN). Cada um tem caminho DNS diferente; se um está mal configurado pra sua rede, outro pode não estar.
  3. Tente um servidor diferente. Alguns resolvers de servidores são mais lentos; se o resolver está dropping queries, o SO pode cair de volta no resolver do sistema.
  4. Cheque outros clientes VPN rodando. Cloudflare WARP, Meshnet do NordVPN, Tailscale, clientes VPN corporativos — múltiplas VPNs instalam regras NRPT competindo e brigam entre si. Saia (não só desconecte) qualquer outra VPN.
  5. Desabilite DoH do navegador temporariamente. Se você quer todo DNS fluindo pelo túnel pra propósitos de teste, desligue DoH a nível de navegador pra sessão de teste.

O guia completo de troubleshooting está na página de suporte.

Leitura relacionada

Experimente o Fexyn grátis por 7 dias. O lock de DNS está ligado por padrão; você não precisa habilitar.

Como DNS leaks silenciosamente expõem sua localização | Fexyn VPN