Fexyn
Fexyn
All posts

Como vazamentos de DNS realmente funcionam (e como corrigir)

Fexyn Team··8 min read

Um vazamento de DNS é quando suas queries DNS — as buscas que traduzem nomes de domínio em endereços IP — vão para um servidor DNS diferente daquele pelo qual sua VPN te roteia. Resultado: mesmo com sua VPN ativa, a entidade controlando aquele servidor DNS (tipicamente seu provedor) consegue ver todo domínio que você visita.

Vazamentos DNS são comuns. Acontecem mesmo com clientes VPN reputáveis, frequentemente invisíveis ao usuário, e podem desfazer completamente o benefício de privacidade do uso de VPN. Aqui está a versão técnica do porquê e como corrigir.

O que o DNS faz e por que importa

Quando você digita example.com, seu computador pede a um servidor DNS o endereço IP. A query DNS é em texto plano (com raras exceções cobertas abaixo). Quem serve seu DNS vê o domínio que você está tentando alcançar.

Sem VPN, queries DNS tipicamente vão pro servidor DNS do seu provedor. Seu provedor vê todo domínio que você procura — frequentemente os metadados mais sensíveis à privacidade sobre sua atividade na internet.

Com VPN ativa e configurada corretamente, queries DNS devem rotear pelo túnel VPN e resolver no servidor DNS do provedor de VPN. Seu provedor vê um túnel criptografado pro provedor de VPN; eles não conseguem ver quais domínios você está procurando.

Vazamentos DNS acontecem quando algo causa algumas queries a contornar o túnel VPN e ir pra um resolver diferente — geralmente o do seu provedor. O provedor ganha a mesma visibilidade como se a VPN não estivesse lá.

Como vazamentos DNS acontecem

Vários mecanismos técnicos:

1. Windows SMHNR (Smart Multi-Homed Name Resolution). Windows tem um recurso onde manda queries DNS pra múltiplas interfaces de rede em paralelo e usa qualquer uma que responder primeiro. Se você tem VPN ativa e uma interface de rede regular, Windows pode mandar queries DNS pra AMBAS simultaneamente. O DNS do provedor responde primeiro porque está mais perto; Windows usa essa resposta. O DNS da VPN vê a mesma query mas provê uma resposta redundante. O provedor viu a query.

Essa é a causa mais comum de vazamentos DNS no Windows. SMHNR está ligado por padrão. Clientes VPN têm que ativamente desativar isso, idealmente no nível WFP (Windows Filtering Platform).

2. Vazamentos de DNS IPv6. Muitos clientes VPN tunelam tráfego IPv4 mas não lidam com IPv6 corretamente. Se sua rede suporta IPv6 e sua VPN não tunela IPv6, queries DNS IPv6 vão pro provedor. Seu tráfego IPv4 é privado; seu IPv6 vaza a mesma informação de domínio.

3. NRPT (Name Resolution Policy Table). Recurso do Windows que roteia queries de domínios específicos pra servidores DNS específicos. Alguns clientes VPN usam NRPT pra direcionar tráfego; se mal configurado, algumas queries vazam.

4. Registros DNS em cache. Seu SO mantém um cache DNS. Quando você conecta a uma VPN, o cache ainda contém entradas de antes da VPN conectar. Queries subsequentes pra esses domínios em cache não geram novas buscas; o SO usa a resposta em cache. O cache em si não é vazamento, mas o timing importa — se você visitou um site antes de conectar a VPN, essa visita foi visível.

5. DNS no nível de aplicação. Algumas aplicações (Chrome, Firefox com DoH habilitado) fazem suas próprias buscas DNS contornando o resolver DNS do SO. Se o DNS da aplicação vai por um caminho diferente do SO, pode vazar.

6. Vazamentos de IP por WebRTC (relacionado mas diferente). WebRTC habilita conexões peer-to-peer em navegadores. WebRTC pode revelar seu IP real através de STUN/TURN mesmo com tráfego roteado por VPN. Não é estritamente vazamento DNS mas comumente confundido.

Detectando vazamentos DNS

O teste padrão:

  1. Conecte sua VPN
  2. Visite um site de teste de vazamento DNS (ferramenta do Fexyn em /tools/dns-leak-test ou ferramentas de terceiros como dnsleaktest.com)
  3. Rode o teste estendido
  4. Veja os resolvers mostrados no resultado

Se os resolvers pertencem ao seu provedor de VPN, sem vazamento. Se qualquer resolver pertence ao seu provedor, seu provedor residencial, o provedor DNS do seu sistema operacional, ou qualquer parte que não seja sua VPN, você tem um vazamento.

Pra vazamentos IPv6 especificamente, garanta que o teste cobre IPv6 (algumas ferramentas mais antigas só checam IPv4). A ferramenta do Fexyn cobre ambos.

Corrigindo vazamentos DNS

As correções reais, por cliente VPN:

Clientes VPN modernos (Fexyn, ProtonVPN, Mullvad, NordVPN, ExpressVPN). Esses ativamente previnem vazamentos DNS via:

  • Filtros WFP que bloqueiam queries DNS em interfaces fora do túnel
  • Desabilitando SMHNR via configuração de registro / NRPT do Windows
  • Proteção contra vazamento IPv6 (bloquear IPv6 inteiramente ou tunelá-lo)
  • Forçar todas queries DNS pelos resolvers da VPN

Se você está usando um desses clientes e ainda vê vazamentos, algo está quebrado — abra um chamado de suporte. O vazamento não deveria acontecer.

Clientes VPN mais velhos ou simples. Frequentemente faltando uma ou mais das opções acima. A correção do lado do usuário:

  • Configure manualmente o DNS do seu adaptador de rede pra um resolver respeitando privacidade (Cloudflare 1.1.1.1, Quad9 9.9.9.9) em vez de automático
  • Desabilite IPv6 no seu adaptador de rede inteiramente se sua VPN não lida com isso
  • Use o firewall do SO pra bloquear queries DNS pra qualquer lugar exceto seu servidor DNS da VPN

DNS no nível de aplicação. Configurações DoH do navegador que contornam DNS do SO: desabilite DoH se quer todo DNS roteando pela VPN. Ou configure DoH pra usar o endpoint DoH do seu provedor de VPN se disponível.

Como o Fexyn previne vazamentos DNS

Várias camadas:

1. Filtros WFP bloqueiam DNS para fora do túnel. Quando o túnel VPN está ativo, nossas regras WFP bloqueiam UDP porta 53 pra qualquer lugar exceto o servidor DNS da VPN. Mesmo Windows SMHNR não pode vazar porque as regras se aplicam no nível de kernel.

2. SMHNR explicitamente desabilitado. Nosso instalador modifica a entrada de registro que controla SMHNR. Re-habilitado quando você desinstala.

3. IPv6 tratado. Ou tunelado (quando a configuração de VPN do usuário suporta) ou bloqueado (quando a configuração é apenas IPv4). De qualquer jeito, nenhuma query IPv6 em texto plano vaza.

4. DNS interno ao túnel. Todas queries DNS dentro do túnel resolvem nos nossos servidores DNS, não em qualquer resolver externo.

5. Persistência em boot (opcional). Regras WFP persistem entre reboots, então DNS não vaza nem durante a janela de boot antes do cliente VPN iniciar.

DoH e DoT — DNS criptografado

DNS-over-HTTPS (DoH) e DNS-over-TLS (DoT) são protocolos que criptografam queries DNS entre seu cliente e o resolver. Úteis em dois cenários:

Sem VPN. DNS criptografado previne seu provedor de ver suas queries DNS. O resolver DNS ainda as vê; você mudou a confiança do provedor pro resolver DNS. Cloudflare 1.1.1.1 com DoH é uma configuração comum.

Com VPN. Cinto-e-suspensórios. A VPN já criptografa o túnel; DoH dentro do túnel adiciona criptografia redundante que previne o DNS da VPN ser legível pro provedor de VPN em caso de comprometimento de log do lado do provedor. A maioria dos usuários não precisa dessa abordagem em camadas.

Com DNS criptografado mas sem VPN. DNS criptografado esconde conteúdo de query do seu provedor; o provedor ainda vê metadados de nível de conexão (qual resolver DNS você está usando, quando, com que frequência). Útil principalmente se quer alguma privacidade DNS sem o overhead da VPN.

Pra usuários que querem privacidade DNS máxima: VPN + DoH dentro do túnel + provedor de VPN no-logs que usa DNS upstream criptografado. Isso empilha camadas de privacidade; não é necessário pra maioria dos usuários.

Perguntas frequentes

Como sei se minha VPN vaza DNS?

Rode um teste de vazamento DNS (Fexyn em /tools/dns-leak-test ou terceiros). Se os resolvers mostrados pertencem ao seu provedor de VPN, sem vazamento. Se qualquer outra coisa aparece, vazamento.

Por que minha VPN vaza DNS?

Mais comum: Windows SMHNR mandando queries pra múltiplas interfaces. Menos comum: vazamento IPv6, DNS no nível de aplicação, cliente VPN mal configurado.

Um vazamento DNS dará ao meu provedor meu histórico de navegação?

Sim pras queries vazadas. Provedores veem os nomes de domínio que você procura. Um vazamento DNS dá a eles a mesma visibilidade que teriam sem VPN.

DNS criptografado é suficiente sozinho?

DNS criptografado esconde conteúdo DNS do seu provedor. Não criptografa seu outro tráfego. O IP de destino ainda é visível ao seu provedor por outros meios (SNI em handshakes TLS, roteamento de tráfego). Uma VPN é uma ferramenta de privacidade geral mais forte.

Devo usar as configurações DNS do meu roteador?

Se seu roteador pode ser configurado pra usar um DNS respeitando privacidade (Cloudflare, Quad9), sim. Isso se aplica a todos os dispositivos na sua rede. Melhor quando combinado com VPN no nível do dispositivo pra criptografia completa.

Fexyn usa DNS próprio ou de terceiros?

Fexyn usa seus próprios resolvers DNS dentro do túnel. Os resolvers em si não logam queries. Não usamos atualmente DNS upstream criptografado (DoH/DoT pra upstream); a resolução é direta pros servidores raiz e TLD a partir dos nossos resolvers.

Experimente o Fexyn grátis por 7 dias — prevenção de vazamento DNS baseada em WFP, proteção contra vazamento IPv6, kill switch no nível de kernel. Teste vazamentos DNS na nossa ferramenta de teste de vazamento DNS. Kill switch explicado cobre a arquitetura WFP.

Última revisão 2026-05-09.

Como vazamentos de DNS realmente funcionam (e como corrigir) | Fexyn VPN