O que é um DNS leak

Um DNS leak é quando sua VPN está conectada, seu tráfego está criptografado, mas suas consultas DNS escapam do túnel e chegam no seu provedor mesmo assim. A VPN parece ok. Seu provedor ainda vê os domínios que você visita. A maioria dos usuários nunca percebe.

O mecanismo: a VPN tunela pacotes pro seu servidor, mas lookups DNS acontecem em uma camada diferente do SO. Se essa camada não está travada no túnel, consultas vazam pelo resolver DNS configurado no Windows ou no roteador — geralmente o do seu provedor.

Os quatro caminhos comuns de leak

1. Smart Multi-Homed Name Resolution (SMHNR)

Windows 8 introduziu SMHNR. Manda consultas DNS simultaneamente pra todo servidor DNS disponível e usa qualquer resposta que chegue primeiro. Com VPN conectada, isso significa que consultas vão tanto pro resolver da VPN (dentro do túnel) QUANTO pro resolver do seu provedor (fora do túnel) ao mesmo tempo. Seu provedor vê a consulta independente de quem ganhe a corrida.

Windows 10 mudou isso ligeiramente — SMHNR deveria preferir o túnel VPN quando existe um. Na prática, nem sempre. O comportamento depende de ordem de metric do adaptador e do Network Connectivity Status Indicator (NCSI). Vazamentos são intermitentes — passa uma vez, vaza sob carga real.

2. IPv6 fall-through

A maioria dos protocolos VPN tunela só IPv4. Se seu provedor te dá conectividade IPv6 e sua máquina prefere IPv6, então DNS lookups podem tomar o caminho IPv6. A consulta sai pela sua interface real, atinge o resolver IPv6 do seu provedor, e o provedor vê o lookup.

3. DNS-over-HTTPS no navegador

Chrome, Firefox, Edge e Brave modernos podem fazer DNS-over-HTTPS pra um resolver público (Cloudflare, Google, Quad9, NextDNS). Quando DoH está ativo, o navegador pula a camada de DNS do sistema completamente.

Se isso é de fato leak depende do seu modelo de ameaça. DoH pra Cloudflare é mais privado que o resolver do seu provedor, mas se você quer que tudo flua pelo túnel, DoH atrapalha.

4. Resolvers a nível de aplicação

Alguns apps embedam seu próprio DNS (Tailscale, Cloudflare WARP, certos clientes VPN corporativos). Instalam regras de sistema concorrentes que brigam com as da VPN. Múltiplas VPNs rodando simultaneamente quase sempre vazam.

Como testar

Use a ferramenta de teste de DNS leak do Fexyn com a VPN conectada. O resultado deve mostrar só resolvers do provedor da VPN. Se o nome do seu provedor aparecer, você tem leak.

Duas checagens:

• Teste padrão — único batch de consultas, pega leaks consistentes.
• Teste estendido — seis rodadas espalhadas no tempo, pega leaks intermitentes.

Rode os dois. O estendido pega a pior categoria: funciona uma vez, vaza sob carga real.

O que um atacante ou provedor ganha de um leak

Pra cada consulta vazada: o domínio, timestamp, e quadro de longo prazo do seu padrão de navegação. Mesmo com o túnel criptografado escondendo tudo o mais, os destinos são suficientes pra identificar comportamento. Provedores em países com retenção obrigatória (Reino Unido sob Investigatory Powers Act, França sob Loi Renseignement, e Brasil sob Marco Civil) os mantêm como registros de longo prazo.

Como o Fexyn fecha os leaks

Defesa em camadas:

• Regras NRPT a nível de SO forçam todo lookup de domínio pelo resolver da VPN, sobrescrevendo SMHNR.
• DNS por protocolo — WireGuard, VLESS Reality e OpenVPN cada um roteia DNS pelo túnel.
• Null-routing IPv6 enquanto o túnel está de pé.
• Kill switch WFP — se o túnel cair, filtros WFP bloqueiam todo tráfego não-túnel — incluindo DNS.

Leia o aprofundamento em Como DNS leaks expõem localização e o guia de troubleshooting.

Experimente o Fexyn grátis por 7 dias e verifique com o teste de leak.