Что такое DNS

DNS, Domain Name System — это телефонная книга интернета. Компьютеры маршрутизируют пакеты по IP-адресам (104.21.5.42), а люди используют имена (fexyn.com). DNS делает перевод.

Когда ты вводишь fexyn.com в браузер, твой компьютер отправляет DNS-запрос резолверу: "какой IP у fexyn.com?". Резолвер отвечает. Затем браузер открывает TCP-соединение к этому IP. Каждая загрузка страницы начинается минимум с одного DNS-запроса; современные страницы часто запускают 20-50 на разные сторонние домены.

Почему DNS важен для приватности

Стандартные DNS-запросы идут в открытом виде. Любой на пути между тобой и резолвером видит доменное имя. В том числе твой провайдер, роутер кофейни и любое оборудование между ними.

Даже с HTTPS, который скрывает содержимое страниц, DNS-запросы раскрывают, какие сайты ты посещаешь. Провайдеры их логируют. В некоторых юрисдикциях хранение обязательно. Маркетинговые компании покупают эти данные. Поле SNI в TLS раскрывает то же самое на другом уровне, но DNS течёт первым.

DNS-over-HTTPS (DoH) и DNS-over-TLS (DoT) шифруют запрос так, что провайдер не может его прочитать. Они помогают — но только если браузер или ОС настроены их использовать, и только если резолверу можно доверять с этими данными.

Как VPN меняет DNS

Правильно настроенный VPN туннелирует твои DNS-запросы через VPN. Провайдер видит один зашифрованный блок к серверу VPN; он не может определить, какой домен ты запрашивал. Резолвер VPN отвечает, и ответ возвращается через туннель.

Это работает только если каждый запрос идёт по этому пути. У Windows есть несколько боковых каналов — Smart Multi-Homed Name Resolution, IPv6-fallback, DoH на уровне приложения — через которые запросы могут просочиться мимо туннеля. Это DNS-утечки, и они частично обнуляют смысл VPN: трафик зашифрован, но точки назначения утекают.

Как самому проверить DNS

Запусти тест DNS-утечек Fexyn с подключённым VPN. Результат должен показывать только резолверы, которыми управляет VPN. Если где-то появляется имя твоего провайдера — DNS течёт, даже когда туннель поднят.

Две проверки имеют значение:

• Стандартный тест — одна порция запросов, ловит постоянные утечки.
• Расширенный тест — повторные запросы во времени, ловит периодические утечки из-за гонок в Windows DNS.

Расширенный ловит худшую категорию: "проходит один раз, течёт под реальной нагрузкой".

Что это значит на практике

DNS — это слой, на котором большинство VPN-провайдеров либо делают всё правильно, либо молча проваливаются. Туннель может быть идеальным, а DNS всё равно утечёт через OS-уровневые шорткаты. Fexyn закрепляет резолюцию DNS в туннеле через NRPT-правила на уровне ОС, плюс настройка DNS на уровне каждого протокола, плюс null-routing IPv6 пока туннель поднят — это закрывает стандартные пути утечки.

Попробуй Fexyn бесплатно 7 дней и проверь тестом утечек на своём соединении.