Что такое DNS-утечка

DNS-утечка — это когда VPN подключён, твой трафик зашифрован, но твои DNS-запросы обходят туннель и всё равно доходят до провайдера. VPN выглядит нормально. Провайдер всё равно видит домены, которые ты посещаешь. Большинство пользователей этого не замечают.

Механизм: VPN туннелирует пакеты к своему серверу, но DNS-резолюция происходит на другом уровне ОС. Если этот уровень не привязан к туннелю, запросы утекают через тот DNS-резолвер, который настроен у Windows или роутера — обычно у твоего провайдера.

Четыре типичных пути утечки

1. Smart Multi-Homed Name Resolution (SMHNR)

Windows 8 ввёл SMHNR. Он отправляет DNS-запросы одновременно на все доступные DNS-серверы и использует ответ, который придёт первым. С подключённым VPN это значит, что запросы идут параллельно к резолверу VPN и к резолверу провайдера. Провайдер видит их вне зависимости от того, кто выиграет гонку.

Windows 10 это слегка изменил, чтобы предпочитать туннель VPN, но поведение зависит от порядка metric адаптеров и Network Connectivity Status Indicator (NCSI). Утечки периодические — проходит один раз, течёт под нагрузкой.

2. IPv6 fall-through

Большинство VPN-протоколов туннелируют только IPv4. Если провайдер даёт тебе IPv6, а машина предпочитает IPv6, DNS-запросы идут по IPv6. Они выходят с реального интерфейса, попадают на IPv6-DNS провайдера, и провайдер их видит.

3. DNS-over-HTTPS в браузере

Chrome, Firefox, Edge и Brave умеют делать DNS-over-HTTPS к публичному резолверу. Когда DoH включён, браузер обходит системный слой DNS целиком. Утечка ли это — зависит от модели угроз. DoH к Cloudflare приватнее, чем к провайдеру; но если хочешь, чтобы всё шло через туннель, DoH это нарушает.

4. Резолверы уровня приложения

Некоторые приложения встраивают свой DNS (Tailscale, Cloudflare WARP, ряд корпоративных VPN). Они ставят свои системные правила, конфликтующие с правилами VPN. Несколько одновременно запущенных VPN почти всегда текут.

Как тестировать

Используй тест DNS-утечек Fexyn с подключённым VPN. Результат должен показывать только резолверы провайдера VPN. Если появляется имя твоего провайдера — есть утечка.

Две проверки:

• Стандартный тест — одна порция запросов, ловит постоянные утечки.
• Расширенный тест — шесть раундов, разнесённых во времени, ловит периодические.

Запусти оба. Расширенный ловит худшую категорию: работает один раз, течёт под нагрузкой.

Что получает атакующий или провайдер

С каждого утёкшего запроса: домен, timestamp и долгосрочную картину твоего паттерна просмотров. Даже когда зашифрованный туннель скрывает всё остальное, точек назначения достаточно, чтобы идентифицировать поведение. Провайдеры в странах с обязательным хранением (UK Investigatory Powers Act, СОРМ в России, "закон Яровой", France Loi Renseignement) хранят их как долгосрочные записи.

Как Fexyn закрывает утечки

Слоистая защита:

• Правила NRPT на уровне ОС форсят каждый домен через резолвер VPN, перекрывая SMHNR.
• DNS на уровне протокола — WireGuard, VLESS Reality и OpenVPN маршрутизируют DNS через туннель.
• Null-routing IPv6 пока туннель поднят.
• WFP kill switch — если туннель упал, DNS тоже не уходит.

Подробный разбор в Как DNS-утечки раскрывают местоположение и руководстве по устранению.

Попробуй Fexyn бесплатно 7 дней и проверь тестом утечек.