DNS泄露是如何出现的？教你4种方法检测并防止DNS泄露

2024年11月28日

如果你对线上安全有所了解，那你可能听说过一个叫做 DNS 泄露的安全漏洞。但它们到底是什么，你如何保护自己？

每当你访问一个新的网站，你的系统都会发送一个 DNS（域名系统）请求，以找到该网站的服务器。如果请求没有加密，这意味着你的 ISP、Wi-Fi 热点所有者，甚至有心的窥探者都能获取你的浏览历史。

只有使用 DNS 泄露保护措施可以对你的连接进行加密，减少黑客监视你的机会，但并不是所有措施都能保证你的 DNS 信息万无一失，检查它们是否安全是很重要的。在这篇文章中，我们将解释一些 DNS 的基本知识，介绍简单的 DNS 泄漏测试，并告诉你一些有用的措施来避免 DNS 泄露的发生。

DNS 是什么？
为什么会出现 DNS 泄露？
如果 DNS 泄露对我们会有什么影响？
如何检测 DNS 泄漏？
如何防止 DNS 泄露
总结

DNS 是什么？

DNS( Domain Name System)是“域名系统”的英文缩写，是一种组织成域层次结构的计算机和网络服务命名系统，它用于 TCP/IP 网络，它所提供的服务是用来将主机名和域名转换为 IP 地址的工作。

因为对于计算机来说，数字更容易理解其含义，但是人们记住它们却很难。如果你只需要记住数个网站的 IP 地址，那当然不会有什么难度，可如果你要技术互联网上的数百万个站点，那就变成了一项不可能完成的工作。

此时，域名系统（DNS）就能起到 Internet 电话目录的作用，它会域名映射到各自的 IP 地址。

域名系统（DNS）是一种将域名映射到各自 IP 地址的服务。例如，我们假设其中一个 Google 的 IP 地址为 45.195.160.76，当您转到浏览器并在 URL 栏上输入 www.google.com 时，您将到达 Google; 这是因为您的互联网服务提供商（ISP）已经在 DNS 服务器的帮助下从一系列数字地址中翻译了域名。IP 地址的这种转换通常是为了使人们能够通过其域名而不是模糊的 IP 地址来记住计算机地址。

因此，当用户在其浏览器上输入网址以使服务器知道它将如何找到该网站时，自动请求 DNS 服务。您发现当您使用路由器连接到 Internet 时，您的路由器会获取 DNS 服务器 IP 地址和特定的 IP 地址，以通过 Internet 服务提供商（ISP）DHCP 识别您的计算机。

为什么会出现 DNS 泄露？

通常情况下，DNS 服务器是由你的互联网服务提供商（ISP）所提供，这意味着他们可以监控、记录任何你发送到服务器的请求。当然你可以通过某种方式隐藏你的 DNS 请求，即将请求定向到匿名 DNS 服务器来避免 ISP 的监视，如使用 VPN 的方式，或使用私有或公共 DNS 服务器，而不是 ISP 提供的服务器。

但不幸的是，有时你的浏览器会忽视你所采取的隐藏 DNS 请求的措施，请求依然被发送到你的 ISP。这就是所谓的一个 DNS 泄漏，导致 DNS 泄漏的原因很多。最常见的是：

1. 网络配置不正确

设置不当会导致设备遭受网络攻击和数据泄露。当您将设备连接到相对较新的 Wi-Fi 网络时，网络的 DHCP 设置（用于定义设备在网络中的 IP 地址的默认协议）可以自动分配 DNS 服务器来处理您的网络请求.

这样做的问题是，一个或多个 DNS 服务器可能属于您的 ISP，或者它可能是不安全的（未加密）的一个，导致 DNS 泄漏。在这种情况下，当您连接 VPN 时，DNS Web 请求将绕过加密的 VPN 隧道，从而导致 DNS 泄漏.

2. Internet 协议版本 6（IPv6）

IPv4 协议确实已经用尽，但与此同时，Internet 处于 IPv4 和 IPv6 之间正在进行的转换阶段。大多数 VPN 服务都不提供 IPv6 的 IP 地址，这就是为什么对于那些使用 IPv6 协议的用户，VPN 提供商将无法提供安全性的原因.

为了确保您获得最大程度的在线匿名性，PureVPN 提供具有 IPv6 泄漏保护功能的 IP 地址，旨在保护您的在线流量不受撬动的眼睛，黑客，跟踪器和监视实体的攻击，从而防止 DNS 泄漏。与 PureVPN 连接后，您可以放心使用 IPv4 和 IPv6 协议的在线隐私，而不必担心 DNS 泄漏.

3. 透明的 DNS 代理

全世界的 ISP 都精心设计了一套程序，将自己的 DNS 服务器强加给用户，以防用户想要更改设置以使用第三方服务器。如果 ISP 注意到对 DNS 设置所做的任何更改，它们将使用透明代理。

透明 DNS 代理是一个克隆的服务器，该服务器停止并转发 Web 流量到 ISP 的 DNS 服务器，这就是 ISP 的不当行为导致的 DNS 泄漏。VPN 提供商 DNS 服务器可确保您的网络流量安全通过并防止 DNS 泄漏.

4. 使用过时的软件

始终确保您的软件已更新，因为更新会增强设备抵御恶意行为者的安全性。与过时的软件相比，过时的软件通常会发生 DNS 泄漏。这样，您还可以防止 DNS 泄漏。始终确保经常进行 DNS 泄漏测试.

如果 DNS 泄露对我们会有什么影响？

DNS 泄漏会让你的信息暴露在 ISP 面前，他们能看到您的全部网络活动。ISP 还有可能将您的浏览记录、现实位置、姓名等数据出售给第三方以牟利。在某些国家或地区，ISP 甚至有法律义务记录您的互联网流量，并按照政府机构的要求进行共享。

网络犯罪分子也能从 DNS 泄漏中牟利。他们会通过网络钓鱼电子邮件获取您的个人信息，或跟踪您访问过的网站，然后向您发送可恶的恶意软件广告。网络攻击者甚至可以在社交媒体上监视用户，破解登录凭证。

如何检测 DNS 泄漏？

当你有意识的采取措施防止 DNS 泄露的时候，请确保自己的工具是否正常工作。下面将介绍如何完成进行 DNS 泄露测试，并修复漏洞。检查漏洞较为简单，有许多在线工具可以帮助您识别，但要修复这些漏洞，则会有点麻烦。

步骤 1：查找您的本地 IP

首先，确定您本地互联网连接的实际 IP 地址是什么。

如果未曾设置，一般情况下你的 IP 地址都会是你的互联网服务提供商（ISP）提供给你的，搞清楚从你目前的位置直连到互联网时的 IP，才能对比你的措施是否有用。

您可以暂时来查看真实 IP 地址，只需访问一个网站，如，即可看到您的公共 IP 地址。

步骤 2：泄漏测试

同样在禁用 DNS 保护工具的情况下访问以下几个网站。部分网站可以同时检测您的 IP 地址、你的 IP 地址是否通过 WebRTC 泄漏，以及您的连接使用什么 DNS 服务器。

dnsleaktest.com
dnsleak.com
ipleak.net

此项检测结果如果与第一步的检测结果相同，都是我们本地 ISP 提供的 IP 地址，则说明初始检测无问题，可以开始正式检测了。

步骤 3：连接 DNS 保护工具后进行泄露测试

无论你选择的 DNS 保护工具是什么，现在是时候开启它进行测试了。我们选择了连接 StrongVPN 进行测试，之后再次进行访问上面的任意网站开始 DNS 泄漏测试。如果在这次的检测中能够看到与前两次不一样的 IP 地址，那就说明你的 DNS 并未泄露。

在上面的截图中，可以看出我们的 VPN 已经是工作状态了，IP 地址已经由原来的香港变为美国，也没有检测到 WebRTC 泄露。

如果你的 IP 仍然与之前保持一致，那就说明你的 DNS 保护并未起作用，你的 DNS 信息已经泄露，则需要进入下一步进行修复，当然也有可能是 VPN 配置不正确。

如何防止 DNS 泄露

要预测和预防每一个可能出现的安全漏洞是极其困难的，但我们可以尽量降低 WebRTC 漏洞、DNS 泄露和其他问题的风险。以下是如何保护自己的方法：

使用信誉良好的 VPN 服务商

避免 DNS 泄漏的最佳方法之一就是使用 VPN 服务器。VPN（虚拟专用网络）服务能够使你可以在设备和网络之间建立专用隧道。这样，当你连接到 VPN 服务器后，就能开始匿名浏览而不显示你的原始 IP，防止 DNS 泄露。

尽管大部分 VPN 服务商声称可以隐藏它，但通过测试我们发现仍然有很多 VPN 会将我们连接的真实 IP 地址显示给网站。所以在选择 VPN 提供商订阅计划之前，请务必仔细检查 VPN 功能，并确保它们有专门的措施来防止 DNS 泄漏。

除了 VPN 之外，你还可以在海外国家设置自己的专用 VPS 服务器，那里的 ISP 一般不会与本地官方有较多的联系，并且使用 OpenVPN 之类的安全协议来提高自己 VPN 服务的安全性。

我们推荐你使用 StrongVPN 来保护 DNS。做为近两年炙手可热 VPN 供应商之一，它的一直是我们 VPN 排行及推荐的第一名，而且在我们的多次测试中，没有发生任何 DNS 泄露的情况，你可以放心的使用。

获取 StrongVPN

使用 Cloudflare DNS 服务器

如果您的 VPN 服务商不像 StrongVPN 那样提供自家的 DNS 服务器，那么您需要手动设置 DNS 服务商并禁用 IPv6。以 Windows 10 为例作为演示，由于 Microsoft 引入了“智能多宿主名称解析”（Smart Multi-Homed Name Resolution）的新功能，这项功能虽然可以加快 DNS 的解析速度，但对于 VPN 用户来说，有可能会导致 DNS 泄露。

此时就可以使用 Cloudflare 推出的 1.1.1.1 公共 DNS 服务器，这个服务器声称是世界上最快、最安全的 DNS 解析器，用以建立一个更好的互联网。

Cloudflare 宣称不会将 DNS 信息泄漏你的提供商，也不会记录您的 IP 地址，毕马威 (KPMG) 每年都会对他们的系统进行审计，从而确保其遵守诺言。只有日志会保留 24 小时以进行调试，然后将它清除。

同时，独立 DNS 监测工具 DNSPerf 将 1.1.1.1 评为全球速度最快的 DNS 服务。当然速度更快的 DNS 目录也将提高您在网上几乎所有活动的速度。

使用它们的 DNS 服务器可能是防止 DNS 泄漏的最快、最安全的方法，但你应该始终记得，毕竟 Cloudflare 也只是一家公司，如果有必要，Cloudflare 可以将你的 24 小时互联网 DNS 活动提供给当地政府机构。

Windows 操作系统的设置方法：

1· 单击“开始”菜单，然后单击控制面板。

单击网络和 Internet。
单击更改适配器设置。
右键单击要连接的 Wi-Fi 网络，然后单击属性。
选择 Internet 协议版本 4（如果需要，请选择版本 6）。
单击属性。
记下任何现有的 DNS 服务器条目以供将来参考。
单击使用以下 DNS 服务器地址。
将这些地址替换为 1.1.1.1 DNS 地址：

IPv4：1.1.1.1 和 1.0.0.1
IPv6：2606:4700:4700::1111 和 2606:4700:4700::1001

单击确定，然后单击关闭。
重新启动浏览器。

您已完成所有设置！您的设备现在即拥有更快、更私密的 DNS 服务器。

禁用 WebRTC 请求

如果您使用 Chrome、Firefox 或 Opera 作为你的网络浏览器，你可以禁用 WebRTC 请求，以关闭 WebRTC 泄漏。

Chrome 用户可以下载并安装ScriptSafe或WebRTC Leak Prevent来阻止 WebRTC 请求，且可以阻止恶意的 JavaScript、Java 和 Flash 文件。
Opera 用户只需稍作调整，就可以安装 Chrome 扩展，并使用同样的扩展来保护他们的浏览器。
Safari 用户可在浏览器左上角选中的「偏好设定」。点选「进阶」页面，并勾选下方的「在选单列中显示开发选单」。在点选上方选单列中的「开发」，选择「试验性功能」，并将「WebRTC mDNS ICE candidates」取消勾选。
Firefox 用户可以在地址栏中输入 about:config，点击 “I’ll be careful”按钮，然后向下滚动寻找或直接搜索 media.peerconnection.enabled 条目。双击该条目，将其切换为 “false”，清除您的网络浏览器缓存并重启即可禁用 WebRTC 功能。