Khi sử dụng dịch vụ che giấu danh tính như VPN, điều cực kỳ quan trọng là đảm bảo tất cả lưu lượng mạng bên ngoài được gửi qua đường hầm được mã hóa của VPN. Nếu không làm điều đó, địa chỉ IP thực của người dùng có thể bị rò rỉ, tiết lộ vị trí, thông tin duyệt web và sau đó là danh tính của họ. Cách phổ biến nhất mà loại rò rỉ này xảy ra là thông qua rò rỉ DNS, xảy ra khi địa chỉ IP của người dùng bị lộ qua một yêu cầu DNS không được mã hóa tới máy chủ DNS của ISP.
DNS là gì?
DNS, hoặc Hệ thống tên miền, được sử dụng để dịch các URL đã nhập sang địa chỉ IP số của chúng. Hầu như mọi nhà cung cấp dịch vụ internet đều có máy chủ DNS trong cơ sở hạ tầng của họ. Điều này cho phép người dùng dịch vụ của họ thực hiện các yêu cầu DNS từ một máy chủ cục bộ về mặt địa lý, giúp lưu vào bộ nhớ cache danh tính trang web được truy cập thường xuyên và cho phép giao tiếp nhanh chóng. Nhiều dịch vụ DNS của bên thứ ba cũng tồn tại:các dịch vụ phổ biến nhất là của Cloudflare và Google.
DNS đã được đưa tin vì hai lý do chính:các cuộc tấn công từ chối dịch vụ thông qua giao thức DNS và các hạn chế hà khắc về quyền tự do internet của một số quốc gia. Tin tặc có thể sử dụng giao thức DNS để buộc một lượng lớn lưu lượng truy cập vào một miền nhất định, dẫn đến tấn công từ chối dịch vụ mà không yêu cầu mạng bot. Các quốc gia như Iran và Thổ Nhĩ Kỳ đã định kỳ sử dụng giao thức DNS để hạn chế quyền truy cập vào một số hoặc tất cả các trang web của người dùng địa phương. Bằng cách sử dụng các dịch vụ DNS công cộng như Google, người dùng Internet ở những quốc gia đó thường xuyên có thể vi phạm các quy định như vậy.
Rò rỉ DNS xảy ra như thế nào?
Khi được kết nối với VPN, lưu lượng mạng bên ngoài của người dùng sẽ được gửi qua đường hầm được mã hóa của VPN. Điều này có thể che khuất cả nội dung và nguồn gốc của lưu lượng truy cập, giúp người dùng an toàn và ẩn danh khi trực tuyến. Tất cả các yêu cầu DNS cũng phải được gửi qua đường hầm được mã hóa đến máy chủ DNS của VPN. Nếu VPN được định cấu hình không đúng cách, các yêu cầu DNS không được mã hóa có thể được gửi đến máy chủ DNS của ISP của người dùng. Do đó, thông tin duyệt web và địa chỉ IP của người dùng được gửi rõ ràng. Điều này có thể được quan sát bởi các nhà quảng cáo, những người nghe trộm và bất kỳ ai khác có thể muốn nghe.
Nếu bạn lo lắng rằng hệ thống của mình đang xảy ra rò rỉ DNS, trước tiên hãy kết nối với VPN của bạn, sau đó sử dụng một trang web như Kiểm tra rò rỉ DNS để xác định địa chỉ DNS của bạn là gì.
Nhấp vào “Kiểm tra tiêu chuẩn” hoặc “Kiểm tra mở rộng” trên trang chủ và xem vị trí và địa chỉ IP liên quan đến các yêu cầu DNS của bạn.
Nếu bạn thấy vị trí và địa chỉ IP thực của mình thay vì vị trí được liên kết với VPN của bạn, thì bạn đã bị rò rỉ DNS.
Khắc phục Rò rỉ DNS
Điều tối quan trọng là mọi lỗi rò rỉ DNS được phát hiện đều được khắc phục. Nếu không, VPN của bạn sẽ cung cấp ít hoặc không bảo vệ danh tính. Tùy thuộc vào phần mềm bạn đang sử dụng để kết nối với VPN, có những cách khác nhau để khắc phục sự cố.
OpenVPN 2.3.9+
Với các phiên bản OpenVPN lớn hơn 2.3.9, người dùng có thể đặt tùy chọn để chỉ cho phép các yêu cầu DNS thông qua VPN.
1. Mở tệp .conf hoặc .ovpn cho kết nối của bạn.
2. Thêm văn bản bên dưới vào một dòng mới:
block-outside-dns
Windows
Rò rỉ DNS cũng có thể được giải quyết thông qua cài đặt mạng Windows.
1. Chuyển từ sử dụng DHCP sang địa chỉ IP tĩnh, cho phép bạn chỉ định cài đặt DNS của riêng mình.
2. Sử dụng dịch vụ DNS mở như một trong những dịch vụ sau cho cài đặt DNS của bạn:
- Mở DNS (ưu tiên
208.67.222.222thay thế:208.67.222.220) - Google (ưu tiên
8.8.8.8thay thế8.8.4.4) - Cloudflare (ưu tiên
1.1.1.1thay thế1.1.0.0)
Bạn cũng có thể nhập thủ công địa chỉ IP cho máy chủ DNS được VPN của bạn sử dụng.
Bộ định tuyến
Cài đặt DNS cũng có thể được điều chỉnh trên hầu hết các bộ định tuyến. Bạn sẽ muốn đặt điều đó thành DNS công cộng như Google hoặc Cloudflare, như đã đề cập ở trên.
Kết luận
Bảo vệ các yêu cầu DNS là cực kỳ quan trọng để duy trì lá chắn bảo mật được cung cấp bởi các dịch vụ VPN. Nếu bạn bị rò rỉ DNS do hoạt động VPN kém chất lượng, bạn sẽ muốn thay đổi dịch vụ VPN ngay khi có thể. Việc xử lý kém các yêu cầu DNS cũng có thể cho thấy khả năng xử lý kém chức năng VPN cốt lõi.