نشت WebRTC: چگونه آدرس IP واقعی شما را افشا می‌کند

نوشته شده در Jun 10, 2026 نوشته شده توسط Simon Chartan

VPN شما روشن است. گره خروجی می‌گوید که شما در زوریخ هستید. کیف پول شما ناشناس به نظر می‌رسد. و سپس یک ویژگی واحد که در مرورگر شما تعبیه شده است، بی‌سروصدا آدرس IP واقعی شما را به یک وب‌سایت می‌گوید - آدرسی که به خانه و نام شما مرتبط است. این ویژگی WebRTC است و شکافی که ایجاد می‌کند، نشت WebRTC نامیده می‌شود.

برای اکثر مردم، این یک مزاحمت برای حریم خصوصی است. برای هر کسی که ارز دیجیتال دارد، این اولین حلقه از زنجیره‌ای است که با یک غریبه که می‌داند کدام کیف پول متعلق به کدام خانه است، به پایان می‌رسد. این راهنما بقیه آن زنجیره را بررسی می‌کند: نشت WebRTC چیست، چگونه از VPN عبور می‌کند، چگونه آن را آزمایش کنیم و چگونه آن را در هر مرورگری خاموش کنیم. و اینکه چرا این موضوع زمانی که مرورگر شما با یک کیف پول تماس پیدا می‌کند، بسیار مهم‌تر است.

نشت WebRTC چیست و چرا اتفاق می‌افتد؟

WebRTC مخفف Web Real-Time Communication (ارتباط بلادرنگ وب) است. به زبان ساده، این سیستمی است که به مرورگرها اجازه می‌دهد بدون هیچ افزونه‌ای تماس‌های ویدیویی، چت صوتی و انتقال فایل انجام دهند و از حدود سال ۲۰۱۱ در هر مرورگر اصلی ارائه شده است. این بخشی است که شما را آزار می‌دهد. برای اتصال مستقیم دو نفر، هر طرف باید IP طرف مقابل را بداند. این یک اشکال نیست. این کل کار است.

نکته این است که هر وب‌سایتی می‌تواند آن را فعال کند. یک صفحه، اتصال WebRTC را در پس‌زمینه باز می‌کند. آدرس‌های IP ارائه شده توسط مرورگر شما را می‌خواند. هیچ درخواست مجوزی وجود ندارد. هیچ علامت قابل مشاهده‌ای وجود ندارد. این کار را پشت یک VPN انجام دهید، در هر صورت آدرس واقعی شما ظاهر می‌شود و شما یک نشت WebRTC دارید. هیچ یک از این موارد جدید نیست. توسعه‌دهنده، دنیل روسلر، در ژانویه ۲۰۱۵ یک اثبات مفهومی کاربردی منتشر کرد که IPهای واقعی را مستقیماً از مرورگرهای کاربران VPN استخراج می‌کرد. ده سال گذشته است و این مکانیسم به سختی تغییر کرده است.

چیزی که این یکی را زننده می‌کند، بی‌صدا بودن آن است. هیچ پنجره‌ی بازشو (pop-up) ندارد. هیچ درخواستی برای اجازه دسترسی ندارد. هیچ چیزی در نوار آدرس وجود ندارد. این درخواست هرگز در گزارش شبکه‌ای که یک فرد عادی ممکن است به بررسی آن فکر کند، ظاهر نمی‌شود و مسدودکننده‌های تبلیغات آن را رد می‌کنند، زیرا برای مرورگر مانند تنظیمات معمولی WebRTC به نظر می‌رسد، نه یک ردیاب. بنابراین می‌توانید یک VPN پولی، یک مرورگر تمیز و یک مسدودکننده تبلیغات را همزمان اجرا کنید و همچنان آدرس واقعی خود را به اولین صفحه‌ای که آن را درخواست می‌کند، بدهید. نامرئی و روتین: دقیقاً به همین دلیل است که این نشت ده سال دوام آورده است.

نحوه‌ی عملکرد نشت اطلاعات: STUN، NAT و IP شما

برای درک اینکه چرا یک VPN به طور خودکار شما را از نشت WebRTC نجات نمی‌دهد، بهتر است ببینید مرورگر در واقع چه کاری انجام می‌دهد.

مکانیسم بی‌حس کردن و یخ زدن

بیشتر دستگاه‌ها پشت روتری قرار می‌گیرند که NAT (ترجمه آدرس شبکه) را انجام می‌دهد، بنابراین کامپیوتر شما آدرس عمومی خود را نمی‌داند. برای پیدا کردن آن، WebRTC از یک دستیار به نام سرور STUN استفاده می‌کند. مرورگر از سرور STUN یک سوال ساده می‌پرسد: "از جایی که نشسته‌اید، من را از چه آدرسی می‌بینید؟" سرور با IP عمومی شما پاسخ می‌دهد. WebRTC چندین مورد از این پاسخ‌ها را که به آنها کاندیداهای ICE می‌گویند، جمع‌آوری می‌کند و آنها را فهرست می‌کند تا یک همتا بتواند مسیری را انتخاب کند. یک وب‌سایت جاسوسی فقط آن لیست را می‌خواند. بازی تمام است.

چرا این مهم است؟ چون کل تبادل STUN با جاوا اسکریپتی اجرا می‌شود که هر صفحه‌ای می‌تواند آن را فعال کند. هیچ کادر محاوره‌ای وجود ندارد، همانطور که برای دوربین یا موقعیت مکانی شما وجود دارد. اسکریپت یک اتصال همتا ایجاد می‌کند. کاندیداهای ICE را که مرورگر تولید می‌کند، جمع‌آوری می‌کند. آدرس‌ها را از لیست می‌خواند. همه اینها در کسری از ثانیه اتفاق می‌افتد و هیچ چیز اشتباهی از نظر مرورگر دیده نمی‌شود. فقط کاری را که WebRTC برای انجام آن ساخته شده بود، انجام داد.

آی‌پی عمومی در مقابل آی‌پی محلی

WebRTC می‌تواند دو آدرس مختلف ارائه دهد و چیزهای مختلفی را فاش کند. آدرس IP عمومی شما به موقعیت مکانی تقریبی شما و ارائه دهنده اینترنت شما اشاره می‌کند. IP محلی شما - چیزی شبیه به 192.168.1.7 - فقط شبکه داخل خانه یا محل کار شما را ترسیم می‌کند. هیچ‌کدام از این دو آدرس نباید در دست یک وب‌سایت تصادفی باشند. اما آدرس عمومی چیزی است که باید شما را نگران کند، زیرا به دنیای واقعی برمی‌گردد: یک شهر، یک ارائه دهنده، در نهایت یک در.

چرا VPN جلوی آن را نمی‌گیرد؟

یک VPN ترافیک عادی شما را تغییر مسیر می‌دهد. مشکل این است که یک درخواست STUN می‌تواند از آن تونل خارج شود، مستقیماً به سرور STUN برسد و با IP عمومی واقعی شما بازگردد. مرورگرها بخشی از این مشکل را در سال‌های ۲۰۱۹ و ۲۰۲۰ برطرف کردند و IP محلی را با یک نام میزبان mDNS درهم‌ریخته جایگزین کردند. مفید است، اما فقط نامزد محلی را پنهان می‌کند. IP عمومی از STUN هنوز هم می‌تواند خارج شود. بدتر از آن، این پوشش اغلب زمانی که سایتی مجوز میکروفون یا دوربین را دریافت می‌کند، از بین می‌رود. بنابراین نشت دقیقاً در جایی که اکثر مردم تصور می‌کنند در امان هستند، باقی می‌ماند.

نشت وب‌آرتی‌سی

چگونه یک تست نشت WebRTC را به درستی اجرا کنیم

بررسی حدود یک دقیقه طول می‌کشد و لازم نیست حرف کسی را قبول کنید.

با خاموش کردن VPN شروع کنید و IP عمومی که اتصال شما نشان می‌دهد را یادداشت کنید. حالا VPN را روشن کنید و یک صفحه تست نشت WebRTC، مثلاً browserleaks.com/webrtc یا ipleak.net، باز کنید. مقایسه کنید. اگر VPN کار خود را انجام می‌دهد و هیچ نشت IP وجود ندارد، باید فقط آدرس VPN را ببینید. اگر آن عدد از مرحله اول در هر جایی از صفحه ظاهر شود، نشت خود را پیدا کرده‌اید. برای داشتن تصویری کامل‌تر از هر چیزی که مرورگر شما در معرض آن قرار می‌دهد، همین منطق در مورد مجموعه گسترده‌تر بررسی‌های پوشش داده شده در راهنمای ما برای BrowserLeaks نیز صدق می‌کند.

وقتی نشت‌های WebRTC را بررسی می‌کنید، چند نکته ممکن است افراد را به اشتباه بیندازد. ممکن است یک IP محلی ببینید که شبیه یک رشته درهم‌ریخته به .local ختم می‌شود. وحشت نکنید؛ این پوشش mDNS است که کار خود را انجام می‌دهد، نه نشت. آدرسی که مهم است، آدرس عمومی است. برای هر چیز حساس، آن را در مرورگر و پروفایل دقیقی که استفاده می‌کنید، آزمایش کنید. تنظیمات و افزونه‌ها به آنها منتقل نمی‌شوند. و بعد از هر به‌روزرسانی مرورگر، دوباره آن را اجرا کنید، زیرا یک وصله می‌تواند بی‌سروصدا این تنظیمات را به حالت اولیه برگرداند.

کدام مرورگرها IP شما را فاش می‌کنند و کدام‌ها نه؟

همه مرورگرها نشت WebRTC را به یک شکل مدیریت نمی‌کنند و تفاوت‌ها به دلیل نحوه تقسیم‌بندی بازار اهمیت دارند.

مرورگر	خطر نشت WebRTC	محافظت داخلی
کروم	بالا	بومی نیست؛ نیاز به تمدید دارد
فایرفاکس	متوسط-بالا	به طور پیش‌فرض IP عمومی را نشت می‌دهد، اما غیرفعال کردن آن آسان است
شجاع	کم	اثر انگشت و محافظت WebRTC به طور پیش‌فرض فعال هستند
مرورگر تور	هیچکدام	RTCPeerConnection به طور کامل غیرفعال شد

کروم، صرفاً به دلیل گستردگی‌اش، در قلب این مشکل قرار دارد. این مرورگر تا ماه مه ۲۰۲۶ حدود ۷۰٪ از بازار جهانی مرورگرها را در اختیار داشت و بدون هیچ سوئیچ بومی برای جلوگیری از افشای IP شما توسط WebRTC عرضه می‌شود. فایرفاکس، با سهم تقریباً ۲٪، به طور پیش‌فرض IP عمومی را فاش می‌کند، اگرچه حداقل به شما امکان می‌دهد این ویژگی را در یک تنظیم واحد غیرفعال کنید. Brave نقطه قوت است. این مرورگر در سپتامبر ۲۰۲۵ از مرز ۱۰۱ میلیون کاربر فعال ماهانه عبور کرد و تنها مرورگر اصلی کرومیوم است که محافظت WebRTC را از ابتدا فعال می‌کند. و Tor؟ Tor با غیرفعال کردن کامل اتصال همتا، از این مشکل طفره می‌رود، دقیقاً به همین دلیل است که محققان حریم خصوصی، تازه‌واردان را به سمت آن سوق می‌دهند.

نحوه غیرفعال کردن WebRTC و جلوگیری از نشت اطلاعات

دو راه برای غیرفعال کردن این قابلیت وجود دارد. WebRTC را به‌طور کامل غیرفعال کنید، یا آن را طوری تنظیم کنید که فقط آدرسی را که شما انتخاب می‌کنید، ببیند. اینکه کدام یک را می‌خواهید بستگی به این دارد که آیا واقعاً در مرورگر خود تماس ویدیویی برقرار می‌کنید یا خیر. در اینجا نسخه عملی، مرورگر به مرورگر، آمده است.

مرورگر	نحوه غیرفعال کردن یا محدود کردن	اثر
فایرفاکس	‎about:config، ‎media.peerconnection.enabled را روی false تنظیم کن.‎	غیرفعال کردن کامل
کروم	محدودکننده شبکه WebRTC یا کنترل WebRTC را نصب کنید	محدود کردن مواجهه
لبه	edge://flags، گزینه «ناشناس کردن IPهای محلی» را فعال کنید.	جزئی
سافاری	منوی توسعه، ویژگی‌های آزمایشی، محدود کردن WebRTC	جزئی

کروم و اج

کروم کمی عجیب است. هیچ دکمه‌ی خاموش و روشن کردنی در منوها ندارد، بنابراین برای مسدود کردن WebRTC به یک افزونه نیاز دارید. گوگل افزونه‌ی خودش، WebRTC Network Limiter، را منتشر کرده است. این افزونه بدون قطع تماس‌های شما، آدرس‌های پرخطر را مسدود می‌کند. چیزی رک و پوست‌کنده می‌خواهید؟ WebRTC Control آن را با یک کلیک غیرفعال می‌کند. مایکروسافت اج هم از همان موتور کرومیوم استفاده می‌کند، بنابراین این افزونه‌ها در آنجا هم کار می‌کنند، اما یک پرچم مفید در edge://flags پنهان می‌کند که IP محلی شما را ناشناس می‌کند.

فایرفاکس

فایرفاکس این کار را آسان می‌کند. در نوار آدرس عبارت about:config را تایپ کنید، روی هشدار ترسناک کلیک کنید، media.peerconnection.enabled را جستجو کنید و آن را به false تغییر دهید. همین. WebRTC خاموش است. نکته: تماس‌های ویدیویی و صوتی درون مرورگر تا زمانی که دوباره آن را روشن نکنید، تاریک می‌شوند.

سافاری و اپرا

سافاری به طور پیش‌فرض امنیت بیشتری دارد و می‌توانید WebRTC را از منوی توسعه در بخش ویژگی‌های آزمایشی (Experimental Features) بیشتر محدود کنید. اپرا بر اساس کرومیوم کار می‌کند، بنابراین به همان افزونه‌هایی که در کروم کار می‌کنند، متکی است.

استفاده از VPN و بده‌بستان

سپس مسیر VPN وجود دارد. اگر از VPN با محافظت در برابر نشت واقعی استفاده کنید، ترافیک WebRTC را از طریق تونل خود هدایت می‌کند، بنابراین سرور STUN فقط آدرس VPN را می‌بیند. پاک‌ترین گزینه، زیرا تماس‌های شما همچنان کار می‌کنند و یک سرور پروکسی قابل اعتماد می‌تواند از نشت IP به همان روش جلوگیری کند. نکته، اعتماد است. همه VPNها در واقع این کار را انجام نمی‌دهند. وقتی VoidSec در سال ۲۰۱۸، ۷۰ ارائه‌دهنده VPN را آزمایش کرد، ۱۶ مورد از آنها هنوز IP واقعی را از طریق WebRTC نشت می‌دادند. حدود ۲۳٪. ارائه‌دهندگان خوب از آن زمان این مشکل را برطرف کرده‌اند، اما درس این است: آزمایش کنید، فرض نکنید. مسیر کامل را می‌خواهید؟ WebRTC را کاملاً غیرفعال کنید. فقط به یاد داشته باشید که هر چیزی را که به آن بستگی دارد، خراب می‌کند.

نشت وب‌آرتی‌سی

چرا نشت WebRTC دارندگان ارزهای دیجیتال را تهدید می‌کند؟

برای یک کاربر ارزهای دیجیتال، یک IP افشا شده، حاشیه‌ای بر حریم خصوصی نیست. این شکافی بین زندگی درون زنجیره‌ای شما و زندگی فیزیکی شماست. و اخیراً این شکاف خطرناک شده است.

زنجیره مرگ IP به کیف پول

آدرس‌های بلاکچین مستعار هستند، نه ناشناس. هر تراکنشی که تا به حال انجام داده‌اید، در معرض دید عموم قرار دارد. تنها چیزی که مانع از اشاره آن به شما می‌شود، برچسب گمشده است: یک نام، یک مکان. یک IP همان برچسب است. و محققان بیش از یک دهه پیش ثابت کردند که این پیوند عملی است. در یک مطالعه در سال ۲۰۱۴ ، الکساندر بیریوکوف و همکارانش از تعداد انگشت‌شماری گره با موقعیت مناسب استفاده کردند تا نام‌های مستعار بیت‌کوین را به آدرس‌های IP که برای اولین بار تراکنش‌های خود را پخش می‌کنند، مرتبط کنند. یک نشت WebRTC همان اتصال را به صورت رایگان در اختیار مهاجم قرار می‌دهد. در حالی که IP واقعی شما در معرض دید است، یک کاوشگر بلوک یا یک DEX را باز کنید و یک صفحه می‌تواند کیف پولی را که مشاهده می‌کنید به خانه و ارائه دهنده شما متصل کند.

و خطر پیچیده‌تر می‌شود، زیرا لازم نیست نشت اطلاعات شما را در حین تراکنش شناسایی کند. فقط کافی است یک بار، در هر صفحه‌ای که یک اسکریپت مخرب اجرا می‌کند، در حالی که شما در حال بررسی موجودی یا گشت و گذار در یک بازار هستید، فعال شود. بعد از آن؟ IP با سوابق ISP، پروفایل‌های کارگزاران داده، یا یک نقض امنیتی قدیمی مقایسه می‌شود. دیر یا زود یک نام مشخص می‌شود. کیف پول از ابتدا عمومی بوده است. نشت اطلاعات به تازگی برچسب خود را تغییر داده است.

از ناشناس ماندن تا در زدن

این قبلاً یک نگرانی انتزاعی بود. دیگر نه. حملات موسوم به آچار، که در آن دارندگان به خاطر کلیدهایشان مورد سرقت یا آدم‌ربایی قرار می‌گیرند، در سال ۲۰۲۵ حدود ۷۵ درصد افزایش یافت و طبق ردیابی‌های صنعت ، ۷۲ مورد تأیید شده و حداقل ۴۱ میلیون دلار سرقت شده است. این الگو به سختی تغییر می‌کند: مهاجمان ثروت قابل مشاهده درون زنجیره‌ای را با یک هویت خارج از زنجیره جفت می‌کنند تا یک شخص واقعی را در یک آدرس واقعی قرار دهند. IP شما یکی از پاک‌ترین راه‌ها برای به دست آوردن آن نیمه دوم است.

برعکس فکر کنید و مثل مهاجم فکر کنید. آنها همین الان هم می‌توانند ببینند کدام کیف پول‌ها پول واقعی دارند؛ آن بخش عمومی است. چیزی که آنها از دست می‌دهند، نقشه از یک آدرس بزرگ تا درب ورودی است. یک IP جستجو را از کل اینترنت به یک شهر، یک ISP، و اغلب یک محله محدود می‌کند. بقیه‌اش کار ساده‌ای است. برای یک مرورگر معمولی، چنین نشتی بی‌اهمیت است. برای کسی که هفت رقم روی زنجیره دارد، این مرز بین یک نام مستعار و یک هدف مشخص است. به همین دلیل است که کاربران ارزهای دیجیتال باید یک نشت WebRTC را تحت امنیت ثبت کنند، نه اولویت حریم خصوصی آنلاین.

آی‌پی شما، اطلاعات شخصی شماست

یک جنبه قانونی هم وجود دارد. در سال ۲۰۱۶، دیوان عدالت اروپا در پرونده بریر حکم داد که حتی یک آدرس IP پویا نیز به عنوان داده‌های شخصی محسوب می‌شود، مادامی که کسی بتواند به طور منطقی از آن برای شناسایی مجدد شما استفاده کند. با این منطق، سایتی که مخفیانه IP شما را از طریق WebRTC جمع‌آوری می‌کند، داده‌های شخصی را بدون رضایت شما پردازش می‌کند. این موضوع نشت اطلاعات را پنهان نمی‌کند. اما به شما نشان می‌دهد که قانون‌گذاران چقدر چیزی را که مرورگر شما به صورت رایگان در اختیار دیگران قرار می‌دهد، جدی می‌گیرند.

قبل از باز شدن، نشتی را ببندید

نشت WebRTC بی‌سروصدا است، هیچ اجازه‌ای نمی‌خواهد و VPN به تنهایی شما را از آن نجات نمی‌دهد. بنابراین، از ابزارهای دفاعی خود استفاده کنید. مرورگری را انتخاب کنید که به طور پیش‌فرض از شما محافظت کند، یا در صورت عدم محافظت، WebRTC را خاموش کنید. VPN را اجرا کنید که واقعاً از تست نشت عبور کند تا IP شما را پنهان کند. پس از هر به‌روزرسانی دوباره بررسی کنید. برای هر کسی که وجوه را جابجا می‌کند، هدف محدود و قابل توجه است: از ایجاد هرگونه ارتباط بین کیف پول و IP خود جلوگیری کنید، زیرا وقتی وجود داشته باشد، نمی‌توانید آن را پس بگیرید. آخرین باری که مرورگر خود را آزمایش کردید، چه چیزی را واقعاً نشت می‌دهد؟

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.