Tes Kebocoran DNS: Cara Memeriksa dan Memperbaiki Kebocoran DNS
VPN Anda dapat menampilkan IP bersih di negara lain sementara diam-diam memberikan daftar setiap situs yang Anda buka kepada penyedia internet Anda. Celah itu memiliki nama: kebocoran DNS. Gembok tampak tertutup, lalu lintas tampak pribadi, namun pencarian yang mengubah nama domain menjadi alamat tetap lolos melalui pintu samping dalam bentuk teks biasa. Tes kebocoran DNS cepat adalah satu-satunya cara untuk mengetahui apakah itu terjadi pada Anda, dan kebanyakan orang yang menjalankannya untuk pertama kali akan terkejut dengan apa yang mereka temukan.
Panduan ini menjelaskan apa itu kebocoran DNS, bagaimana cara memeriksa kebocoran DNS dalam waktu sekitar tiga puluh detik, bagaimana cara memperbaiki penyebab di balik hasilnya, dan mengapa risikonya lebih tinggi jika Anda memegang kripto. Bagian terakhir ini adalah sesuatu yang hampir tidak pernah dijelaskan oleh panduan lain.
Apa itu kebocoran DNS dan apa yang bocor keluar?
Anggap saja Sistem Nama Domain (DNS) sebagai buku telepon internet. Anda mengetikkan nama domain, perangkat Anda mengirimkan permintaan DNS kecil, dan server DNS mengembalikan alamat IP yang sesuai. Cukup sederhana. Kebocoran terjadi ketika pencarian tersebut menyimpang dari jalur yang seharusnya. Alih-alih mengikuti terowongan VPN terenkripsi Anda ke resolver VPN itu sendiri, permintaan tersebut lolos ke server DNS ISP Anda, biasanya dalam bentuk teks biasa.
Tidak ada yang "dicuri" dalam arti film. Yang bocor adalah metadata: daftar situs yang Anda coba kunjungi, yang dikaitkan dengan alamat IP asli Anda. Itu sudah cukup. Dengan menggunakan DNS seperti ini, ISP Anda tidak perlu membaca satu byte pun dari lalu lintas aktual Anda untuk mengetahui bahwa Anda membuka bursa tertentu, layanan dompet, atau halaman berita pada pukul 11:47 pada hari Selasa. Setiap kali Anda mengunjungi situs web, pencarian harus diselesaikan di suatu tempat, dan di situlah masalahnya. Inilah bagian yang tidak nyaman: kebocoran lebih dekat dengan pengaturan default web daripada kesalahan langka. Pada Februari 2026, sekitar 86,6% kueri DNS di seluruh dunia masih melewati jaringan sebagai UDP biasa yang tidak terenkripsi, menurut Cloudflare Radar . DNS terenkripsi adalah pengecualian, bukan aturan.
Bagaimana kebocoran DNS terjadi: IPv6, WebRTC, router
Sebagian besar kebocoran bukanlah serangan cerdas. Itu adalah perilaku sistem operasi biasa yang tidak pernah sepenuhnya diatasi oleh VPN. Tiga penyebab menjelaskan sebagian besar kegagalan pengujian.
IPv6 dan kebocoran yang dilupakan VPN Anda
Inilah penyebab utama kebocoran DNS. Banyak VPN dibangun untuk menyalurkan IPv4 dan menganggap IPv6 sebagai masalah pihak lain. Jadi, jika sistem operasi Anda mengaktifkan IPv6 dan VPN hanya mengambil IPv4, permintaan DNS IPv6 tersebut akan langsung keluar dari terowongan. Ini bukan hipotesis. Sebuah studi tahun 2025 yang ditinjau oleh rekan sejawat oleh Cho dan Heidemann di ACM IMC menemukan 12 VPN komersial yang membocorkan lalu lintas IPv6 untuk sekitar 5% hingga 57% pengguna yang hanya menggunakan IPv4, yang dipublikasikan dalam makalah IMC 2025 mereka . Bertahun-tahun "perlindungan kebocoran IPv6" telah diterapkan, tetapi kebocoran tersebut masih ada dalam data.
Pembajakan DNS transparan oleh ISP Anda
Beberapa ISP menangkap setiap permintaan DNS yang keluar dari jaringan Anda di port 53 dan meneruskannya melalui resolver mereka sendiri, terlepas dari server mana yang Anda tetapkan. Itu adalah pembajakan DNS transparan. Jalankan uji kebocoran dan Anda akan melihat resolver ISP muncul meskipun Anda telah mengkonfigurasi resolver yang berbeda. Windows memperburuknya dalam dua cara spesifik: Smart Multi-Homed Name Resolution (SMHNR), yang mengirimkan kueri DNS dari setiap adaptor jaringan sekaligus, dan Teredo, layanan tunneling IPv6 yang diam-diam membuka jalur kedua di sekitar VPN.
Kebocoran Browser dan WebRTC
WebRTC adalah fitur browser di balik panggilan audio dan video real-time. Berguna, tetapi juga dapat mengekspos IP lokal dan publik Anda melalui permintaan koneksi langsung, melewati DNS sepenuhnya. Secara tegas, itu bukanlah kebocoran DNS. Tes kebocoran DNS yang baik tetap memeriksanya, karena hasilnya identik: alamat asli Anda akan ditampilkan. Seberapa umumkah masalah yang mendasarinya? Sebuah studi lama namun masih dikutip dari CSIRO dan Universitas Macquarie tahun 2016 terhadap 283 aplikasi VPN Android menemukan 66% mengalami kebocoran lalu lintas DNS dan 84% tidak pernah merutekan IPv6 melalui terowongan, yang didokumentasikan dalam prosiding ACM IMC 2016. Sembilan tahun kemudian, belum ada yang membantah angka-angka tersebut.
Cara menjalankan tes kebocoran DNS gratis dan membaca hasilnya.
Menjalankan pengujian adalah bagian yang mudah. Membaca hasilnya adalah bagian yang sering membuat orang salah paham. Hubungkan VPN Anda, buka halaman pengujian kebocoran DNS gratis di browser Anda, dan jalankan pemeriksaan standar dan pemeriksaan lanjutan. Beberapa detik kemudian Anda akan mendapatkan daftar resolver DNS yang menjawab, masing-masing dengan pemilik dan lokasi yang terlampir. Sekarang satu-satunya pertanyaan yang penting adalah: apakah resolver tersebut milik VPN Anda, atau milik ISP dan Google?
Jalankan dua kali. Lakukan tes kebocoran DNS sekali dengan VPN dimatikan, sehingga Anda tahu seperti apa resolver ISP Anda yang sebenarnya, lalu sekali lagi dengan tunnel aktif. Server ISP yang sama muncul di kedua pengujian? Itulah kebocoran Anda, jelas sekali. Hanya resolver VPN Anda yang muncul saat terhubung? Anda aman dari kebocoran DNS, setidaknya sampai reboot berikutnya memutuskan sebaliknya.
| Apa yang ditunjukkan oleh tes tersebut | Dakwaan | Apa yang harus dilakukan? |
|---|---|---|
| Hanya server DNS VPN Anda | Tidak ada kebocoran | Anda baik-baik saja; uji ulang setelah pembaruan. |
| Resolver ISP Anda muncul | kebocoran DNS | Atasi penyebab di bawah ini sebelum mempercayai terowongan tersebut. |
| Google atau resolver pihak ketiga yang tidak Anda atur. | Kebocoran sebagian | Atur DNS secara manual; periksa konfigurasi router. |
| Server IPv6 berbeda dengan IPv4. | kebocoran IPv6 | Nonaktifkan IPv6 atau gunakan VPN yang meneruskannya melalui terowongan. |
| Alamat IP asli Anda ditampilkan di kolom WebRTC. | Kebocoran WebRTC | Nonaktifkan WebRTC di browser. |
Mengapa kebocoran DNS penting bagi privasi kriptografi?
Inilah bagian yang dilewati oleh situs ulasan VPN. Bagi pengguna kripto, kebocoran DNS lebih buruk daripada bagi orang biasa, karena hal itu menjembatani satu celah yang tidak dapat diatasi oleh pengawasan on-chain sendirian: tautan antara identitas jaringan Anda dan dompet Anda.
Menghubungkan alamat IP Anda ke dompet digital.
Perusahaan analitik blockchain sangat mahir dalam mengelompokkan alamat dan melacak dana. Namun, yang sulit mereka lakukan adalah menghubungkan orang sungguhan dengan suatu alamat tanpa petunjuk di luar rantai (off-chain). Kebocoran DNS adalah petunjuk tersebut. Jika perangkat Anda membocorkan pencarian ke domain dompet, situs penjelajah blok, atau titik akhir RPC node, dan kueri tersebut membawa IP asli Anda dengan stempel waktu, pengamat dapat menghubungkan jejak jaringan dengan aktivitas di dalam rantai (on-chain) yang terjadi pada saat yang sama.
Login Exchange dan korelasi KYC
Inilah sisi paling tajamnya. Saat Anda masuk ke bursa terpusat, perangkat Anda mencari domain bursa tersebut. Jika pencarian tersebut bocor ke ISP Anda, itu akan dicatat terhadap IP asli Anda. Bursa Anda sudah menyimpan identitas terverifikasi Anda melalui KYC. Sekarang pihak ketiga dapat mengaitkan identitas tersebut dengan sesi yang seharusnya disembunyikan oleh VPN. Industri analitik blockchain yang membeli dan memproses korelasi semacam ini bernilai $2,99 miliar pada tahun 2025 dan diproyeksikan tumbuh sebesar 22% per tahun, sementara Chainalysis mencatat volume kripto ilegal sebesar $154 miliar untuk tahun 2025, dalam Laporan Kejahatan Kripto 2026 — sebuah pasar dengan insentif kuat untuk menghubungkan setiap titik yang tersedia.
Apa yang diungkapkan jejak DNS tentang Anda
Bahkan tanpa isi lalu lintas Anda, daftar domain yang Anda akses merupakan sidik jari perilaku. Bursa mana, dompet mana, antarmuka DeFi mana, dalam urutan apa, pada jam berapa. Regulator AS telah mengkonfirmasi keinginan akan data ini: laporan staf FTC tahun 2021 menemukan bahwa keenam ISP utama Amerika mencatat kueri DNS dan data penelusuran, dalam laporan stafnya tentang pengumpulan data ISP . Sejujurnya, belum ada kasus pengadilan publik yang mengaitkan deanonimisasi kripto dengan kebocoran DNS saja. Kemampuannya terdokumentasi dengan baik; penuntutan yang membuktikan hal itu belum ada. Saya tidak akan berharap itu akan tetap berlaku.
Cara mencegah kebocoran DNS di setiap perangkat
Kabar baiknya: solusinya berupa menu singkat, bukan proses yang panjang. Cocokkan tuas dengan hasil pengujian Anda, alih-alih mencoba keenam tuas sekaligus karena paranoid. Dalam praktiknya, kebanyakan orang hanya membutuhkan dua, mungkin tiga tuas.
Perbaiki kebocoran DNS di Windows dan macOS
Di Windows, penyebab utamanya biasanya adalah Smart Multi-Homed Name Resolution dan adapter Teredo. Matikan keduanya. Kemudian tetapkan server DNS statis pada adapter jaringan aktif Anda. Di macOS caranya lebih mudah: atur DNS Anda secara manual di pengaturan Jaringan, lalu bersihkan cache dengan `sudo dscacheutil -flushcache`. Dengan cara apa pun, sambungkan kembali dan jalankan tes kebocoran DNS sekali lagi. Daftar resolver hanya menampilkan VPN Anda? Selesai. Jika server ISP lama Anda masih ada, kebocoran berasal dari suatu tempat di lapisan bawah tumpukan.
Amankan router dan IPv6 Anda.
Apakah VPN Anda menolak untuk membuat terowongan IPv6? Jika ya, matikan IPv6 di tingkat sistem operasi, sehingga tidak ada jalur kedua bagi permintaan untuk masuk. Dan jangan lupakan router. Ketika router itu sendiri masih mengarah ke DNS ISP Anda, kebocoran hanya berpindah satu hop ke hulu, dan perbaikan tingkat perangkat Anda yang rapi secara diam-diam menyembunyikan gambaran sebenarnya. Konfigurasikan router untuk menggunakan resolver yang Anda percayai, dan setiap ponsel, laptop, dan konsol di belakangnya akan mewarisi pengaturan tersebut secara gratis.
Pengaturan VPN dan perlindungan kebocoran DNS
Buka klien VPN Anda dan periksa tiga pengaturan: klien menggunakan server DNS sendiri, perlindungan kebocoran DNS aktif, dan kill switch aktif. Dua pengaturan terakhir bukanlah fitur yang sama, yang seringkali membingungkan orang. Kill switch akan langsung memutus lalu lintas Anda begitu terowongan terenkripsi terputus. Perlindungan kebocoran DNS memaksa permintaan Anda kembali melalui terowongan tersebut saat masih aktif. Anda menginginkan keduanya. Dan Anda perlu benar-benar memeriksanya, karena "aman secara default" hanyalah slogan pemasaran, bukan janji.
| Menyebabkan | Apa yang Anda lihat dalam tes | Memperbaiki | Di mana |
|---|---|---|---|
| kebocoran IPv6 | Resolver IPv6 berbeda dari IPv4. | Nonaktifkan IPv6 atau ganti VPN. | Sistem Operasi / VPN |
| Pembajakan ISP | ISP resolver meskipun DNS manual | Atur DNS terenkripsi (DoH atau DoT) | Sistem Operasi / Router |
| Windows SMHNR atau Teredo | Beberapa resolver, salah satunya adalah ISP. | Nonaktifkan SMHNR dan Teredo | Windows |
| Router menggunakan DNS ISP | Kebocoran yang sama terjadi di setiap perangkat. | Atur DNS router secara manual. | Router |
| Paparan WebRTC | IP asli dalam bidang WebRTC | Nonaktifkan WebRTC | Browser |
Memilih server DNS yang tidak bocor
Lulus uji kebocoran DNS hanyalah setengah dari kemenangan. Ke mana Anda mengarahkan resolver sama pentingnya dengan terowongan, karena penyedia DNS yang mencatat log masih merupakan pengawasan, hanya dengan logo yang lebih ramah. Cloudflare menggunakan 1.1.1.1, Quad9 menggunakan 9.9.9.9, Google menggunakan 8.8.8.8. Fungsinya sama, tetapi kebijakan pencatatan lognya sangat berbeda. Jadi, bacalah kebijakan tersebut. Mengambil salah satu yang direkomendasikan dalam postingan forum adalah cara orang akhirnya "bebas kebocoran" tetapi tetap terlacak.
Kemudian enkripsi pencarian itu sendiri. DNS over HTTPS (DoH) dan DNS over TLS (DoT) keduanya membungkus kueri sehingga ISP Anda tidak dapat membacanya atau membajaknya di tengah perjalanan. Namun, hampir tidak ada yang repot-repot melakukannya. Transportasi terenkripsi hanya menangani sekitar 11,3% dari kueri DNS pada awal 2026, dan validasi DNSSEC ujung-ke-ujung hanya mencapai kesalahan pembulatan, 0,47%, untuk kuartal pertama. Satu pengaturan. Ubah pengaturannya, dan Anda diam-diam telah bergabung dengan minoritas kecil yang jauh lebih terlindungi.
Apakah VPN Anda benar-benar menghentikan kebocoran DNS?
Anggaplah kotak centang "perlindungan kebocoran DNS" sebagai klaim, bukan jaminan. Tingkat kebocoran benchmark tahun 2016 tersebut terus muncul dalam penelitian terbaru tahun 2025, yang menunjukkan bahwa masalah ini sudah melekat pada cara klien-klien ini dibangun, bukan sesuatu yang diam-diam diperbaiki oleh industri. Penggunaan VPN memang umum tetapi tidak universal: 32% orang dewasa AS mengatakan mereka menggunakannya pada tahun 2025, turun tajam dari 46% tahun sebelumnya, menurut Security.org. Jadi aturannya membosankan tetapi efektif. Jalankan uji kebocoran DNS pada hari Anda menginstal VPN, lagi setelah setiap pembaruan OS utama, dan setiap kali klien terhubung kembali dengan sendirinya pada pukul 3 pagi saat Anda tidak memperhatikan.
Apa yang harus dilakukan terkait pengujian kebocoran DNS Anda sekarang?
VPN yang membocorkan DNS adalah alat privasi yang berbohong kepada Anda, dan satu-satunya cara untuk mengetahui kebohongannya adalah dengan memeriksanya. Jadi, periksalah. Jalankan pengujian sekarang, dua kali, VPN dimatikan dan VPN dihidupkan. Perbaiki satu penyebab yang benar-benar muncul, arahkan perangkat Anda ke resolver terenkripsi yang kebijakannya telah Anda baca, dan uji ulang setelah pembaruan berikutnya. Jika Anda memegang kriptografi, perlakukan jalur DNS Anda sebagai bagian dari model ancaman Anda, bukan sebagai hal yang dipikirkan kemudian, karena di sini kebocoran diukur dalam identitas yang terhubung, bukan hanya riwayat penelusuran. Satu pertanyaan yang patut direnungkan: jika pengaturan Anda telah membocorkan data selama ini, apa yang telah dicatat oleh ISP Anda?
