Test wycieku DNS: Jak sprawdzić wycieki DNS i je naprawić
Twoja sieć VPN może pokazywać czysty adres IP w innym kraju, jednocześnie dyskretnie przekazując dostawcy internetu listę wszystkich otwartych przez Ciebie stron. Ta luka ma swoją nazwę: wyciek DNS. Kłódka wygląda na zamkniętą, ruch wygląda na prywatny, a mimo to wyszukiwania, które zamieniają nazwę domeny na adres, wymykają się bocznymi drzwiami w postaci zwykłego tekstu. Szybki test wycieku DNS to jedyny sposób, aby dowiedzieć się, czy dotyczy to również Ciebie, a większość osób, które przeprowadzają go po raz pierwszy, jest zaskoczona tym, co odkrywa.
Ten poradnik wyjaśnia, czym jest wyciek DNS, jak sprawdzić wyciek DNS w około trzydzieści sekund, jak naprawić przyczynę i dlaczego ryzyko jest wyższe, jeśli posiadasz kryptowaluty. Tej ostatniej części prawie żaden inny poradnik nie porusza.
Czym jest wyciek DNS i co wycieka
Wyobraź sobie system nazw domen (DNS) jako książkę telefoniczną internetu. Wpisujesz nazwę domeny, Twoje urządzenie wysyła krótkie żądanie DNS, a serwer DNS zwraca pasujący adres IP . To proste. Wyciek następuje, gdy wyszukiwanie zbacza ze ścieżki, którą powinno podążać. Zamiast podążać zaszyfrowanym tunelem VPN do własnego resolvera VPN, zapytanie trafia do serwera DNS Twojego dostawcy usług internetowych, zazwyczaj w postaci zwykłego tekstu.
Nic nie zostaje „kradzione” w sensie filmowym. Wycieki to metadane: uporządkowana lista stron, które próbowałeś odwiedzić, połączona z Twoim prawdziwym adresem IP. To w zupełności wystarcza. Korzystając z DNS w ten sposób, Twój dostawca usług internetowych nie musi odczytywać ani jednego bajta Twojego rzeczywistego ruchu, aby wiedzieć, że otworzyłeś konkretną giełdę, usługę portfela lub jakąś stronę z wiadomościami o 11:47 we wtorek. Za każdym razem, gdy odwiedzasz stronę internetową, wyszukiwanie musi się gdzieś znaleźć, a gdzieś leży problem. Oto niewygodna część: wyciek jest bliższy domyślnym ustawieniom sieci niż rzadkim usterkom. Według Cloudflare Radar , od lutego 2026 r. około 86,6% zapytań DNS na całym świecie nadal przechodzi przez sieć jako zwykły, niezaszyfrowany protokół UDP. Szyfrowany DNS jest wyjątkiem, a nie regułą.
Jak dochodzi do wycieku DNS: IPv6, WebRTC, routery
Większość wycieków nie jest wynikiem sprytnych ataków. To zwykłe zachowanie systemu operacyjnego, którego VPN nigdy w pełni nie zneutralizuje. Trzy przyczyny odpowiadają za zdecydowaną większość nieudanych testów.
IPv6 i wyciek, o którym zapomniał Twój VPN
To cichy mistrz wycieków DNS. Wiele sieci VPN zostało stworzonych tak, aby tunelować IPv4 i traktować IPv6 jako problem kogoś innego. Jeśli więc w systemie operacyjnym włączono IPv6, a sieć VPN przechwytuje tylko IPv4, zapytania DNS IPv6 są automatycznie pomijane w tunelu. To nie jest hipotetyczne. Recenzowane badanie z 2025 roku, przeprowadzone przez Cho i Heidemann z ACM IMC, ujawniło, że 12 komercyjnych sieci VPN przecieka ruch IPv6 dla od 5% do 57% użytkowników korzystających wyłącznie z IPv4, opublikowane w artykule IMC 2025. Lata „ochrony przed wyciekiem IPv6” na urządzeniu, a wyciek wciąż jest widoczny w danych.
Przejrzyste przejęcie DNS przez Twojego dostawcę usług internetowych
Niektórzy dostawcy usług internetowych przechwytują każde żądanie DNS opuszczające sieć na porcie 53 i przepuszczają je przez własny resolver, niezależnie od ustawionego serwera. To jest transparentne przechwytywanie DNS. Przeprowadź test szczelności, a zobaczysz, że resolver dostawcy usług internetowych nadal działa, mimo że skonfigurowałeś inny. System Windows pogarsza sytuację na dwa konkretne sposoby: Smart Multi-Homed Name Resolution (SMHNR), który rozsyła zapytania DNS z każdej karty sieciowej jednocześnie, oraz Teredo, usługa tunelowania IPv6, która dyskretnie otwiera drugą ścieżkę omijającą sieć VPN.
Wycieki z przeglądarki i WebRTC
WebRTC to funkcja przeglądarki umożliwiająca połączenia audio i wideo w czasie rzeczywistym. Jest to przydatne, ale może również ujawnić Twój lokalny i publiczny adres IP poprzez bezpośrednie żądania połączenia, całkowicie pomijając DNS. Ściśle rzecz biorąc, nie jest to wyciek DNS. Dobry test wycieku DNS i tak to wykryje, ponieważ wynik jest identyczny: Twój prawdziwy adres zostaje wyświetlony. Jak powszechny jest ten bałagan? Starsze, ale wciąż cytowane badanie z 2016 roku, przeprowadzone przez CSIRO i Macquarie University, obejmujące 283 aplikacje VPN na Androida, wykazało, że 66% wyciekło ruchu DNS, a 84% nigdy nie kierowało IPv6 przez tunel, co zostało udokumentowane w materiałach ACM IMC 2016. Dziewięć lat później nikt nie zaprzeczył tym liczbom.
Jak przeprowadzić bezpłatny test wycieku DNS i go odczytać
Przeprowadzenie testu to najłatwiejsza część. Czytanie go to miejsce, gdzie ludzie się potykają. Podłącz swoją sieć VPN, otwórz w przeglądarce darmową stronę z testem wycieku DNS i uruchom zarówno standardową, jak i rozszerzoną weryfikację. Kilka sekund później otrzymasz listę serwerów DNS, które odpowiedziały na Twoje pytania, z przypisanym właścicielem i lokalizacją. Teraz pozostaje tylko jedno pytanie: czy te serwery należą do Twojej sieci VPN, czy do Twojego dostawcy usług internetowych i Google?
Uruchom go dwa razy. Przeprowadź test wycieku DNS raz z wyłączoną siecią VPN, aby sprawdzić, jak wygląda serwer rozpoznawania nazw (resolver) Twojego dostawcy usług internetowych, a następnie ponownie z tunelem. Ten sam serwer dostawcy usług internetowych pojawia się w obu testach? To Twój wyciek, oczywisty jak słońce. Tylko serwer rozpoznawania nazw (resolver) Twojego VPN po połączeniu? DNS jest czysty, przynajmniej do następnego restartu, który nie potwierdzi tego.
| Co pokazuje test | Werdykt | Co robić |
|---|---|---|
| Tylko serwery DNS Twojej sieci VPN | Brak wycieku | Wszystko w porządku. Przetestuj ponownie po aktualizacjach. |
| Pojawia się resolver Twojego dostawcy usług internetowych | Wyciek DNS | Napraw poniższą przyczynę przed zaufaniem tunelowi |
| Google lub zewnętrzny resolver, którego nie ustawiłeś | Częściowy wyciek | Ustaw DNS ręcznie; sprawdź konfigurację routera |
| Inny serwer IPv6 niż IPv4 | Wyciek IPv6 | Wyłącz IPv6 lub użyj sieci VPN, która tuneluje protokół |
| Twój prawdziwy adres IP wyświetlany w polu WebRTC | Wyciek WebRTC | Wyłącz WebRTC w przeglądarce |
Dlaczego wycieki DNS mają znaczenie dla prywatności kryptowalut
Oto część pomijana przez serwisy recenzujące VPN. Dla użytkownika kryptowalut wyciek DNS jest gorszy niż dla przeciętnego użytkownika, ponieważ wypełnia lukę, której nadzór on-chain nie jest w stanie pokonać samodzielnie: powiązanie między tożsamością sieciową a portfelem.
Łączenie adresu IP z portfelem
Firmy zajmujące się analityką blockchain są bardzo dobre w grupowaniu adresów i śledzeniu przepływów środków. Nie potrafią jednak łatwo powiązać prawdziwej osoby z adresem bez wiedzy spoza łańcucha. Wyciek DNS jest właśnie taką wskazówką. Jeśli Twoje urządzenie przechwytuje wyszukiwania domen portfeli, stron eksploratorów bloków lub punktów końcowych RPC węzłów, a te zapytania zawierają Twój prawdziwy adres IP ze znacznikiem czasu, obserwator może powiązać ślad sieciowy z aktywnością w łańcuchu zachodzącą w tym samym momencie.
Logowania do giełdy i korelacja KYC
To jest najostrzejsza granica. Kiedy logujesz się do scentralizowanej giełdy, Twoje urządzenie wyszukuje domenę tej giełdy. Jeśli wyszukiwanie wycieknie do Twojego dostawcy usług internetowych, zostanie ono zarejestrowane na podstawie Twojego prawdziwego adresu IP. Twoja giełda już przechowuje Twoją zweryfikowaną tożsamość za pośrednictwem KYC. Teraz osoba trzecia może powiązać tę tożsamość z sesją, którą VPN miał ukryć . Branża analityki blockchain, która kupuje i przetwarza tego rodzaju korelację, była warta 2,99 miliarda dolarów w 2025 roku i przewiduje się, że będzie rosła o 22% rocznie, podczas gdy Chainalysis naliczył 154 miliardy dolarów wolumenu nielegalnych kryptowalut w 2025 roku w swoim 2026 raporcie o przestępczości kryptowalutowej — rynku z silną motywacją do łączenia każdego dostępnego punktu.
Co ślad DNS ujawnia o Tobie
Nawet bez zawartości Twojego ruchu, uporządkowana lista domen, które rozwiązujesz, stanowi odcisk palca behawioralnego. Która giełda, który portfel, który front-end DeFi, w jakiej kolejności, o której godzinie. Amerykańskie organy regulacyjne potwierdziły zapotrzebowanie na te dane: raport FTC z 2021 roku wykazał, że wszyscy sześciu głównych amerykańskich dostawców usług internetowych rejestrowało zapytania DNS i dane przeglądania, w raporcie dotyczącym gromadzenia danych przez dostawców usług internetowych . Uczciwie rzecz biorąc, żaden publiczny przypadek sądowy nie powiązał jeszcze deanonimizacji kryptograficznej z samym wyciekiem DNS. Możliwość ta jest dobrze udokumentowana, ale oskarżenie będące dowodem na to, że dane są bezdymnym, nie. Nie liczyłbym na to, że to się utrzyma.
Jak zapobiegać wyciekom DNS na każdym urządzeniu
Dobra wiadomość: rozwiązanie to krótkie menu, a nie maraton. Dopasuj dźwignię do tego, co faktycznie pokazał test, zamiast wpadać w paranoję i korzystać ze wszystkich sześciu. W praktyce większość osób potrzebuje dwóch, może trzech.
Napraw wycieki DNS w systemach Windows i macOS
W systemie Windows winowajcami są zazwyczaj inteligentne rozpoznawanie nazw wielodostępnych (Smart Multi-Homed Name Resolution) i karta Teredo. Wyłącz oba. Następnie przypnij statyczny serwer DNS do aktywnej karty sieciowej. W systemie macOS jest to łagodniejsze: ustaw DNS ręcznie w ustawieniach sieci, a następnie opróżnij pamięć podręczną poleceniem `sudo dscacheutil -flushcache`. W każdym razie, połącz się ponownie i ponownie przeprowadź test szczelności DNS. Lista serwerów rozpoznawania nazw (Resolver) zawiera tylko Twój VPN? Gotowe. Jeśli Twój stary serwer ISP nadal działa, wyciek pochodzi z niższego poziomu stosu.
Zablokuj router i IPv6
Czy Twoja sieć VPN odmawia tunelowania IPv6? Wyłącz IPv6 na poziomie systemu operacyjnego, aby zapytania nie miały drugiej drogi do celu. I nie zapomnij o routerze. Gdy sam router nadal wskazuje na DNS Twojego dostawcy usług internetowych, wyciek przesuwa się o jeden przeskok w górę, a Twoje staranne rozwiązanie na poziomie urządzenia po cichu ukrywa prawdziwy obraz. Skonfiguruj router tak, aby korzystał z resolwera, któremu ufasz, a każdy telefon, laptop i konsola, która się za nim znajduje, odziedziczy to ustawienie za darmo.
Ustawienia VPN i ochrona przed wyciekiem DNS
Otwórz klienta VPN i sprawdź trzy przełączniki: korzysta z własnych serwerów DNS, włączona jest ochrona przed wyciekiem DNS oraz włączony jest wyłącznik awaryjny. Te dwie ostatnie funkcje nie są identyczne, co ciągle wprowadza użytkowników w błąd. Wyłącznik awaryjny blokuje ruch w momencie zerwania szyfrowanego tunelu. Ochrona przed wyciekiem DNS wymusza na zapytaniach powrót przez ten tunel, gdy jest on nadal aktywny. Potrzebujesz obu. I chcesz je faktycznie sprawdzić, ponieważ „domyślne bezpieczeństwo” to slogan marketingowy, a nie obietnica.
| Przyczyna | Co widzisz w teście | Naprawić | Gdzie |
|---|---|---|---|
| Wyciek IPv6 | Rozwiązywacz IPv6 różni się od protokołu IPv4 | Wyłącz IPv6 lub przełącz VPN | System operacyjny / VPN |
| Przejęcie kontroli nad dostawcą usług internetowych | Rozwiązywacz ISP pomimo ręcznego DNS | Ustaw szyfrowany DNS (DoH lub DoT) | System operacyjny / router |
| Windows SMHNR lub Teredo | Wiele resolverów, jeden to ISP | Wyłącz SMHNR i Teredo | Okna |
| Router korzystający z DNS dostawcy usług internetowych | Ten sam wyciek na każdym urządzeniu | Ręczne ustawienie DNS routera | Router |
| Narażenie na WebRTC | Rzeczywisty adres IP w polu WebRTC | Wyłącz WebRTC | Przeglądarka |
Wybór serwera DNS, który nie przecieka
Zdanie testu wycieku DNS to tylko połowa sukcesu. Miejsce, w którym wskażesz resolver, liczy się tak samo jak tunel, ponieważ dostawca DNS rejestrujący dane nadal jest inwigilowany, tylko z bardziej przyjaznym logo. Cloudflare działa pod wersją 1.1.1.1, Quad9 pod 9.9.9.9, a Google pod 8.8.8.8. To samo zadanie, ale zupełnie inne zasady rejestrowania. Warto je przeczytać. Wybór tego, który został zarekomendowany na forum, to właśnie sposób, w jaki ludzie kończą „bez wycieków”, a mimo to są śledzeni.
Następnie zaszyfruj samo wyszukiwanie. Zarówno DNS przez HTTPS (DoH), jak i DNS przez TLS (DoT) owijają zapytanie, uniemożliwiając dostawcy usług internetowych jego odczytanie lub przechwycenie w trakcie transmisji. Prawie nikt się tym jednak nie przejmuje. Szyfrowane transporty obsłużyły jedynie około 11,3% zapytań DNS na początku 2026, a kompleksowa walidacja DNSSEC wykazała błąd zaokrąglenia 0,47% w pierwszym kwartale. Jedno ustawienie. Odwróć je, a po cichu dołączysz do niewielkiej, znacznie lepiej chronionej mniejszości.
Czy Twoja sieć VPN naprawdę zapobiega wyciekom DNS?
Potraktuj pole wyboru „Ochrona przed wyciekiem DNS” jako deklarację, a nie gwarancję. Wskaźniki wycieków z 2016 roku wciąż pojawiają się w nowych badaniach z 2025 roku, co wskazuje, że problem tkwi w sposobie, w jaki te klienty są tworzone, a nie jest czymś, co branża po cichu rozwiązuje. Korzystanie z VPN jest powszechne, ale i tak nie jest powszechne: 32% dorosłych Amerykanów przyznało się do korzystania z VPN w 2025 roku, co stanowi znaczny spadek w porównaniu z 46% rok wcześniej, według Security.org. Zasada jest więc nudna, ale działa. Przeprowadź test wycieku DNS w dniu instalacji VPN, ponownie po każdej dużej aktualizacji systemu operacyjnego oraz za każdym razem, gdy klient sam się połączy o 3 nad ranem, gdy nie patrzyłeś.
Co teraz zrobić w związku z testem wycieku DNS
VPN, który wycieka DNS, to narzędzie do ochrony prywatności, które kłamie prosto w twarz, a jedynym sposobem, aby je wykryć, jest sprawdzenie. Więc sprawdź. Przeprowadź test teraz, dwa razy, z wyłączonym i włączonym VPN. Usuń przyczynę, która faktycznie się pojawiła, skieruj urządzenie na szyfrowany resolver, którego zasady przeczytałeś, i przetestuj ponownie po kolejnej aktualizacji. Jeśli posiadasz kryptowaluty, traktuj swoją ścieżkę DNS jako część modelu zagrożenia, a nie jako coś drugorzędnego, ponieważ w tym przypadku wyciek jest mierzony na podstawie powiązanych tożsamości, a nie tylko historii przeglądania. Warto zastanowić się nad jednym pytaniem: jeśli Twoja konfiguracja przecieka przez cały ten czas, co już zapisał Twój dostawca usług internetowych?
