Teste de Vazamento de DNS: Como Verificar e Corrigir Vazamentos de DNS
Sua VPN pode exibir um IP limpo em outro país, enquanto silenciosamente entrega ao seu provedor de internet uma lista de todos os sites que você acessou. Essa brecha tem um nome: vazamento de DNS. O cadeado parece fechado, o tráfego parece privado, mas as consultas que transformam um nome de domínio em um endereço escapam pela porta dos fundos em texto não criptografado. Um teste rápido de vazamento de DNS é a única maneira de saber se isso está acontecendo com você, e a maioria das pessoas que o executam pela primeira vez se surpreende com o que encontram.
Este guia explica o que é um vazamento de DNS, como verificar vazamentos de DNS em cerca de trinta segundos, como corrigir a causa do problema e por que os riscos são maiores se você possui criptomoedas. Essa última parte é algo que quase nenhum outro guia se preocupa em explicar.
O que é um vazamento de DNS e o que vaza?
Pense no Sistema de Nomes de Domínio (DNS) como a lista telefônica da internet. Você digita um nome de domínio, seu dispositivo envia uma pequena solicitação DNS e um servidor DNS retorna o endereço IP correspondente. Simples assim. O problema ocorre quando essa consulta se desvia do caminho correto. Em vez de usar o túnel criptografado da sua VPN para chegar ao servidor DNS da própria VPN, a consulta vaza para o servidor DNS do seu provedor de internet, geralmente em texto não criptografado.
Nada é "roubado" no sentido cinematográfico. O que vaza são metadados: a lista ordenada de sites que você tentou visitar, associada ao seu endereço IP real. Isso já é suficiente. Usando o DNS dessa forma, seu provedor de internet nunca precisa ler um único byte do seu tráfego real para saber que você acessou uma corretora específica, um serviço de carteira digital ou alguma página de notícias às 11h47 de uma terça-feira. Toda vez que você visita um site, a consulta precisa ser resolvida em algum lugar, e é aí que reside o problema. E aqui está a parte preocupante: o vazamento de dados está mais próximo da configuração padrão da web do que de uma falha rara. Em fevereiro de 2026, cerca de 86,6% das consultas de DNS em todo o mundo ainda trafegavam pela rede como UDP simples e não criptografado, de acordo com o Cloudflare Radar . O DNS criptografado é a exceção, não a regra.
Como ocorre um vazamento de DNS: IPv6, WebRTC, roteadores
A maioria dos vazamentos não resulta de ataques sofisticados. Trata-se de comportamentos comuns do sistema operacional que a VPN nunca conseguiu neutralizar completamente. Três causas são responsáveis pela grande maioria dos testes falhos.
IPv6 e o vazamento que sua VPN esqueceu
Este é o campeão silencioso dos vazamentos de DNS. Muitas VPNs foram projetadas para tunelar IPv4 e tratar o IPv6 como problema de terceiros. Portanto, se o seu sistema operacional tiver o IPv6 ativado e a VPN capturar apenas IPv4, essas consultas de DNS IPv6 simplesmente saem pelo túnel. E não é uma hipótese. Um estudo revisado por pares, de 2025, conduzido por Cho e Heidemann na ACM IMC, identificou 12 VPNs comerciais com vazamento de tráfego IPv6 para algo entre 5% e 57% de seus usuários que utilizam apenas IPv4, conforme publicado em seu artigo na IMC 2025. Anos de "proteção contra vazamento de IPv6" no dispositivo, e o vazamento ainda está lá, nos dados.
Sequestro transparente de DNS pelo seu provedor de internet.
Alguns provedores de internet interceptam qualquer requisição DNS que sai da sua rede pela porta 53 e a encaminham através do próprio resolvedor, independentemente do servidor que você configurou. Isso é um sequestro de DNS transparente. Execute um teste de vazamento e você verá o resolvedor do seu provedor de internet sendo utilizado, mesmo que você tenha configurado um diferente. O Windows agrava a situação de duas maneiras específicas: o Smart Multi-Homed Name Resolution (SMHNR), que envia consultas DNS por todas as placas de rede simultaneamente, e o Teredo, um serviço de tunelamento IPv6 que silenciosamente abre um segundo caminho ao redor da VPN.
Vazamentos de navegador e WebRTC
O WebRTC é o recurso do navegador por trás das chamadas de áudio e vídeo em tempo real. Prático, mas também pode expor seu IP local e público por meio de solicitações de conexão direta, ignorando completamente o DNS. Tecnicamente, isso não é um vazamento de DNS. Um bom teste de vazamento de DNS verifica isso de qualquer maneira, porque o resultado é idêntico: seu endereço real acaba sendo exibido. Quão comum é esse problema? Um estudo mais antigo, mas ainda citado, de 2016, da CSIRO e da Universidade Macquarie, com 283 aplicativos VPN para Android, descobriu que 66% vazavam tráfego DNS e 84% nunca roteavam IPv6 pelo túnel, conforme documentado nos anais do ACM IMC 2016. Nove anos depois, ninguém conseguiu reverter esses números.
Como executar um teste gratuito de vazamento de DNS e interpretá-lo.
Executar o teste é a parte fácil. O problema está em interpretá-lo. Conecte sua VPN, abra uma página gratuita de teste de vazamento de DNS no seu navegador e execute tanto a verificação padrão quanto a estendida. Alguns segundos depois, você verá uma lista dos servidores DNS que responderam, cada um com um proprietário e uma localização associados. Agora, a única pergunta que importa é: esses servidores DNS pertencem à sua VPN, ao seu provedor de internet ou ao Google?
Execute o teste duas vezes. Faça o teste de vazamento de DNS uma vez com a VPN desligada, para saber como o servidor DNS do seu provedor de internet se comporta, e depois novamente com o túnel conectado. O mesmo servidor do provedor de internet aparece nos dois testes? Esse é o seu vazamento, bem claro. Apenas o servidor DNS da sua VPN aparece quando conectado? Seu DNS está limpo, pelo menos até a próxima reinicialização.
| O que o teste mostra | Veredicto | O que fazer |
|---|---|---|
| Somente os servidores DNS da sua VPN | Sem vazamentos | Está tudo bem; faça o teste novamente após as atualizações. |
| O resolvedor do seu provedor de internet aparece | Vazamento de DNS | Corrija a causa abaixo antes de confiar no túnel. |
| Google ou um resolvedor de terceiros que você não configurou | Vazamento parcial | Configure o DNS manualmente; verifique a configuração do roteador. |
| Servidor IPv6 diferente do IPv4. | Vazamento de IPv6 | Desative o IPv6 ou use uma VPN que faça o tunelamento. |
| Seu endereço IP real exibido em um campo WebRTC | Vazamento de WebRTC | Desative o WebRTC no navegador. |
Por que os vazamentos de DNS são importantes para a privacidade das criptomoedas?
Eis a parte que os sites de avaliação de VPN omitem. Para um usuário de criptomoedas, um vazamento de DNS é pior do que para a pessoa comum, porque ele preenche a única lacuna que a vigilância on-chain não consegue transpor sozinha: a ligação entre sua identidade na rede e sua carteira.
Vincular seu endereço IP a uma carteira
Empresas de análise de blockchain são muito boas em agrupar endereços e rastrear fundos. O que elas não conseguem fazer facilmente é associar uma pessoa real a um endereço sem uma pista externa à blockchain. Um vazamento de DNS é exatamente essa pista. Se o seu dispositivo vaza consultas para domínios de carteiras, sites de exploradores de blocos ou endpoints RPC de nós, e essas consultas carregam seu IP real com um registro de data e hora, um observador pode correlacionar o rastro na rede com a atividade on-chain que ocorre no mesmo instante.
Correlação entre logins de exchanges e KYC
Este é o ponto mais crítico. Quando você se conecta a uma corretora centralizada, seu dispositivo consulta o domínio dessa corretora. Se essa consulta vazar para o seu provedor de internet, ela será registrada em seu endereço IP real. Sua corretora já possui sua identidade verificada por meio do KYC (Conheça Seu Cliente). Agora, um terceiro pode vincular essa identidade a uma sessão que a VPN deveria ocultar . O setor de análise de blockchain, que compra e processa esse tipo de correlação, movimentou US$ 2,99 bilhões em 2025 e tem projeção de crescimento de 22% ao ano, enquanto a Chainalysis contabilizou US$ 154 bilhões em volume de criptomoedas ilícitas em 2025, em seu Relatório de Crimes com Criptomoedas — um mercado com fortes incentivos para conectar todos os pontos disponíveis.
O que um rastro de DNS revela sobre você
Mesmo sem o conteúdo do seu tráfego, a lista ordenada de domínios que você acessa é uma impressão digital comportamental. Qual exchange, qual carteira, qual plataforma DeFi, em qual sequência, a que horas. Os reguladores dos EUA confirmaram o interesse nesses dados: um relatório da FTC de 2021 constatou que todos os seis principais provedores de internet americanos registravam consultas de DNS e dados de navegação, em seu relatório sobre coleta de dados de provedores de internet . Para ser justo, nenhum caso judicial público ainda conseguiu comprovar a desanonimização de criptomoedas apenas com base em um vazamento de DNS. A capacidade de fazê-lo está bem documentada; a prova irrefutável, não. Eu não apostaria que isso se manterá.
Como evitar vazamentos de DNS em todos os dispositivos
Boas notícias: a solução é simples, não uma maratona. Ajuste a alavanca de acordo com o resultado do seu teste, em vez de testar todas as seis opções por paranoia. Na prática, a maioria das pessoas precisa de duas, talvez três.
Corrigir vazamentos de DNS no Windows e macOS
No Windows, os culpados mais comuns são a Resolução de Nomes Multi-Home Inteligente e o adaptador Teredo. Desative ambos. Em seguida, fixe um servidor DNS estático no seu adaptador de rede ativo. No macOS, o processo é mais suave: defina seu DNS manualmente nas configurações de Rede e limpe o cache com `sudo dscacheutil -flushcache`. De qualquer forma, reconecte-se e execute o teste de vazamento de DNS mais uma vez. A lista de resolvedores mostra apenas sua VPN? Pronto. Se o servidor antigo do seu provedor de internet ainda estiver ativo, o vazamento está vindo de algum lugar mais abaixo na cadeia de protocolos.
Proteja seu roteador e IPv6.
Sua VPN se recusa a tunelar IPv6? Então desative o IPv6 no nível do sistema operacional, para que não haja um segundo caminho para as consultas. E não se esqueça do roteador. Quando o próprio roteador ainda aponta para o DNS do seu provedor de internet, o vazamento simplesmente se desloca um salto para cima, e sua solução improvisada no nível do dispositivo oculta silenciosamente o problema real. Configure o roteador para usar um servidor DNS confiável, e todos os telefones, laptops e consoles conectados a ele herdarão a configuração automaticamente.
Configurações de VPN e proteção contra vazamento de DNS
Abra seu cliente VPN e verifique três opções: ele usa seus próprios servidores DNS, a proteção contra vazamento de DNS está ativada e o kill switch está ativado. Essas duas últimas não são a mesma coisa, o que confunde muita gente. O kill switch interrompe seu tráfego assim que o túnel criptografado cai. A proteção contra vazamento de DNS força suas consultas de volta pelo túnel enquanto ele ainda estiver ativo. Você precisa de ambas. E precisa verificar se estão ativadas ou desativadas, porque "seguro por padrão" é apenas um slogan de marketing, não uma promessa.
| Causa | O que você vê no teste | Consertar | Onde |
|---|---|---|---|
| Vazamento de IPv6 | O resolvedor IPv6 difere do IPv4. | Desative o IPv6 ou troque de VPN. | SO / VPN |
| sequestro de ISP | O servidor DNS do provedor de internet resolve o problema apesar do DNS manual. | Configure o DNS criptografado (DoH ou DoT) | SO / roteador |
| Windows SMHNR ou Teredo | Vários resolvedores, um deles é o provedor de internet. | Desative SMHNR e Teredo | Windows |
| Roteador usando DNS do provedor de internet | O mesmo vazamento ocorre em todos os dispositivos. | Configure o DNS do roteador manualmente. | Roteador |
| Exposição WebRTC | IP real em um campo WebRTC | Desativar WebRTC | Navegador |
Escolher um servidor DNS que não vaze informações
Passar num teste de vazamento de DNS é apenas metade da vitória. Para onde você aponta seu resolvedor é tão importante quanto o túnel, porque um provedor de DNS que registra logs ainda é vigilância, só que com um logotipo mais amigável. O Cloudflare usa o endereço 1.1.1.1, o Quad9 usa o 9.9.9.9 e o Google usa o 8.8.8.8. A função é a mesma, mas as políticas de registro são muito diferentes. Portanto, leia-as atentamente. Escolher o que for recomendado em um fórum é exatamente como as pessoas acabam "sem vazamentos", mas ainda assim sendo rastreadas.
Em seguida, criptografe a própria consulta. Tanto o DNS sobre HTTPS (DoH) quanto o DNS sobre TLS (DoT) encapsulam a consulta para que seu provedor de internet não possa lê-la ou interceptá-la durante a transmissão. Quase ninguém se preocupa com isso, no entanto. Os protocolos criptografados processaram apenas cerca de 11,3% das consultas de DNS no início de 2018, e a validação DNSSEC de ponta a ponta apresentou um índice próximo a 0,47% no primeiro trimestre. Uma única configuração. Ao alterá-la, você se junta silenciosamente a uma pequena minoria, muito mais bem protegida.
Sua VPN realmente impede vazamentos de DNS?
Considere a opção "proteção contra vazamento de DNS" como uma afirmação, não uma garantia. As taxas de vazamento de DNS registradas em 2016 continuam aparecendo em pesquisas recentes de 2025, o que indica que o problema está intrínseco à forma como esses clientes são construídos, e não algo que a indústria tenha corrigido silenciosamente. O uso de VPN é comum, mas está longe de ser universal: 32% dos adultos nos EUA disseram usar uma em 2025, uma queda acentuada em relação aos 46% do ano anterior, segundo o Security.org. Portanto, a regra é tediosa, mas funciona. Execute um teste de vazamento de DNS no dia em que instalar uma VPN, novamente após cada atualização importante do sistema operacional e sempre que o cliente se reconectar sozinho às 3h da manhã enquanto você não estiver olhando.
O que fazer agora em relação ao seu teste de vazamento de DNS?
Uma VPN que vaza DNS é uma ferramenta de privacidade que mente descaradamente, e a única maneira de pegá-la mentindo é investigando. Então, investigue. Execute o teste agora, duas vezes, com a VPN desligada e ligada. Corrija a única causa que realmente apareceu, configure seu dispositivo para usar um servidor DNS criptografado cuja política você se deu ao trabalho de ler e teste novamente após a próxima atualização. Se você possui criptomoedas, considere seu caminho de DNS como parte do seu modelo de ameaças, não como algo secundário, porque aqui um vazamento é medido em identidades vinculadas, não apenas no histórico de navegação. Uma pergunta que vale a pena refletir: se sua configuração estava vazando dados o tempo todo, o que seu provedor de internet já registrou?
