Тест на витік DNS: як перевірити наявність витоків DNS та виправити їх
Ваша VPN може показувати чисту IP-адресу в іншій країні, непомітно передаючи вашому інтернет-провайдеру список усіх сайтів, які ви відкривали. Ця прогалина має назву: витік DNS. Замок виглядає закритим, трафік виглядає приватним, але пошукові запити, які перетворюють доменне ім'я на адресу, вислизають крізь бічні двері у вигляді простого тексту. Швидкий тест на витік DNS – єдиний спосіб дізнатися, чи це відбувається з вами, і більшість людей, які вперше проводять його, здивовані тим, що виявляють.
У цьому посібнику пояснюється, що таке витік DNS, як перевірити наявність витоків DNS приблизно за тридцять секунд, як усунути причину наслідку та чому ставки вищі, якщо ви володієте криптовалютою. Цю останню частину майже жоден інший посібник не пояснює.
Що таке витік DNS і що витікає
Уявіть собі систему доменних імен як телефонну книгу Інтернету. Ви вводите доменне ім'я, ваш пристрій надсилає невеликий DNS-запит, а DNS-сервер повертає відповідну IP-адресу . Досить просто. Витік відбувається, коли цей пошук відхиляється від шляху, яким він мав би пройти. Замість того, щоб їхати через ваш зашифрований VPN-тунель до власного резолвера VPN, запит прослизає на DNS-сервер вашого інтернет-провайдера, зазвичай у вигляді звичайного тексту.
Нічого не «крадуть» у кіносенсі. Витікають метадані: упорядкований список сайтів, які ви намагалися відвідати, прив’язаний до вашої справжньої IP-адреси. Цього цілком достатньо. Використовуючи DNS таким чином, вашому інтернет-провайдеру ніколи не доведеться зчитувати жодного байта вашого фактичного трафіку, щоб дізнатися, що ви відкрили певну біржу, сервіс гаманця або якусь новинну сторінку о 11:47 у вівторок. Щоразу, коли ви відвідуєте веб-сайт, пошук має десь вирішитися, і десь полягає проблема. Ось що неприємно: витік ближче до налаштувань Інтернету за замовчуванням, ніж до рідкісного збою. Станом на лютий 2026 року близько 86,6% DNS-запитів у всьому світі все ще перетинають мережу як звичайний, незашифрований UDP, згідно з Cloudflare Radar . Зашифрований DNS є винятком, а не правилом.
Як відбувається витік DNS: IPv6, WebRTC, маршрутизатори
Більшість витоків інформації не є хитрими атаками. Це звичайна поведінка операційної системи, яку VPN ніколи повністю не ігнорує. Три причини пояснюють переважну більшість невдалих тестів.
IPv6 та витік, про який забув ваш VPN
Це тихий чемпіон з витоків DNS. Безліч VPN було створено для тунелювання IPv4 та обробки IPv6 як чужої проблеми. Тож, якщо у вашій операційній системі ввімкнено IPv6, а VPN отримує лише IPv4, ці DNS-запити IPv6 одразу ж виходять з тунелю. І це не гіпотетично. Рецензоване дослідження 2025 року, проведене Чо та Хайдеманном в ACM IMC, виявило, що 12 комерційних VPN витікають трафік IPv6 для приблизно від 5% до 57% їхніх користувачів лише IPv4, і опубліковане в їхній статті IMC 2025. Роки "захисту від витоків IPv6" на пристрої, а витік все ще існує в даних.
Прозорий викрадень DNS вашим інтернет-провайдером
Деякі інтернет-провайдери перехоплюють будь-який DNS-запит, що залишає вашу мережу на порту 53, і проштовхують його через власний резолвер, незалежно від того, який сервер ви налаштували. Це прозорий DNS-хайджекінг. Проведіть тест на витік, і ви побачите, що резолвер інтернет-провайдера дивиться у відповідь, навіть якщо ви налаштували інший. Windows погіршує ситуацію двома способами: Smart Multi-Homed Name Resolution (SMHNR), яка розповсюджує DNS-запити з кожного мережевого адаптера одночасно, і Teredo, служба тунелювання IPv6, яка непомітно відкриває другий шлях навколо VPN.
Витоки даних браузера та WebRTC
WebRTC – це функція браузера, яка забезпечує аудіо- та відеодзвінки в режимі реального часу. Зручна, але вона також може розкрити вашу локальну та публічну IP-адресу через прямі запити на підключення, повністю пропускаючи DNS. Строго кажучи, це не витік DNS. Хороший тест на витік DNS все одно перевіряє це, оскільки результат ідентичний: ваша справжня адреса зрештою відображається. Наскільки поширена ця проблема? Старіше, але досі цитоване дослідження CSIRO та Університету Маккуорі 2016 року, проведене щодо 283 VPN-додатків для Android, виявило, що 66% витікали DNS-трафік, а 84% ніколи не маршрутизували IPv6 через тунель, що задокументовано у матеріалах ACM IMC 2016. Дев'ять років потому ніхто не скасував ці цифри.
Як провести безкоштовний тест на витік DNS та прочитати його
Найлегше — це виконати тест. А от прочитати його — це те, де люди спіткнуться. Підключіть VPN, відкрийте безкоштовну сторінку тесту на витік DNS у браузері та виконайте як стандартну, так і розширену перевірку. Через кілька секунд ви отримаєте список DNS-резолверів, які дали вам відповідь, кожен із зазначенням власника та місцезнаходження. Тепер єдине важливе питання: чи належать ці резолвери до вашої VPN, чи до вашого інтернет-провайдера та Google?
Запустіть це двічі. Проведіть тест на витік DNS один раз з вимкненим VPN, щоб знати, як виглядає ваш голий резолвер інтернет-провайдера, а потім ще раз з відкритим тунелем. Той самий сервер інтернет-провайдера відображається в обох запусках? Це ваш витік, очевидно. Тільки резолвер вашого VPN під час підключення? Ви чисті на DNS, принаймні доки наступне перезавантаження не вирішить інакше.
| Що показує тест | Вердикт | Що робити |
|---|---|---|
| Тільки DNS-сервери вашої VPN | Без витоку | Все гаразд; перевірте після оновлення. |
| З’явиться резолвер вашого інтернет-провайдера | Витік DNS | Виправте причину, наведену нижче, перш ніж довіряти тунелю |
| Google або сторонній резолвер, який ви не налаштували | Частковий витік | Встановіть DNS вручну; перевірте конфігурацію маршрутизатора |
| Різний IPv6-сервер, ніж IPv4 | Витік IPv6 | Вимкніть IPv6 або використовуйте VPN, який тунелює його |
| Ваша справжня IP-адреса відображається в полі WebRTC | Витік WebRTC | Вимкнути WebRTC у браузері |
Чому витоки DNS важливі для конфіденційності криптовалют
Ось частина, яку пропускають сайти з оглядами VPN. Для криптокористувача витік DNS гірший, ніж для пересічної людини, оскільки він заповнює єдину прогалину, яку спостереження в мережі не може подолати самостійно: зв'язок між вашою мережевою ідентифікацією та вашим гаманцем.
Прив'язка вашої IP-адреси до гаманця
Фірми, що займаються аналітикою блокчейну, дуже добре справляються з кластеризацією адрес та відстеженням фондів. Що вони не можуть легко зробити, так це прив'язати реальну особу до адреси без підказки поза блокчейном. Витік DNS – це саме така підказка. Якщо ваш пристрій передає дані про пошук доменів гаманців, сайтів блокчейн-експертів або кінцевих точок RPC вузлів, і ці запити містять вашу реальну IP-адресу з міткою часу, спостерігач може співвіднести мережевий слід з активністю в блокчейні, що відбувається в той самий момент.
Вхідні дані біржі та кореляція KYC
Це найгостріша грань. Коли ви входите на централізовану біржу, ваш пристрій шукає домен цієї біржі. Якщо пошук просочується до вашого інтернет-провайдера, він реєструється за вашою справжньою IP-адресою. Ваша біржа вже зберігає вашу підтверджену особу через KYC. Тепер третя сторона може пов'язати цю особу із сеансом, який VPN мала приховати . Індустрія блокчейн-аналітики, яка купує та обробляє такий вид кореляції, у 2025 році оцінювалася в 2,99 мільярда доларів і, за прогнозами, зростатиме на 22% на рік, тоді як Chainalysis у своєму 2026 Звіті про криптозлочинність нарахував 154 мільярди доларів незаконного криптовалютного обсягу за 2025 рік — ринок із сильними стимулами для з'єднання кожної доступної точки.
Що DNS-слід розкриває про вас
Навіть без вмісту вашого трафіку, впорядкований список доменів, які ви вирішуєте, є поведінковим відбитком. Яка біржа, який гаманець, який DeFi-інтерфейс, у якій послідовності, о котрій годині? Регулятори США підтвердили зацікавленість у цих даних: у звіті співробітників FTC за 2021 рік було виявлено, що всі шість основних американських інтернет-провайдерів реєстрували DNS-запити та дані перегляду, у своєму звіті про збір даних інтернет-провайдерами . Справедливості заради, жодна публічна судова справа ще не пов'язала криптодеанонімізацію з витоком DNS окремо. Ця можливість добре задокументована; неопровержими доказами обвинувачення – ні. Я б не розраховував на те, що це залишиться правдою.
Як запобігти витокам DNS на кожному пристрої
Гарна новина: вирішення проблеми — це коротке меню, а не марафон. Зіставте важіль з тим, що показав ваш тест, замість того, щоб через параною набирати всі шість. На практиці більшості людей потрібно два, можливо, три.
Виправлення витоків DNS у Windows та macOS
У Windows звичайними винуватцями є Smart Multi-Homed Name Resolution та адаптер Teredo. Вимкніть їх. Потім закріпіть статичний DNS-сервер на активному мережевому адаптері. У macOS це м’якше: налаштуйте DNS вручну в налаштуваннях мережі, а потім очистіть кеш за допомогою `sudo dscacheutil -flushcache`. У будь-якому випадку, перепідключіться та ще раз запустіть тест на витік DNS. Список резолверів показує лише ваш VPN? Готово. Якщо ваш старий сервер інтернет-провайдера все ще працює, витік відбувається звідкись нижче в стеку.
Заблокуйте свій маршрутизатор та IPv6
Ваш VPN відмовляється тунелювати IPv6? Тоді вимкніть IPv6 на рівні операційної системи, щоб не було другого шляху для запитів. І не забудьте про маршрутизатор. Коли сам маршрутизатор все ще вказує на DNS вашого інтернет-провайдера, витік просто переміщується на один стрибок вгору, а ваше акуратне виправлення на рівні пристрою непомітно приховує справжню картину. Налаштуйте маршрутизатор на використання резолвера, якому ви довіряєте, і кожен телефон, ноутбук і консоль після нього успадкують це налаштування безкоштовно.
Налаштування VPN та захист від витоків DNS
Відкрийте свій VPN-клієнт і перевірте три перемикачі: він використовує власні DNS-сервери, увімкнено захист від витоків DNS та увімкнено функцію автоматичного відключення. Ці два останні перемикачі — це різні функції, які постійно збивають людей з пантелику. Функція автоматичного відключення повністю перериває ваш трафік у момент обриву зашифрованого тунелю. Захист від витоків DNS змушує ваші запити проходити назад через цей тунель, поки він ще працює. Вам потрібні обидва. І вам потрібно насправді на них подивитися, тому що «безпечно за замовчуванням» — це маркетинговий хід, а не обіцянка.
| Причина | Що ви бачите в тесті | Виправити | Де |
|---|---|---|---|
| Витік IPv6 | Резолвер IPv6 відрізняється від IPv4 | Вимкніть IPv6 або перемкніть VPN | ОС / VPN |
| Викрадання інтернет-провайдера | Резолвер інтернет-провайдера, незважаючи на ручне налаштування DNS | Встановити зашифрований DNS (DoH або DoT) | ОС / маршрутизатор |
| Windows SMHNR або Teredo | Кілька резолверів, один з яких є інтернет-провайдером | Вимкнути SMHNR та Teredo | Вікна |
| Маршрутизатор, що використовує DNS інтернет-провайдера | Той самий витік на кожному пристрої | Встановіть DNS маршрутизатора вручну | Маршрутизатор |
| Вплив WebRTC | Реальна IP-адреса в полі WebRTC | Вимкнути WebRTC | Браузер |
Вибір DNS-сервера, який не протікає
Проходження тесту на витік DNS – це лише половина перемоги. Куди ви вказуєте свій резолвер, це має стільки ж значення, скільки й тунель, оскільки постачальник DNS для реєстрації все ще є спостереженням, просто з більш дружнім логотипом. Cloudflare працює на версії 1.1.1.1, Quad9 – на версії 9.9.9.9, Google – на версії 8.8.8.8. Та сама робота, дуже різні політики реєстрації. Тож прочитайте їх. Вибір тієї, що рекомендувався в дописі на форумі, – це саме те, що допомагає людям залишатися «захищеними від витоків» і все одно відстежуватися.
Потім зашифруйте сам пошук. DNS через HTTPS (DoH) та DNS через TLS (DoT) обгортають запит, щоб ваш інтернет-провайдер не міг його прочитати або перехопити під час його виконання. Однак майже ніхто цим не переймається. Зашифровані транспорти обробили лише близько 11,3% DNS-запитів на початку 2026, а наскрізна перевірка DNSSEC за перший квартал мала похибку округлення 0,47%. Один параметр. Переверніть його, і ви непомітно приєднаєтеся до невеликої, набагато краще захищеної меншості.
Чи справді ваш VPN запобігає витокам DNS?
Ставтеся до прапорця «Захист від витоків DNS» як до заяви, а не до гарантії. Ці показники витоків за 2016 рік продовжують з’являтися у свіжих дослідженнях 2025 року, які показують, що проблема криється в тому, як побудовані ці клієнти, а не в тому, що галузь тихенько виправила. Використання VPN є поширеним, але навряд чи універсальним: 32% дорослих у США сказали, що використовували його у 2025 році, що різко менше, ніж 46% роком раніше, згідно з Security.org. Тож правило нудне, але воно працює. Проводьте тест на витік DNS у день встановлення VPN, знову після кожного великого оновлення ОС та щоразу, коли клієнт самостійно підключається о 3 годині ночі, поки ви не дивилися.
Що робити з вашим тестом на витік DNS зараз
VPN, який витікає DNS, – це інструмент конфіденційності, який бреше вам в обличчя, і єдиний спосіб викрити його в брехні – це подивитися. Тож подивіться. Запустіть тест зараз, двічі, з вимкненим і ввімкненим VPN. Виправте одну причину, яка насправді проявилася, направте свій пристрій на зашифрований резолвер, політику якого ви потрудилися прочитати, і повторіть тест після наступного оновлення. Якщо у вас є криптовалюта, розглядайте свій DNS-шлях як частину вашої моделі загрози, а не як додаткову думку, тому що тут витік вимірюється в пов’язаних ідентифікаторах, а не лише в історії переглядів. Варто подумати над одним питанням: якщо ваша конфігурація витікала весь цей час, що ваш інтернет-провайдер вже записав?
