佛跳墙:除了泄露数据的VPN,DNS测试工具也不靠谱

2019 年 2 月 26 日 宅客频道

天天把佛跳墙梗挂在嘴边的你,恐怕还不知道,看小片片的翻墙软件有可能泄露 DNS 数据,更可怕的是设备上的 DNS 测试工具显示结果也可能还是被人收买的。

近些年来,用户越来越注重隐私的保护,因此 VPN(无论免费还是付费)成了许多人接触网络世界的密匙。不过,许多人用起 VPN 来是病急乱投医,因此坏分子们也打起了坏主意,他们盯上了你的数据,而且让人无语的是,VPN 上的数据泄露都是偷偷摸摸的,如果不用工具测试都无法发现黑客们在背后做的手脚。

不过,如果没有擦亮眼睛可能就会用错工具,拿到的信息都是误导的。下面就要我们一步步告诉你,这些无良工具是如何误导你的,当然还会一并教你如何擦亮眼睛不被骗。

赛博世界处处有坑,心累,各位看官上眼吧。


什么是 DNS?DNS 泄露又是什么?

DNS 的功能其实很复杂,解释起来有些麻烦。你需要知道的是,DNS 系统的基本目的很简单。

DNS 工作起来就像个互联网的通讯录,它是用户设备与浏览器之间的中介。当用户通过域名搜索信息,比如 Hackread.com,浏览器就会与 DNS 服务器相互作用,后者会将域名转化进 IP 地址。这一步中 DNS 服务器必不可少,因为浏览器只能通过 IP 地址才能载入互联网资源。

有了 VPN 连接,ISP DNS 服务器(大多数设备的默认服务器)就能“搭上”匿名 VPN DNS。通过这一步骤,就能保证用户的浏览器活动和身份在 ISP 和其它互联网实体面前“隐形”。不过,VPN 太脆弱了,你的 DNS 可能会在使用 VPN 或其它隐私工具时遭到泄漏。

DNS 泄露时,VPN 肯定连着隐蔽的 DNS 请求呢,不过由于某些原因,这些请求被发去了 ISP DNS,而非匿名 DNS 服务器。确实,你能通过一些测试工具发现 DNS 泄露,但有些 VPN 卖家正是利用这点,借测试工具之手推销自家产品。


借分析结果嗅探无良工具

当然,我们并非让大家直接抛弃测试工具。在严重数据泄露发生之前,它确实是发现 DNS 数据泄露最好的工具。不过,一旦工具没选对,出来的结果可能会让你蒙圈。下面,我们就来看看两个生成误导 DNS 数据的原因:

  1. 你用的工具本身也经营 VPN 服务,它们想通过测试数据顺便推销自家产品。

  2. 只要不是独立第三方工具,都有可能被 VPN 服务商包养,从而影响测试结果的公正性。

当然,我们也不能一棍子打死,占了这两条的测试工具也有靠谱的。

为了让大家多个心眼,这里还是直接把分析 DNS 测试结果与寻找可以数据的方法放出来吧。

第一步,检查你真正的 DNS IP,这里可别连上 VPN。这一步无需太敏感,任何 DNS 泄露测试工具都能用。

第二步:连上你的 VPN,再随便选个 DNS 测试工具。

第三步:等待几秒种,直到测试工具跑完一遍。

结果出来了,准备对比你的 VPN DNS 信息吧。如果结果中包含 DNS IP 和位置(根据你的 VPN 服务器),那么你的 DNS 就没有泄露。不过,如果你找到了与你真实 IP、位置或 ISP 对应的信息,那么你的 VPN 就在出卖 DNS 信息了。

既然这么简单,还有什么让人迷惑的地方呢?

你在这里感觉迷惑是因为虽然结果看起来没问题,但屏幕上却出现了危险标识(一般是红色的),指示你的 VPN 正在泄露 DNS 或其他数据。许多人就是在这里蒙圈了,他们根本就没分析信息。

提醒你一下,在这里可别被吓到了,因为只要你的 VPN 工作正常,真实数据就不会泄露。因此,任何工具显示的都是错误警告,但屏幕上的 IP 确实属于你的 VPN 服务器。


图文并茂举个例子

为了让大家完全掌握分析技巧,我们还找了一些测试工具来验明正身,它们可都是搜索 DNS 泄露测试工具时在浏览器上最先蹦出来的。

在分析结果前,我们先交代下背景,这次测试用了两个 VPN——ExpressVPN 和 PIA VPN,服务器则完全相同。结果显示,这些工具中还真有蛀虫。

1 – DNSleaktest.com(权威工具)

虽然 DNSleaktest.com 也在打 VPN 广告,但它们可没收钱帮人办坏事,展示的结果没什么问题(如下图)。

从结果来看,用到的美国服务器及该位置的 IP 都没错,这就意味着 DNS 没有泄露。此外,该工具也不会出具结果声明,用户自己判断就好,这样就免去了出现误导信息的可能。

2- IPleak.net(权威工具)

IPleak.net 也是一身正气,不包含任何误导数据或声明(如下图)。

3.- DNSleak.com(误导性工具)

DNSleak.com 就有点手脚不干净了,它们在推销 PIA VPN 时,也顺便修改了测试结果误导用户(如下图)。

使用 ExpressVPN 时就显示危险,使用 PIA VPN 时则一切正常,明显是收了钱。

由于资源有限,本文中只测试了一部分工具,也许后来它们改邪归正或彻底黑化了也说不定。所以,在对待 DNS 泄露这个问题上还是不能掉以轻心,乖乖分析测试结果吧。

参考来源:Heakread

蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

薅羊毛 | 黑客武器库威胁猎人

剁手赚钱 0Day攻击 | 暗黑女主播

踩雷 |嗑药坐牢重归正途 | 内鬼

脑内植入


真相篇

拼多多将追回“薅羊毛”订单,包括已充话费和Q币订单

75条笑死人的知乎神回复,用60行代码就爬完了

不剁手也吃土?可能是挖矿木马掏空你的钱包

游戏黑产:我还在空中跳伞,就被人用拳头远程打死

都8012年了,英国卫生部门居然还在为“擦屁股”

与病毒名称相似,“捏脸”游戏ZEPETO涉嫌窃听?

扎心!Tumblr推AI鉴黄计划夺老司机“珍爱”

我报了个税,隐私就被扒光了?

黑客骗局:Ins网红落难记


人物篇


专访:“蹲坑神器”与它背后男人们不得不说的故事

磨刀人王伟:我前期砸了两个亿做这套方案

白帽汇的赵武摘掉了他的“帽子”|专访

数字联盟刘晶晶:四年只做一个产品

长亭科技陈宇森:我打破的四个质疑

薛锋:我眼中的威胁情报三年之变

“无锁不开”女黑客——skye

知道创宇赵伟:怼死“空气币”

李均:我眼中的黑客精神

风宁:自由追风者

更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注


登录查看更多
7

相关内容

域名系统(英文: Domain  Name  System, DNS)是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。
【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
192+阅读 · 2020年6月29日
【干货书】现代数据平台架构,636页pdf
专知会员服务
252+阅读 · 2020年6月15日
Python导论,476页pdf,现代Python计算
专知会员服务
258+阅读 · 2020年5月17日
干净的数据:数据清洗入门与实践,204页pdf
专知会员服务
161+阅读 · 2020年5月14日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
116+阅读 · 2020年5月10日
【实用书】流数据处理,Streaming Data,219页pdf
专知会员服务
76+阅读 · 2020年4月24日
【新书】Java企业微服务,Enterprise Java Microservices,272页pdf
ISeeYou一款强大的社工工具
黑白之道
30+阅读 · 2019年5月17日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
已删除
AI科技评论
4+阅读 · 2018年8月12日
码农日常工具推荐
架构文摘
4+阅读 · 2017年9月26日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
OCR 哪家强?反正我觉得这个工具是厉害的不得了。
高效率工具搜罗
4+阅读 · 2017年7月3日
Interpretable Adversarial Training for Text
Arxiv
5+阅读 · 2019年5月30日
Factor Graph Attention
Arxiv
6+阅读 · 2019年4月11日
Arxiv
12+阅读 · 2018年9月5日
Arxiv
6+阅读 · 2018年4月23日
Arxiv
8+阅读 · 2018年1月19日
VIP会员
相关VIP内容
【实用书】学习用Python编写代码进行数据分析,103页pdf
专知会员服务
192+阅读 · 2020年6月29日
【干货书】现代数据平台架构,636页pdf
专知会员服务
252+阅读 · 2020年6月15日
Python导论,476页pdf,现代Python计算
专知会员服务
258+阅读 · 2020年5月17日
干净的数据:数据清洗入门与实践,204页pdf
专知会员服务
161+阅读 · 2020年5月14日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
116+阅读 · 2020年5月10日
【实用书】流数据处理,Streaming Data,219页pdf
专知会员服务
76+阅读 · 2020年4月24日
【新书】Java企业微服务,Enterprise Java Microservices,272页pdf
相关资讯
ISeeYou一款强大的社工工具
黑白之道
30+阅读 · 2019年5月17日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
已删除
AI科技评论
4+阅读 · 2018年8月12日
码农日常工具推荐
架构文摘
4+阅读 · 2017年9月26日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
OCR 哪家强?反正我觉得这个工具是厉害的不得了。
高效率工具搜罗
4+阅读 · 2017年7月3日
相关论文
Interpretable Adversarial Training for Text
Arxiv
5+阅读 · 2019年5月30日
Factor Graph Attention
Arxiv
6+阅读 · 2019年4月11日
Arxiv
12+阅读 · 2018年9月5日
Arxiv
6+阅读 · 2018年4月23日
Arxiv
8+阅读 · 2018年1月19日
Top
微信扫码咨询专知VIP会员