konstrukt
Информационная безопасность/Пробив-Сервис
Доверенный продавец
Проверенный продавец
Сервис
Пробив сервис
Подтвержденный
- Сообщения
- 170
- Реакции
- 45
- Продажи
- 6
- Покупки
- 13
- Кешбек
- 9.25$
Как проверить что VPN и Tor не течёт
Типы утечек
Прежде чем проверять — надо понимать что именно может течь.
IP утечка — твой реальный IP виден несмотря на VPN или Tor. Самый очевидный тип.
DNS утечка — VPN подключён, IP скрыт, но DNS запросы идут через провайдера. Сайты не видят твой IP но DNS сервер провайдера видит все домены к которым ты обращаешься.
WebRTC утечка — браузерный протокол WebRTC может раскрывать реальный IP напрямую через JavaScript даже при активном VPN. Работает потому что WebRTC использует STUN серверы для определения внешнего IP и делает это в обход VPN туннеля.
IPv6 утечка — большинство VPN туннелируют только IPv4 трафик. Если у тебя есть IPv6 адрес и VPN его не перекрывает — реальный IPv6 виден.
Утечка через время — паттерны активности коррелируют с реальным пользователем даже при скрытом IP.
Как проверять
IP и DNS
Базовая проверка: открыть в браузере несколько независимых сервисов одновременно и сравнить результаты. Один сервис может ошибаться или быть скомпрометирован — несколько независимых дадут точную картину.
Важный момент: проверять надо не только через браузер. Приложения могут использовать собственные DNS резолверы в обход системных настроек и в обход VPN. Проверка только через браузер не покажет утечки от других приложений.
Для DNS: nslookup или dig с конкретным запросом к известному домену. Смотреть какой DNS сервер отвечает — должен быть сервер VPN провайдера или публичный резолвер типа 1.1.1.1, не сервер твоего провайдера.
<span><span>dig whoami.akamai.net<br></span></span><span>dig TXT o-o.myaddr.l.google.com</span>
Эти запросы возвращают IP с которого пришёл запрос — видно реальный ли это IP или VPN.
WebRTC
Отключить WebRTC в браузере полностью если не используется. В Firefox: about:config, media.peerconnection.enabled в false. В Chrome через расширение или флаги запуска. Проверить через любой WebRTC leak тест.
IPv6
Проверить есть ли IPv6 адрес:
<span><span>ip addr show | grep inet6</span></span>
Если есть — убедиться что VPN блокирует IPv6 трафик или отключить IPv6 на уровне системы.
На Linux через sysctl:
<span><span>net.ipv6.conf.all.disable_ipv6 = 1<br></span></span><span>net.ipv6.conf.default.disable_ipv6 = 1</span>
Инструменты для анализа собственного трафика
Wireshark
Главный инструмент для анализа трафика. Захватывает все пакеты на сетевом интерфейсе и позволяет их детально анализировать. Для аудита VPN: запустить захват, подключиться к VPN, генерировать трафик, смотреть не появляется ли трафик на физическом интерфейсе в незашифрованном виде.
Фильтры которые полезны при аудите: показать только DNS трафик не через VPN интерфейс, показать трафик на определённый IP, найти незашифрованные соединения.
Конкретный сценарий: включить захват на физическом интерфейсе (eth0, wlan0), подключить VPN, открыть несколько сайтов. Если в захвате видны DNS запросы к реальным доменам — DNS течёт.
tcpdump
Консольный аналог Wireshark. Удобен для быстрого аудита и для скриптования.
bash
<span><span># Показать все DNS запросы</span><span><br></span></span><span><span>tcpdump -i any port </span><span>53</span><span><br></span></span><span><br></span><span><span></span><span># Показать трафик не через VPN интерфейс</span><span><br></span></span><span><span>tcpdump -i eth0 not </span><span>host</span><span> vpn_server_ip</span></span>
Если при активном VPN команда выдаёт трафик на eth0 кроме соединения с VPN сервером — что-то течёт мимо туннеля.
Portmaster
Упоминал раньше. Показывает в реальном времени какое приложение на какой IP подключается. Удобен для быстрого визуального аудита — сразу видно если какое-то приложение идёт мимо VPN.
Mullvad Browser + встроенные проверки
Mullvad Browser разработан совместно с Tor Project специально для использования с VPN. Встроенные защиты от WebRTC, fingerprinting, DNS утечек. Хорошая база для повседневного использования с VPN.
ipleak скрипт для bash
Быстрая проверка из терминала без браузера:
bash
<span><span>curl</span><span>
Запустить до VPN и после — сравнить результаты. Запустить с разных приложений чтобы убедиться что все идут через туннель.
Проверка kill switch
Kill switch это механизм который блокирует весь трафик если VPN соединение разрывается. Критически важная функция — без неё при дропе VPN трафик идёт напрямую.
Как проверить: включить VPN, принудительно разорвать соединение с VPN сервером (заблокировать IP сервера в файрволе), проверить доступен ли интернет. Если доступен — kill switch не работает или не включён.
На Linux через iptables можно настроить kill switch вручную независимо от VPN клиента:
bash
<span><span># Разрешить только трафик через VPN интерфейс</span><span><br></span></span><span>iptables -P OUTPUT DROP<br></span><span>iptables -A OUTPUT -o lo -j ACCEPT<br></span><span>iptables -A OUTPUT -o tun0 -j ACCEPT<br></span><span>iptables -A OUTPUT -d vpn_server_ip -j ACCEPT</span>
Проверка Tor
Базовая проверка
Зайти на check.torproject.org — официальный сервис который подтверждает что соединение идёт через Tor.
Проверка цепочки нодов
В Tor Browser через кнопку Circuit Information видна текущая цепочка — три ноды с их странами. Если exit нода из страны которая тебя не устраивает — новая цепочка через New Circuit for this Site.
DNS в Tor
DNS запросы в правильно настроенном Tor Browser и Tor системном прокси должны идти через сами ноды — не через локальный DNS резолвер. Проверить через tcpdump: при использовании Tor не должно быть исходящих DNS запросов на порт 53 с твоей машины.
Проверка что приложения реально идут через Tor
Не все приложения уважают системный прокси. Проверить через Wireshark или tcpdump — видно какой трафик идёт напрямую а какой через Tor порт (по умолчанию 9050 или 9150).
Комплексный подход
Разовая проверка не даёт полной картины. Правильный аудит это регулярная процедура:
Перед началом работы — базовая проверка IP и DNS. После обновлений VPN клиента или системы — полный аудит включая WebRTC и IPv6. После любых изменений в сетевых настройках — повторная проверка kill switch.
Инструменты дают данные — интерпретировать их надо с пониманием что именно ищешь. Wireshark покажет весь трафик но без понимания что там должно быть а чего не должно — просто поток данных.
Типы утечек
Прежде чем проверять — надо понимать что именно может течь.
IP утечка — твой реальный IP виден несмотря на VPN или Tor. Самый очевидный тип.
DNS утечка — VPN подключён, IP скрыт, но DNS запросы идут через провайдера. Сайты не видят твой IP но DNS сервер провайдера видит все домены к которым ты обращаешься.
WebRTC утечка — браузерный протокол WebRTC может раскрывать реальный IP напрямую через JavaScript даже при активном VPN. Работает потому что WebRTC использует STUN серверы для определения внешнего IP и делает это в обход VPN туннеля.
IPv6 утечка — большинство VPN туннелируют только IPv4 трафик. Если у тебя есть IPv6 адрес и VPN его не перекрывает — реальный IPv6 виден.
Утечка через время — паттерны активности коррелируют с реальным пользователем даже при скрытом IP.
Как проверять
IP и DNS
Базовая проверка: открыть в браузере несколько независимых сервисов одновременно и сравнить результаты. Один сервис может ошибаться или быть скомпрометирован — несколько независимых дадут точную картину.
Важный момент: проверять надо не только через браузер. Приложения могут использовать собственные DNS резолверы в обход системных настроек и в обход VPN. Проверка только через браузер не покажет утечки от других приложений.
Для DNS: nslookup или dig с конкретным запросом к известному домену. Смотреть какой DNS сервер отвечает — должен быть сервер VPN провайдера или публичный резолвер типа 1.1.1.1, не сервер твоего провайдера.
<span><span>dig whoami.akamai.net<br></span></span><span>dig TXT o-o.myaddr.l.google.com</span>
Эти запросы возвращают IP с которого пришёл запрос — видно реальный ли это IP или VPN.
WebRTC
Отключить WebRTC в браузере полностью если не используется. В Firefox: about:config, media.peerconnection.enabled в false. В Chrome через расширение или флаги запуска. Проверить через любой WebRTC leak тест.
IPv6
Проверить есть ли IPv6 адрес:
<span><span>ip addr show | grep inet6</span></span>
Если есть — убедиться что VPN блокирует IPv6 трафик или отключить IPv6 на уровне системы.
На Linux через sysctl:
<span><span>net.ipv6.conf.all.disable_ipv6 = 1<br></span></span><span>net.ipv6.conf.default.disable_ipv6 = 1</span>
Инструменты для анализа собственного трафика
Wireshark
Главный инструмент для анализа трафика. Захватывает все пакеты на сетевом интерфейсе и позволяет их детально анализировать. Для аудита VPN: запустить захват, подключиться к VPN, генерировать трафик, смотреть не появляется ли трафик на физическом интерфейсе в незашифрованном виде.
Фильтры которые полезны при аудите: показать только DNS трафик не через VPN интерфейс, показать трафик на определённый IP, найти незашифрованные соединения.
Конкретный сценарий: включить захват на физическом интерфейсе (eth0, wlan0), подключить VPN, открыть несколько сайтов. Если в захвате видны DNS запросы к реальным доменам — DNS течёт.
tcpdump
Консольный аналог Wireshark. Удобен для быстрого аудита и для скриптования.
bash
<span><span># Показать все DNS запросы</span><span><br></span></span><span><span>tcpdump -i any port </span><span>53</span><span><br></span></span><span><br></span><span><span></span><span># Показать трафик не через VPN интерфейс</span><span><br></span></span><span><span>tcpdump -i eth0 not </span><span>host</span><span> vpn_server_ip</span></span>
Если при активном VPN команда выдаёт трафик на eth0 кроме соединения с VPN сервером — что-то течёт мимо туннеля.
Portmaster
Упоминал раньше. Показывает в реальном времени какое приложение на какой IP подключается. Удобен для быстрого визуального аудита — сразу видно если какое-то приложение идёт мимо VPN.
Mullvad Browser + встроенные проверки
Mullvad Browser разработан совместно с Tor Project специально для использования с VPN. Встроенные защиты от WebRTC, fingerprinting, DNS утечек. Хорошая база для повседневного использования с VPN.
ipleak скрипт для bash
Быстрая проверка из терминала без браузера:
bash
<span><span>curl</span><span>
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
<br></span></span><span><span></span><span>curl</span><span>
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
</span></span>Запустить до VPN и после — сравнить результаты. Запустить с разных приложений чтобы убедиться что все идут через туннель.
Проверка kill switch
Kill switch это механизм который блокирует весь трафик если VPN соединение разрывается. Критически важная функция — без неё при дропе VPN трафик идёт напрямую.
Как проверить: включить VPN, принудительно разорвать соединение с VPN сервером (заблокировать IP сервера в файрволе), проверить доступен ли интернет. Если доступен — kill switch не работает или не включён.
На Linux через iptables можно настроить kill switch вручную независимо от VPN клиента:
bash
<span><span># Разрешить только трафик через VPN интерфейс</span><span><br></span></span><span>iptables -P OUTPUT DROP<br></span><span>iptables -A OUTPUT -o lo -j ACCEPT<br></span><span>iptables -A OUTPUT -o tun0 -j ACCEPT<br></span><span>iptables -A OUTPUT -d vpn_server_ip -j ACCEPT</span>
Проверка Tor
Базовая проверка
Зайти на check.torproject.org — официальный сервис который подтверждает что соединение идёт через Tor.
Проверка цепочки нодов
В Tor Browser через кнопку Circuit Information видна текущая цепочка — три ноды с их странами. Если exit нода из страны которая тебя не устраивает — новая цепочка через New Circuit for this Site.
DNS в Tor
DNS запросы в правильно настроенном Tor Browser и Tor системном прокси должны идти через сами ноды — не через локальный DNS резолвер. Проверить через tcpdump: при использовании Tor не должно быть исходящих DNS запросов на порт 53 с твоей машины.
Проверка что приложения реально идут через Tor
Не все приложения уважают системный прокси. Проверить через Wireshark или tcpdump — видно какой трафик идёт напрямую а какой через Tor порт (по умолчанию 9050 или 9150).
Комплексный подход
Разовая проверка не даёт полной картины. Правильный аудит это регулярная процедура:
Перед началом работы — базовая проверка IP и DNS. После обновлений VPN клиента или системы — полный аудит включая WebRTC и IPv6. После любых изменений в сетевых настройках — повторная проверка kill switch.
Инструменты дают данные — интерпретировать их надо с пониманием что именно ищешь. Wireshark покажет весь трафик но без понимания что там должно быть а чего не должно — просто поток данных.
