Как использовать Tor Browser на Windows без утечки DNS-запросов

Если задача — использовать Tor Browser на Windows без утечки DNS-запросов, не нужно усложнять настройку десятком программ. В нормальной конфигурации Tor Browser сам отправляет DNS через сеть Tor, а не через Windows. Главная опасность обычно не в том, что Tor «сломался», а в том, что пользователь начинает менять прокси, ставить расширения, открывать ссылки в Chrome или Edge, запускать VPN со сплит-туннелем и параллельно держать включёнными приложения, которые продолжают ходить в интернет напрямую.

DNS-запрос — это обращение к «адресной книге» интернета. Например, вы вводите адрес сайта, а система спрашивает DNS-сервер, какой IP у этого домена. Утечка DNS означает, что этот вопрос ушёл не через Tor, а напрямую провайдеру, VPN, публичному DNS-серверу или другому наблюдателю.

Главное правило: Tor Browser защищает только тот трафик, который проходит через него. Если вы открыли сайт в Tor Browser, но потом перешли по ссылке в обычный браузер или скачанный файл открылся в программе с доступом к сети, DNS-запросы могут уйти мимо Tor.

Как Tor Browser должен работать в безопасной схеме

По умолчанию Tor Browser настроен так, чтобы использовать локальный SOCKS-прокси и отправлять имена сайтов через Tor. Это называется remote DNS: браузер не спрашивает Windows, какой IP у сайта, а передаёт имя сайта внутрь Tor-цепочки. Для обычных сайтов DNS-запрос обычно выполняется на стороне выхода из Tor, а для onion-адресов DNS вообще не нужен.

Поэтому базовая задача простая: оставить Tor Browser в заводской настройке и не создавать обходные пути. Не нужно вручную прописывать DNS-серверы, включать DoH, ставить расширения для «усиления Tor» или пытаться заставить Tor работать через случайный прокси.

Пошаговая настройка Tor Browser на Windows

  1. Скачайте Tor Browser только с официального сайта Tor Project. Не берите сборки с форумов, торрентов и сторонних зеркал. Если умеете проверять подпись файла — проверяйте. Если нет — хотя бы не усложняйте себе жизнь сомнительными источниками.
  2. Установите браузер и запускайте его без ручных прокси. На первом экране обычно достаточно нажать Connect. Если Tor у вас заблокирован, используйте встроенные Bridges через настройки соединения, а не сторонний «Tor VPN» или прокси из случайной инструкции.
  3. Не меняйте настройки сети внутри Tor Browser. Особенно не трогайте параметры вроде SOCKS remote DNS. В Tor Browser это должно оставаться включённым. Если переключить такое значение, браузер может начать спрашивать DNS у Windows до входа в Tor.
  4. Не ставьте расширения. Tor Browser уже содержит нужные защиты. VPN-расширения, прокси-плагины, ускорители, блокировщики «для анонимности» и скрипты часто ломают схему маршрутизации или добавляют свой трафик.
  5. Перед началом закройте лишние браузеры и программы. Chrome, Edge, Discord, Telegram, OneDrive, игровые лаунчеры, торрент-клиенты и облачные синхронизаторы могут сами делать DNS-запросы. К Tor Browser это отношения не имеет, но если ваша цель — чтобы Windows не отправляла лишние DNS-запросы во время сессии, эти программы лучше закрыть.
  6. Проверьте, что браузер действительно подключён к Tor. Откройте check.torproject.org. Если страница говорит, что браузер настроен на использование Tor, базовая проверка пройдена. Если нет — не продолжайте работу, пока не разобрались.
  7. Пользуйтесь только Tor Browser для этих ссылок. Не копируйте ссылки в обычный браузер, не открывайте их через почтовый клиент, мессенджер или программу для заметок, если она умеет подтягивать ссылки из интернета.
  8. После работы закрывайте Tor Browser полностью. Не оставляйте его висеть в фоне. Если нужна новая чистая сессия, используйте New Identity, но помните: это сбрасывает состояние Tor Browser, а не закрывает другие программы на Windows.

Как проверить, нет ли утечки DNS

Проверки бывают двух типов: простая sanity check для самого Tor Browser и более строгая проверка Windows в целом. Их не стоит путать.

Проверка Что показывает На что не стоит рассчитывать
check.torproject.org в Tor Browser Подтверждает, что браузер работает через Tor. Не проверяет DNS-утечки других программ Windows.
DNS leak test внутри Tor Browser Показывает DNS-резолвер, который видит сайт через Tor-выход. Не доказывает, что вся Windows не делает прямые DNS-запросы.
DNS leak test в обычном браузере при включённом VPN Помогает понять, утекает ли DNS самого VPN-соединения. Не проверяет Tor Browser напрямую.
Wireshark или другой анализ трафика Может показать прямые DNS-запросы от процессов Windows. Требует аккуратной интерпретации: Windows часто делает свои запросы независимо от Tor.

Если вы открыли DNS leak test внутри Tor Browser и увидели там своего домашнего провайдера или свой город в качестве DNS-резолвера, это плохой признак. Но если тест показывает какой-то неизвестный резолвер или страну, отличную от вашей, это не обязательно утечка: так может выглядеть выходной узел Tor.

Команды вроде nslookup или ping в командной строке Windows не проверяют Tor Browser. Они проверяют DNS Windows. Если вы ввели там домен, запрос уйдёт через системную настройку DNS, а не через Tor.

VPN рядом с Tor: когда он помогает, а когда создаёт лишние риски

VPN не нужен для того, чтобы Tor Browser не сливал DNS. Сам Tor Browser уже решает эту задачу, если его не ломать ручными настройками. VPN может понадобиться в другой ситуации: например, если вы не хотите, чтобы провайдер видел сам факт подключения к Tor, или если вы работаете из сети, где Tor напрямую блокируют.

Если используете VPN, безопаснее подключать его до запуска Tor Browser. Схема такая: включили VPN, проверили, что он работает, отключили сплит-туннелирование, проверили DNS-утечки в обычном браузере, и только потом запустили Tor Browser.

Ситуация Что делать Риск DNS-утечки
Обычная приватная работа через Tor на Windows Использовать Tor Browser с настройками по умолчанию. Низкий для самого Tor Browser, если не менять сеть и не открывать ссылки в других программах.
VPN включён до Tor Browser Проверить VPN на DNS-утечки, отключить сплит-туннелирование, включить kill switch. Низкий, если VPN не сливает DNS и не исключает Tor Browser из туннеля.
VPN включён после Tor Browser Не использовать как стандартную схему без понимания последствий. Может запутать маршрут и дать ложное чувство защиты.
Сплит-туннелирование VPN Отключить для браузеров и сетевых приложений. Высокий: часть программ может идти напрямую мимо VPN.
Ручная смена DNS в Windows Не считать это защитой Tor Browser. Не решает задачу DNS через Tor и может раскрыть активность других приложений выбранному DNS-провайдеру.
Высокий уровень риска Рассмотреть
Оцените статью
PEFile — Безопасность и технологии простым языком