Fatduck Wiki

公司如果通过监控员工的上网记录来了解员工动态，员工如何防范呢。我们要从DNS解析开始，让网址的DNS解析也不能够被发现。VPN和SSH隧道是我们常用的加密网络的办法。它们可以保证DNS数据不被监控吗？

VPN当我们开启VPN后，包括DNS在内的数据包，都通过VPN的链路来访问。这样都是加密的，从我们的计算机到VPN服务器路由上的所有计算机都挖掘不出我们上网的网址。开启VPN后，路由如下：

$ ip r

50.16.227.67 via 192.168.1.1 dev wlan0 proto static

50.16.227.67 via 192.168.1.1 dev wlan0 src 192.168.1.100

192.168.240.1 dev ppp0 proto kernel scope link src 192.168.240.2

192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.100 metric 2

169.254.0.0/16 dev wlan0 scope link metric 1000

default dev ppp0 proto static

去往因特网的数据包，除了VPN的因特网地址50.16.227.67（该IP已不属于本人）外，网关都是VPN连接ppp0。这么说，DNS也不例外。通过试验来检验一下。

开始抓包，并立刻连接VPN。之间我用Firefox打开书签中的各种网页，还用Chromium做了类似的尝试，还开了Xchat, Seamonky, Skype, Pidgin, Thunderbird, Gwibber等互联网程序。总共抓取了186855个包。按理说，除了连接VPN服务器的DNS包外，不应该出现别的DNS包。实际上我抓到了14条漏网之鱼：