Adakah setiap VPN mempunyai suis bunuh?

Tidak. Sesetengah apl VPN percuma atau rendah tidak menyertakan satu atau menyembunyikannya di sebalik tetapan tanpa dokumen. Sebelum bergantung pada VPN untuk perkara yang serius, sahkan suis bunuh wujud dan berfungsi pada platform anda. Mullvad, ProtonVPN, NordVPN, dan ExpressVPN semuanya menghantar satu; banyak pembekal percuma tidak.

Adakah suis mematikan akan memotong internet saya sepenuhnya?

Ya, itulah hakikatnya. Apabila terowong turun, suis bunuh menyekat semua trafik bukan VPN. Internet kelihatan "rusak" sehingga anda sama ada menyambung semula VPN atau melumpuhkan suis bunuh. Bagi kebanyakan pengguna ini adalah pertukaran yang betul; bagi sesetengah orang, ia mengecewakan semasa ribut penyambungan semula yang lama pada rangkaian yang tidak stabil.

Adakah suis bunuh sama dengan "VPN sentiasa hidup"?

Mereka bertindih. VPN sentiasa hidup memberitahu OS untuk menyambung VPN secara automatik dan menolak trafik sehingga ia berjaya. Suis bunuh bertindak balas terhadap kejatuhan VPN. Android moden menggabungkan kedua-duanya — "VPN Sentiasa hidup + Sekat sambungan tanpa VPN" secara berkesan adalah suis bunuh yang dikuatkuasakan oleh OS.

Bolehkah saya membina suis bunuh saya sendiri dengan iptables atau pf?

Ya, dengan mudah. Coraknya ialah: benarkan gelung balik, benarkan trafik ke IP pelayan VPN anda pada portnya, benarkan trafik pada antara muka terowong (cth., tun0 atau wg0), lepaskan semua yang lain. Banyak tetapan WireGuard yang dihoskan sendiri menggunakan coretan tembok api ini dengan tepat.

Adakah suis bunuh melindungi daripada kebocoran DNS?

Jika dilaksanakan dengan betul, ya — kerana paket DNS yang cuba melarikan diri di luar terowong disekat bersama-sama dengan yang lain. Tetapi ini menganggap klien VPN mengkonfigurasi DNS untuk menggunakan penyelesai yang boleh dicapai hanya melalui terowong. Sahkan dengan ujian kebocoran DNS kami .

Suis Pembunuh VPN Dijelaskan: Kunci Rangkaian, VPN Sentiasa Dihidupkan dan Mengapa Ia Penting

Seluruh tugas VPN adalah untuk menghalang IP sebenar dan trafik anda daripada terdedah. Tetapi VPN memutuskan sambungan — rangkaian berubah, komputer riba tidur, proses ranap. Suis bunuh ialah jaring keselamatan yang menyekat semua trafik rangkaian apabila terowong terputus, jadi tetingkap penyambungan semula ringkas tidak menjadi peristiwa kebocoran IP. Setiap kes penggunaan privasi yang serius memerlukan satu.

Badan artikel penuh disediakan dalam bahasa Inggeris di bawah.

A VPN suis bunuh (kadangkala dipanggil "kunci rangkaian" atau "suis bunuh internet") ialah peraturan tembok api yang membenarkan trafik keluar dari peranti anda hanya melalui terowong VPN. Sebaik terowong jatuh, semua yang lain disekat. Hasilnya: tiada sandaran teks biasa, tiada kebocoran DNS kepada ISP anda, tiada apl yang menyambung semula secara senyap melalui rangkaian sebenar semasa anda tidak melihat.

Mengapa suis bunuh bukan pilihan untuk penggunaan berkepentingan tinggi

VPN terputus sambungan lebih kerap daripada yang kebanyakan pengguna sedar. Wi-Fi menjatuhkan satu paket, komputer riba tidur, anda berjalan di antara AP, pembawa memberi anda IP baharu, pelayan VPN but semula. Setiap peristiwa tersebut menyebabkan terowong berunding semula, dan semasa jurang rundingan semula OS akan dengan senang hati menghalakan trafik melalui rangkaian asas jika anda membenarkannya. Pelanggan torrent peringkat sistem pengendalian, pengemas kini sistem dan perkhidmatan awan yang disegerakkan semuanya menyambung semula secara agresif pada sebarang perubahan rangkaian — IP sebenar anda boleh muncul di destinasi dalam masa milisaat selepas terowong menurun.

Bagi seseorang yang menggunakan VPN untuk memintas sekatan serantau, kebocoran ringkas adalah menjengkelkan. Bagi seorang wartawan, aktivis atau sesiapa sahaja yang VPNnya adalah sebahagian daripada model ancaman sebenar, satu sambungan yang bocor boleh menjadi kompromi keseluruhannya.

Cara suis bunuh sebenar dilaksanakan

TTerdapat dua mekanisme yang boleh dipercayai:

PLZ peraturan pemasangan dinding klien7: peraturan pemasangan dinding klien VPN7XPLZ (iptables pada Linux, pfctl pada macOS, Platform Penapisan Windows pada Windows) yang menjatuhkan mana-mana paket yang tidak terikat pada antara muka terowong VPN. Apabila terowong turun, peraturan kekal; tiada apa yang terlepas.
Rampasan laluan lalai dengan lubang benam: pelanggan menetapkan get laluan lalai sistem ke terowong dan enggan mengalih keluar laluan itu walaupun terowong gagal. Sebarang paket yang sepadan dengan laluan lalai akan jatuh ke dalam lubang hitam.

Alternatif tipis — gelung pengundian yang memerhatikan proses VPN dan melumpuhkan rangkaian apabila ia melihat proses ranap — mempunyai tetingkap kelemahan antara pemotongan sebenar dan tanda pengundian. Pelanggan VPN yang bereputasi menggunakan pendekatan tembok api.

Suis bunuh peringkat aplikasi lwn peringkat sistem

Sesetengah pelanggan VPN menawarkan suis bunuh setiap aplikasi: "bunuh apl khusus ini jika VPN terputus, tetapi biarkan seluruh rangkaian berfungsi." Ini berguna untuk klien torrent yang tidak boleh menyentuh IP sebenar sambil membiarkan penyemak imbas anda boleh digunakan. Kelemahannya ialah ia memerlukan OS untuk dapat membunuh proses secara selektif, yang lebih sukar daripada hanya menyekat trafik — dan cangkuk OS untuk ini adalah khusus platform.

Suis bunuh peringkat sistem adalah lebih mudah dan lebih dipercayai: tiada apa-apa padam melainkan terowong sudah siap. Tukar ganti ialah semasa penyambungan semula, tiada apa-apa yang berfungsi sama sekali.

VPN Sentiasa hidup: versi mudah alih

Android, iOS dan macOS semuanya menyokong "VPN sentiasa hidup" — OS sendiri enggan menghantar trafik sehingga VPN yang dikonfigurasikan disambungkan. Ini lebih kuat daripada suis bunuh peringkat aplikasi kerana susunan rangkaian OS ialah penguatkuasa, bukan klien VPN. Android Sentiasa Hidup + Sekat sambungan tanpa VPN ialah piawaian emas untuk mudah alih dan merupakan perkara yang dijalankan oleh kebanyakan pengguna yang menyedari model ancaman.

Tuji suis bunuh anda

Ujian pantas: sambungkan VPN anda, mulakan ping berterusan atau aliran trafik ke pelayan yang diketahui, dan tarik semula VPN anda secara paksa (atau hapuskan rangkaian anda dan tarik semula VPN anda secara paksa). Aliran harus berhenti dan tidak kembali ke IP sebenar anda secara senyap. Sahkan dengan melawati halaman IP lookup kami semasa jurang — ia sepatutnya tidak boleh dicapai, bukan menunjukkan IP sebenar anda.

Caveats

Kill suis melindungi trafik your. Ia tidak membantu terhadap isu bahagian destinasi — perkhidmatan yang sudah mengetahui siapa anda tidak akan mengabaikannya kerana anda menggunakan VPN. Mereka juga tidak membantu dengan cap jari penyemak imbas, kuki penjejakan pihak ketiga atau perkara lain di atas lapisan rangkaian. Suis bunuh menutup satu kategori kebocoran tertentu: kebocoran IP/DNS sementara semasa peralihan terowong.

Soalan lazim

Adakah setiap VPN mempunyai suis bunuh?: Tidak. Sesetengah apl VPN percuma atau rendah tidak menyertakan satu atau menyembunyikannya di sebalik tetapan tanpa dokumen. Sebelum bergantung pada VPN untuk perkara yang serius, sahkan suis bunuh wujud dan berfungsi pada platform anda. Mullvad, ProtonVPN, NordVPN, dan ExpressVPN semuanya menghantar satu; banyak pembekal percuma tidak.
Adakah suis mematikan akan memotong internet saya sepenuhnya?: Ya, itulah hakikatnya. Apabila terowong turun, suis bunuh menyekat semua trafik bukan VPN. Internet kelihatan "rusak" sehingga anda sama ada menyambung semula VPN atau melumpuhkan suis bunuh. Bagi kebanyakan pengguna ini adalah pertukaran yang betul; bagi sesetengah orang, ia mengecewakan semasa ribut penyambungan semula yang lama pada rangkaian yang tidak stabil.
Adakah suis bunuh sama dengan "VPN sentiasa hidup"?: Mereka bertindih. VPN sentiasa hidup memberitahu OS untuk menyambung VPN secara automatik dan menolak trafik sehingga ia berjaya. Suis bunuh bertindak balas terhadap kejatuhan VPN. Android moden menggabungkan kedua-duanya — "VPN Sentiasa hidup + Sekat sambungan tanpa VPN" secara berkesan adalah suis bunuh yang dikuatkuasakan oleh OS.
Bolehkah saya membina suis bunuh saya sendiri dengan iptables atau pf?: Ya, dengan mudah. Coraknya ialah: benarkan gelung balik, benarkan trafik ke IP pelayan VPN anda pada portnya, benarkan trafik pada antara muka terowong (cth., tun0 atau wg0), lepaskan semua yang lain. Banyak tetapan WireGuard yang dihoskan sendiri menggunakan coretan tembok api ini dengan tepat.
Adakah suis bunuh melindungi daripada kebocoran DNS?: Jika dilaksanakan dengan betul, ya — kerana paket DNS yang cuba melarikan diri di luar terowong disekat bersama-sama dengan yang lain. Tetapi ini menganggap klien VPN mengkonfigurasi DNS untuk menggunakan penyelesai yang boleh dicapai hanya melalui terowong. Sahkan dengan ujian kebocoran <a href="/dns-leak-test">DNS kami</a>.