Iovationのホワイトペーパーで、プロキシの背後にあるIPのマスクを解除することについて説明しました。
「接続ホストが匿名プロキシまたは中間デバイスであり、接続ホストのIPアドレスとクライアントがアクセスするDNSネームサーバーのIPアドレスの位置情報の不一致を測定する方法。接続ホストは、一意のドメイン名は、ドメイン名が訪問ごとに異なることを意味します。これにより、クライアントのDNSサーバーが、フィンガープリント作成デバイスがアクセスできるドメイン所有者のDNSサーバーに強制的に接続されます。
Stack Exchangeで読んだ別の方法は
「ドメインのDNSサーバーを制御している場合は、すべてのリクエストの受信を確認できます。訪問者ごとに一意のサブドメインアドレスを作成し、それをHTMLのどこかに埋め込むことで、DNSサーバー上のクライアントの実際のIPを確認できます。
上記の方法に対する対策は?
必ずプロキシプロバイダーDNSを使用するか、システムDNSをOpen DNSまたはGoogle DNSに設定してください。
オープンDNS:208.67.222.222および208.67.220.220
Google DNS:8.8.8.8および8.8.4.4
1つの対策は、たとえばVPNまたは正しく構成されたSOCKSプロキシを使用するなどして、すべてのDNSトラフィックがプロキシプロバイダーも通過するようにすることです。
ブラウザ内でプロキシを構成するだけの場合、これがDNS解決に影響を与えない可能性が高くなります。
これをうまく行う1つの方法は、生のネットワークにアクセスせず、SOCKSプロキシ経由でのみネットワークにアクセスできるDockerコンテナを使用して、そのコンテナ内からすべてのブラウジングを行うことです。