Перечень сервисов к которым будут применяться ограничения по протоколам dns

Обновлено: 04.07.2024

Ваш Интернет-провайдер назначает вам DNS-серверы каждый раз, когда вы подключаетесь к Интернету, но эти серверы не всегда являются самыми лучшими с точки зрения скорости, безопасности и конфиденциальности. Медленные DNS-серверы могут привести к задержке загрузки сайтов, а если серверы будут периодически выходить из строя, то вы не сможете получить доступ к веб-ресурсам.

Переход на бесплатный публичный DNS-сервер может иметь важное значение. Вы получите ускоренную загрузку сайтов и безотказную работу с минимальной вероятностью технических неполадок.

Некоторые DNS-сервисы могут блокировать доступ к фишинговым и вредоносным сайтам и предлагают фильтрацию контента, чтобы защитить ваших детей от нежелательного контента в Интернете.

Подойдите к выбору DNS с осторожностью: не все сторонние поставщики обязательно будут лучше, чем DNS-серверы вашего провайдера. Чтобы помочь вам с выбором, в данной подборке мы собрали 8 лучших бесплатных DNS-серверов.

Cisco Umbrella (OpenDNS)

Достоинства:

  • Давно представлен на рынке
  • Блокирует фишинг-сайты
  • Дополнительная веб-фильтрация

Служба OpenDNS была запущена в 2005 году, и в последствии приобретена компанией Cisco, а сейчас является одним из самых известных имен среди общедоступных DNS.

Бесплатный сервис предлагает множество преимуществ: высокая скорость работы, 100% время непрерывной работы, блокировка фишинг-сайтов по умолчанию, веб-фильтрация по типу родительского контроля, бесплатная поддержка по электронной почте.

Коммерческие тарифы позволяют просматривать историю посещений за последний год и настраивать блокировки доступа к определенным ресурсам. Обычному пользователю данные функции могут не понадобиться, а заинтересованным лицам придется потратить порядка 20 долларов в год.

Опытные пользователи может мгновенно начать работу с OpenDNS, перенастроив свое оборудования. Для новичков OpenDNS предлагает инструкции по настройке ПК Windows, Mac, мобильных устройств, маршрутизаторов и др.

Cloudflare (1.1.1.1)

Достоинства:

  • Отличная производительность
  • Строгие правила конфиденциальности
  • Поддержка на форуме сообщества

Компания Cloudflare, известная благодаря своей сети доставки контента, расширила диапазон своих услуг и запустила общедоступную службу DNS под названием 1.1.1.1.

Cloudflare уделяет больше всего внимания базовым вещам, таким как производительности и конфиденциальность. Независимое тестирование DNSPerf показывает, что Cloudflare является самой быстрой общедоступной службой DNS в мире.

Что касается конфиденциальности, то Cloudflare обещает, что не будет использовать данные посещений для показа рекламы и обязуется никогда не записывать IP-адреса источника запросов на диск. Все существующие журналы будут удалены в течение 24 часов. Эти заявления не являются просто маркетинговым ходом. Cloudflare ежегодно привлекает аудиторскую компанию KPMG для анализа своих сервисов и открыто публикуют отчеты.

На веб-сайте 1.1.1.1 собраны инструкции по настройке сервиса на устройствах Windows, Mac, Android, iOS, Linux и на маршрутизаторах. Руководства носят общий характер: например, вы получаете один набор инструкций для всех версий Windows. В таком подходе есть некоторые плюсы, ведь пользователь без особых сложностей сможет выяснить, где настраиваются серверы DNS в его системе. Мобильные пользователи могут использовать приложение WARP, который защищает весь интернет-трафик телефона.

Продукт не предлагает блокировку рекламы и не пытается отслеживать ваши запросы. Однако, Cloudflare ввел фильтрацию вредоносного ПО – серверы 1.1.1.2/1.0.0.2 – и блокировку контента для взрослых – серверы 1.1.1.3/1.0.0.3.

Если вы столкнулись с проблемами, то можете обратиться на форум сообщества, задать вопросы или посмотреть уже решенными форумчанами проблемы.

Google Public DNS

Достоинства:

  • Высокая надежность и скорость работы
  • Прозрачность и соблюдение конфиденциальности

Компания Google предлагает свои сервисы во многих сферах, связанных с вебом, и DNS не является исключением. Это бесплатный публичный DNS-сервис, который станет простой и эффективной заменой для серверов вашего провайдера.

Google Public DNS соблюдает довольно строгие правила конфиденциальности. Служба сохраняет полную информацию об IP-адресе запрашивающего устройства в течение примерно 24-48 часов для устранения неполадок и диагностики. «Постоянные» журналы не принимают личную информацию и сокращают сведения о местоположении до уровня города. Более того, все данные, кроме небольшой случайной выборки, удаляются через две недели.

Google предлагает еще одно преимущество для опытных пользователей. Если вы хотите оценить значимость политики конфиденциальности Google, то при желании можете ознакомиться с содержимым журналов сервиса.

Сайт поддержки Google Public DNS предлагает только самые базовые рекомендации, ориентированные на опытных пользователей и предупреждает, что изменения должны вносить только те пользователи, которые умеют настраивать операционную систему. Вы всегда можете обратиться к инструкциями от другого сервиса, например OpenDNS, не забывая заменить IP-адреса DNS-серверов на Google: 8.8.8.8 и 8.8.4.4.

Comodo Secure DNS

Достоинства:

  • Фокус на безопасность
  • Обработка припаркованных доменов

Недостатки:

Comodo Group разработала множество отличных продуктов безопасности, поэтому неудивительно, что компания предлагает собственный публичный DNS-сервис.

Как и следовало ожидать, Comodo Secure DNS уделяет большое внимание безопасности. Сервис не только блокирует фишинговые сайты, но и предупреждает, если вы пытаетесь посетить сайты с вредоносными, шпионскими программами и даже припаркованными доменами, которые могут перегружать вас рекламой (всплывающие окна, рекламные баннеры и др.). Кроме того, вы можете попробовать сервис Comodo Dome Shield, который добавляет дополнительные функции к Comodo Secure DNS.

Comodo говорит об «интеллектуальности» своего DNS-сервиса. Comodo Secure DNS выявляет неиспользуемые припаркованные домены и автоматически перенаправляет вас туда, куда вы хотите попасть.

Что касается производительности, то компания предлагает сеть серверов, расположенных по всему миру и технологию интеллектуальной маршрутизации.

Сервис Comodo интересен как дополнительный уровень веб-фильтрации. На сайте собрано несколько коротких, но полезных инструкций по настройке службы для ПК Windows, Mac, маршрутизаторов и Chromebook.

Quad9 DNS

Достоинства:

  • Высокий уровень производительности
  • Блокировка вредоносных доменов

Недостатки:

Quad9 — молодой DNS-сервис, предлагающий быстрые и бесплатные DNS-серверы с августа 2016 года.

Компания занимается технологиями блокировки вредоносных доменов за счет сбора и интеллектуальной обработки информации из публичных и закрытых источников. На сайте не перечислены конкретные источники, но упоминается об использовании провайдеров аналитики взрослого контента. Использование большого числа поставщиков информации об угрозах должно повысить качество фильтрации.

Что касается производительности, то в рейтинге DNSPerf сервис Quad9 занимает 7-ую строчку, но в абсолютных показателях отстает от лидеров некритично. При разбивке по регионам наилучшие показатели наблюдаются в Северной Америке, но в других частых света задержка минимальная.

Quad9 предлагает инструкции только для последних версий Windows и macOS. Они достаточно подробные, поэтому нетрудно понять, что именно вам нужно делать.

Яндекс.DNS

Достоинства:

  • Защита от вредоносного ПО
  • Стабильность

Недостатки:

Яндекс.DNS — бесплатный DNS-сервис от популярной российской поисковой системы Яндекс, запущенный в 2013 году. Сервис предлагает три различных режима: базовый (без дополнительной фильтрации), безопасный (автоматическая защита от вредоносных запросов) и семейный (блокировка контента для взрослых).

Для защиты от вредоносных ресурсов Яндекс.DNS использует данные поиска, движок Sophos и собственный антивирус Яндекс.

Сервис предлагает 80 DNS-серверов, расположенных в разных локациях по всему миру. Запрос пользователя обрабатывает ближайший к нему сервер, что позволяет ускорить загрузку сайтов. На текущий момент в рейтинге DNSPerf Яндекс.DNS занимает только 10 место, что говорит о не самой высокой производительности по сравнению с другими провайдерами.

На сайте сервиса содержатся инструкции по настройке сервиса для маршрутизаторов популярных брендов, компьютеров, смартфонов и планшетов.

Если вам нужна качественная фильтрация, но не особо важна скорость работы, то Яндекс.DNS станет отличной отечественной альтернативой зарубежным сервисам.

Adguard DNS

Достоинства:

Недостатки:

  • Блокируется не вся реклама из-за технологических ограничений

Adguard DNS — бесплатный DNS-сервис от компании AdGuard, финальная версия которого вышла в декабре 2018 года. Сервис предлагает два режима работы: стандартный и «Семейный контроль». Основное различие между стандартным и семейным режимом заключается в том, что в семейном режиме дополнительно блокируется неприемлемый контент для взрослых.

AdGuard DNS автоматически блокирует доступ к известным трекерам, фишинговым сайтам и рекламным доменам. Однако, стоит помнить, DNS-защита не позволяет полностью заблокировать рекламный контент.

Comss.one DNS

Достоинства

  • Блокировка рекламы, счетчиков и фишинг-сайтов
  • Поддержка современных технологий безопасности

Недостатки:


Comss.one DNS использует быстрые и безопасные серверы, расположенные в Европе и России. Доступны отдельные серверы для пользователей из Сибири и Дальнего Востока. Судя по тестам DNS Jumper, Comss.one DNS может похвастаться высокой скоростью работы.

Блокировка вредоносных сайтов, рекламных сетей и трекеров осуществляется за счет фильтрации на базе списков, которые обновляются несколько раз в день.

Comss.one DNS — перспективный и интенсивно развивающийся DNS-сервис, что, впрочем, не мешает его безотказной работе. Если вы столкнулись с какими-либо трудностями, вы всегда сможете получить помощь на странице комментариев сервиса.

Что такое DNS?

Что такое DNS?

Механизм работы DNS является довольно сложным, потому что данные не хранятся в единой базе данных, а распределены по DNS-серверам, расположенным по всему миру.

Однако, обычному пользователю не нужно вникать в технические подробности. Интернет-провайдер автоматически предоставляет доступ к DNS-серверу, который позволяет получить доступ к ресурсам в Интернете.

Почему важно выбрать быстрый DNS?

DNS-серверы могут заметно отличаться по скорости работы. Особенно это актуально для регионов со слабым покрытием Интернета (Африка, Южная Америка, Океания). Согласно данным сервиса DNSPerf для региона «Океания» время отклика DNS-серверов Cloudflare составляет 6,71 миллисекунды, а DNS-серверов Яндекса — 309,28 миллисекунды. Таким образом, пользователю придется дополнительно ждать более трети секунды , прежде чем браузер сможет получить доступ к любому новому сайту.

Конечно, это пример крайности. В Европе и США разброс между различными DNS-серверами обычно составляет не более 30 миллисекунд. Кроме того, так как ваше устройство или роутер, скорее всего, кэшируют адреса для последующего использования, даже такие задержки будут происходить нечасто. В любом случае, медленный DNS-сервер может существенно снизить скорость загрузки веб-ресурсов, поэтому протестировать альтернативные DNS — действительно хорошая идея.

Еще один важный критерий — стабильность, которую можно оценить по времени безотказной работы (uptime). Если DNS-сервер вашего провайдера не работает, вы не сможете получить доступ к своим любимым любимым сайтам. Крупные провайдеры, такие как OpenDNS, утверждают, что их uptime не снижался ниже 100% на протяжении нескольких лет.

Как выявить самый быстрый DNS?

Скорость DNS зависит от многих факторов, таких как физическое расположение, расстояние до ближайшего сервера, мощность и пропускная способность сервера.

DNS Jumper — бесплатная портативная утилита, позволяющая протестировать несколько публичных DNS-серверов, сравнить их и установить самый быстрый сервис в вашем случае.

Как выявить самый быстрый DNS

Программа имеет много настроек, но очень проста в использовании. Выберите Быстрый DNS > Запустить тест DNS, и через несколько секунд вы получите список DNS-сервисов, отсортированных по скорости.

DNS Jumper проверяет работу серверов из вашей локации, но не проводит достаточное количество тестов, чтобы дать окончательный ответ о скорости DNS.

DNSPerf каждую минуту тестирует несколько служб DNS из более чем 200 точек по всему миру и открыто публикует результаты своих тестирований. Сервис дает хорошее общее представление о производительности и времени работы DNS-сервисов.

Как переключить DNS-серверы?

Способ настройки DNS зависит от оборудования и операционной системы.

Прежде всего, вас нужно узнать основной и вспомогательный DNS-серверы. Обычно они отображаются на официальном сайте. Например, Quad9 DNS использует серверы 9.9.9.9 и 149.112.112.112.

Для домашних пользователей самый простой способ сменить DNS — прописать соответствующие IP-адреса в настройках маршрутизатора. Остальные устройства подхватят настройки DNS автоматически.

Для этого войдите в административную панель роутера (пароль по умолчанию обычно указан на самом устройстве) и найдите параметры основного и вспомогательного DNS серверов (в англоязычном интерфейсе: DNS primary и DNS secondary). Сохраните текущие настройки, чтобы, в случае необходимости, сделать откат изменений.

Если вы столкнетесь с проблемами, обратитесь к официальному сайту сервиса в поисках инструкций. Вы также можете воспользоваться руководствами других DNS-провайдеров, но вместо предлагаемых IP-адресов используйте адреса выбранного вами сервиса. Например, на сайте поддержки Freenom World DNS представлены инструкции для различных маршрутизаторов.

Если у вас нет возможности изменить настройки роутера или данный вариант вам не подходит по другим причинам, то вы можете изменить настройки DNS каждого отдельного устройства. Вы можете воспользоваться инструкциями от Cloudflare и OpenDNS.

Как проверить мои текущие DNS-серверы?

Если вы пытаетесь решить проблемы с подключением к Интернету и рассматриваете вопрос о смене DNS-серверов, то полезно сначала проверить, какие именно серверы вы используете в текущий момент.

Google Chrome

Далее возможны следующие варианты:

  • Устройство настроено на использование специфических DNS-серверов
  • Устройство запрашивает адреса лучших DNS-серверов у роутера при подключении
  • Обработкой DNS-серверов полностью занимается маршрутизатор

В системах Windows, чтобы проверить DNS-серверы, привязанные к сетевому адаптеру, выполните команду ipconfig /all

ipconfig

Если в записи DNS-серверы указан лишь один адрес – адрес вашего роутера (обычно 192.168.x.x), то обработкой DNS занимается роутер. Введите этот адрес в браузер, войдите в панель управления роутером и укажите необходимые DNS-серверы.

Как протестировать DNS-сервис?

Если браузер выдает ошибку «IP-адрес сервера не найден», но вы уверены, что целевой ресурс работает и доступен, то проблема может быть связана с DNS-сервером.

Пользователи Windows могут использовать инструмент командной строки nslookup.exe для просмотра результатов любого DNS-сервера без изменения настроек системы:

Если nslookup снова возвращает ошибки при использовании нескольких серверов, то это не похоже на проблему с DNS. Если один сервер возвращает IP-адрес, а другой – нет, вы можете настроить свою систему на использование работающего DNS и посмотреть, имеет ли это какое-либо значение.

Продолжаем тему ограничения доступа в интернет. В современном мире - это актуально для каждого человека. В предыдущей статье я описывал способ блокировки, используя встроенные средства Windows. Подробнее можно ознакомиться здесь:

Данный метод подразумевал в себе блокировку конкретного сайта по его имени. Процедура простая, действенная, но трудозатратная, т.к. знать все сайты в интернете просто невозможно. Именно этот нюанс и подтолкнул меня продолжить тему.

Сегодня поговорим о блокировках при помощи DNS - серверов. Если простым языком:

DNS - это адресная книга в интернете. Она хранит в себе адрес и название всех сайтов. Когда вы вбиваете адрес в своем браузере, компьютер обращается к DNS и выдает вам результат на экран.

Так вот, есть специальные DNS - сервера, обладающие фильтром, умеющие отсеивать нежелательный контент. Когда ваш компьютер обратится на сервер, будет проверен "черный список", и, если запрашиваемый сайт находится в нем, в доступе будет отказано.

Удобнее чем файл "hosts" из предыдущей статьи, т.к. весь запрещенный контент автоматически будет отсеян.

Сегодня есть 3 наиболее популярных и адекватно работающих DNS с фильтрованием трафика:

Яндекс DNS

Имеет в себе три степени работы:

  • 77.88.8.8 - (предпочитаемый DNS)
  • 77.88.8.1 - (альтернативный DNS)

Обычный DNS - сервер, не имеет ограничений, отвечает стабильно без задержек. Ориентирован на ускорение работы в интернете.

2) Безопасный

  • 77.88.8.88 - (предпочитаемый DNS)
  • 77.88.8.2 - (альтернативный DNS)

Отсутствуют в доступе все вредоносные и мошеннические сайты. Средняя степень защиты. Более подходит взрослым людям, которые не хотят случайно нарваться на зловредные ресурсы. Блокирует сайты с вирусами и различными угрозами.

  • 77.88.8.7 - (предпочитаемый DNS)
  • 77.88.8.3 - (альтернативный DNS)

Высшая степень защиты. Полностью исключены сайты с возможными вирусными угрозами, сайты с мошенническими и противозаконными действиями, а также отсутствует доступ к контенту 18+.

OpenDNS - FamilyShield

Открытый сервис FamilyShield - это специализированная служба ресурса OpenDNS. Предназначена для бесплатного некоммерческого использования. Ограничивает доступ к анонимным, сексуальным и порнографическим материалам.

  • 208.67.222.123 - (предпочитаемый DNS)
  • 208.67.220.123 - (альтернативный DNS)

DNS Family

Сервис от разработчиков CloudFlare . Позиционирует себя, как самый надежный, быстрый и приватный DNS - сервер. По аналогии с яндексом имеет различные конфигурации:

1) Обычный DNS

Быстрый и приватный сервер, поддерживает шифрование ваших запросов. Не имеет фильтров, работает для достижения максимальной скорости интернета.

2) Опасный контент

  • 1.1.1.2 - (предпочитаемый DNS)
  • 1.0.0.2 - (альтернативный DNS)

Фильтрует вредоносный сайты. Ограничение от мошенников, вирусов и различного рода опасного ПО. Эти сервера оградят ваш компьютер от нежелательного вторжения

3) Для детей

  • 1.1.1.3 - (предпочитаемый DNS)
  • 1.0.0.3 - (альтернативный DNS)

Полная блокировка всех сайтов в категории 18+. Фильмы для взрослых, сексуальная тематика, вирусы и вся незаконная деятельность остается под запретом.

Если вы не знакомы с настройками DNS приглашаю вас посетить статью с подробной инструкцией:

На этом все. Спасибо за внимание. Надеюсь статья окажется полезной.

Ставьте лайки, пишите комментарии, подписывайтесь на блог, буду регулярно размещать интересные материалы, которые возникают в процессе работы.

ТОП-8 безопасных DNS-серверов

DNS-серверы могут использоваться не только для того, чтобы переводить доменные имена в IP-адреса. Часто они применяются для фильтрации сайтов по спискам, для противодействия вредоносным сайтам, а иногда — и для обхода некоторых ограничений. Ниже расскажем о том, что такое безопасные DNS-серверы и какие функциональные возможности они предлагают.

  1. 3.1. Cisco Umbrella
  2. 3.2. Cloudflare
  3. 3.3. DNSFilter
  4. 3.4. Google Public DNS
  5. 3.5. Neustar UltraDNS Public
  6. 3.6. Quad9
  7. 3.7. SkyDNS
  8. 3.8. Яндекс.DNS

Введение

Каждый день мы для различных целей посещаем большое количество сайтов в интернете, будь то профессиональные, обучающие, развлекательные или другие ресурсы. При этом следует проявлять бдительность, потому что одной из самых распространённых угроз безопасности, с которой может столкнуться любой человек, являются вредоносные сайты. Ежедневно злоумышленники создают большое количество таких сайтов для заражения вирусами, краж, вымогательства и прочего.

На вредоносных сайтах могут размещаться баннеры, при нажатии на которые загружается опасное содержимое. Поэтому, например, поиск в интернете нужного «софта» может закончиться загрузкой и установкой вредоносной или заражённой программы, начиная от простых вирусов и заканчивая шифровальщиками. Большую «популярность» имеют фишинговые сайты, выдающие себя за легитимные с целью заполучить пароли от различных ресурсов, данные банковских карт и др. Серьёзную опасность представляют сайты, не требующие никакого взаимодействия с пользователем кроме самого факта обращения к ним. Такие сайты содержат сценарии (скрипты), которые автоматически исполняются на стороне клиента, то есть на вашем компьютере или мобильном телефоне, и результатом их выполнения является установка шпионских программ, ботов, шифровальщиков. Угрозу также представляют сайты с запрещённым контентом: порнография, наркотики, терроризм. Стоит отметить, что они тоже нередко могут нанести вред всё теми же вирусами.

Одной из простых и доступных мер для защиты от вредоносных сайтов является использование безопасных DNS-серверов.

Что такое DNS?

Оградить вас от вредоносных ресурсов и ваших детей от нежелательного контента призваны безопасные DNS-серверы. Основной идеей здесь является постоянное отслеживание вредоносных и нежелательных сайтов, составление чёрных списков и ограничение доступа. Использование безопасных DNS-серверов увеличивает конфиденциальность ваших запросов (данные хранятся определённый промежуток времени, а затем удаляются); кроме того, некоторые сервисы осуществляют блокировку рекламы. Такие DNS-серверы могут стать хорошей заменой серверов вашего провайдера.

Обзор популярных безопасных DNS-серверов

Cisco Umbrella

В 2015 году компания Cisco купила безопасный DNS-сервис OpenDNS, создав на его базе решение Cisco Umbrella. Это — не просто безопасный DNS, а комплекс для защиты от угроз из интернета, включающий в себя также межсетевой экран, веб-прокси с возможностью анализа файлов в изолированной виртуальной среде, инструменты для проведения расследований. Сервис располагается в облаке и ориентирован на корпоративных клиентов. Управление им осуществляется на веб-странице Cisco Umbrella. На корпоративном DNS-сервере настраивается перенаправление DNS на IP-адреса 208.67.222.222 и 208.67.220.220, и далее на странице Cisco Umbrella добавляется сеть компании-клиента. Политики для клиентов содержат большое количество настроек: выбор категорий сайтов и контента на них для блокировки, блокировка в зависимости от используемого приложения, а также блокировка по конкретным именам доменов. Остальные функции в рамках нашей темы описывать не будем. Cisco Umbrella занимает 3-е место по производительности в рейтинге независимого сервиса по мониторингу DNS-серверов DNSPerf.

Cloudflare

DNSFilter

Компания DNSFilter создавала свой сервис с 2015 года на протяжении трёх лет. DNSFilter — полностью платная служба с поддержкой различных функций безопасности. Среди основных — DNSSEC, DNS over TLS (шифрование запросов), классификация сайтов в режиме реального времени, защита от ботнетов и фишинга. Можно пользоваться сервисом дома или на базе своего предприятия с возможностью хранить журналы запросов клиентов и настраивать политики. Адреса серверов DNSFilter — 102.247.36.36 и 103.247.37.37. Цена подписки — от 216 до 1069 долларов США в год, в зависимости от набора функций и вариантов использования. В рейтинге сервиса DNSPerf он занимает 2-е место по скорости.

Google Public DNS

Neustar UltraDNS Public

Бесплатный DNS-сервис от американской компании Neustar. Сервис предлагает несколько серверов с различной степенью фильтрации. Серверы с адресами 64.6.64.6 и 64.6.65.6 предоставляют быстрый и надёжный поиск запрашиваемых ресурсов без блокировок. Блокировка вредоносных, фишинговых, шпионских сайтов выполняется при указании адресов 156.154.70.2 и 156.154.71.2. Если вы хотите ограничить сайты содержащие контент с порнографией, насилием, азартными играми, то установите в качестве DNS-серверов IP-адреса 156.154.70.3 и 156.154.71.3. Сервис находится на пятом месте в рейтинге DNSPerf.

Quad9

Ещё один хороший бесплатный сервис. Внимание здесь уделено не только фильтрации вредоносных ресурсов, но и вашей конфиденциальности. На сайте Quad9 указано, что при использовании этого сервиса ваш IP-адрес никогда не регистрируется на его серверах. Сервис использует как коммерческие, так и общедоступные источники данных по угрозам безопасности. Контентная фильтрация при его работе, впрочем, не осуществляется. Для использования Quad9 нужно задать в настройках DNS IP-адреса 9.9.9.9 и 149.112.112.112. Сервис размещается на 7-й строчке рейтинга DNSPerf.

SkyDNS

Яндекс.DNS

Сервис от всем известной российской компании работает с 2013 года. Полностью бесплатен, имеет три режима работы. Базовый вариант — IP-адреса 77.88.8.8 и 77.88.8.1 — не осуществляет фильтрацию при запросах. Безопасный режим — 77.88.8.88 и 77.88.8.2 — блокирует вредоносные сайты. Третий набор серверов — 77.88.8.7 и 77.88.8.3 — осуществляет контентную фильтрацию материалов для взрослых. Яндекс.DNS замыкает первую десятку рейтинга DNSPerf, но поскольку существует огромное количество сервисов, это в целом говорит о хорошей производительности.

Как выбрать DNS-сервер?

Для выбора DNS-сервиса можно воспользоваться уже упомянутым сервисом DNSPerf.

Рисунок 1. Рейтинг DNSPerf

Рейтинг DNSPerf

Выберите регион, в котором вы находитесь, или общие значения по миру, и сервис покажет время отклика DNS-сервисов на запросы, время безотказной работы и качество обслуживания. Качество DNS-сервиса зависит от доступности и количества серверов: например, если сервис имеет четыре сервера и один из них недоступен, то качество будет равно 75 %.

Для определения самого быстрого DNS-сервера конкретно для вашего компьютера можно воспользоваться программой DNS Jumper. При запуске теста «Быстрый DNS» она опросит все доступные серверы и покажет время их отклика.

Рисунок 2. Быстрый тест DNS Jumper

Быстрый тест DNS Jumper

Как установить адреса DNS-серверов

Рассказ о безопасных DNS-серверах был бы неполным без краткой инструкции по настройке для домашних пользователей. Мы покажем нужные действия на примере Windows 10.

В Панели управления Windows, в категории «Сеть и Интернет» понадобится нажать на «Центр управления сетями и общим доступом». В правой верхней части страницы будет доступна ссылка на состояние активного подключения (см. рис. 3, где оно называется «Ethernet»). В окне состояния, которое открывается при нажатии на ссылку, присутствует кнопка «Свойства»; обратите внимание, что для изменения свойств нужны права администратора. В перечне свойств выделите щелчком пункт «IP версии 4 (TCP/IPv4)», нажмите на кнопку «Свойства» и в открывшемся окне установите переключатель «Использовать следующие адреса DNS-серверов». Введите основной и запасной адреса от того поставщика услуг, который вас заинтересовал, и нажмите кнопку «ОК» в этом и предыдущем окнах.

Рисунок 3. Настройка DNS-серверов для домашнего пользователя в Windows 10

Настройка DNS-серверов для домашнего пользователя в Windows 10

Выводы

Попробовать пользоваться безопасными DNS однозначно стоит. Вы укрепите свою защиту в интернете и при этом вряд ли почувствуете какую-то разницу в скорости. При выборе сервисов Cloudflare, Яндекс.DNS, Google, Neustar, Quad9 вы бесплатно оградите себя от фальшивых сайтов и в некоторых случаях сможете закрыть доступ к нежелательному контенту. Для защиты организаций больше подойдут решения от Cisco и DNSFilter с большим разнообразием возможностей и настроек. Если стоит задача по защите детей в интернете, то целесообразно рассмотреть сервис SkyDNS, который предоставляет интересные функциональные возможности за небольшую цену.


DNS-доступ под защитой: DoT и DoH

Аббревиатура DNS традиционно обозначает два фундаментальных для Интернета технологических механизма: систему доменных имён и службу (или сервис) доменных имён. Система доменных имён представляет собой распределённую базу данных с иерархической структурой, в которой хранятся пары «ключ – значение». Служба доменных имён — инструмент, выполняющий поиск в этой базе данных. Типичное применение DNS – это поиск IP-адреса, соответствующего имени сервера (имени хоста): здесь система доменных имён хранит пару «имя хоста – IP-адрес» (соответствующая структура называется «A-запись»), а служба выполняет рекурсивный опрос DNS-серверов и находит требуемый ответ (либо обнаруживает, что заданному имени хоста никакой IP-адрес в DNS не сопоставлен).

Утечки информации

Для защиты информации и в DoT, и в DoH используют одну и ту же основу - TLS (Transport Layer Security). TLS позволяет построить защищённый от прослушивания и подмены канал обмена информацией между узлами, а также аутентифицировать узлы. Но последний элемент - аутентификация узлов - применяется с ограничениями.

Системный резолвер, работающий на клиенте (компьютере пользователя), только перенаправляет запросы внешнему рекурсивному резолверу. В классическом варианте DNS-трафик не зашифрован. Это означает, что, как минимум, провайдер доступа может просматривать DNS-запросы и DNS-ответы в обоих случаях: и при использовании рекурсивного резолвера провайдера, и если используется внешний, незащищённый, DNS-сервер. При этом в первом случае, когда DNS-резолвер принадлежит провайдеру доступа (или оператору связи, что не так важно), запросы доступны провайдеру для анализа непосредственно на самом резолвере. Очевидно, никакая защита канала между системным резолвером пользователя и рекурсивным резолвером не может защитить DNS-запросы (и ответы) от просмотра администратором рекурсивного резолвера. Если пользователь настроил внешний DNS-сервис, - то есть сервис, не контролируемый провайдером доступа, - то для просмотра клиентских DNS-запросов провайдеру придётся анализировать непосредственно сетевой трафик (на уровне протоколов UDP и TCP). Этот метод хоть и сложнее анализа на уровне DNS-резолвера, но всё равно доступен всякому провайдеру.

Может показаться, что провайдер доступа и так знает по IP-адресам все узлы, к которым обращается пользователь, а поэтому просмотр DNS-запросов не даёт никакой новой информации. Это не так. Дело в том, что DNS предоставляет информацию другого уровня — уровня приложений, поэтому позволяет, в том числе, собирать данные, принципиально недоступные на более низком уровне. Прежде всего, DNS раскрывает имена узлов, а это совсем не то же самое, что IP-адреса. Часть DNS-трафика относится к различным вспомогательным протоколам (например, каталогизация на стороне приложения адресов доступных узлов, обращения к которым по IP может и не происходить). DNS играет важную служебную роль во многих протоколах, раскрывая их специфические характеристики (примеры здесь разнообразны: инструменты для майнинга криптовалют, мессенджеры, системы телеконференций, системы IP-телефонии и так далее).

Нередко информация о DNS-активности утекает даже при использовании VPN (Virtual Private Network — виртуальная частная сеть), если в защищённую виртуальную сеть направлен только основной IP-трафик, а обработка DNS оставлена резолверу провайдера доступа (согласно системной конфигурации).

Таким образом, прослушивание DNS поставляет много важной информации о работе клиента на уровне приложений. Естественно, анализировать DNS-запросы, извлекая их из трафика, может не только провайдер доступа, но и вообще любой промежуточный узел, если только DNS-трафик не зашифрован.

DoH и DoT зашифровывают трафик, исключая только что описанную утечку. Естественно, для защиты клиентского DNS-трафика данные технологии должны внедряться на пути от клиента до рекурсивного резолвера (это минимум — см. ниже). Типовая конфигурация сейчас подразумевает, что поддержка DoH включена прямо в браузере, а в качестве рекурсивного резолвера сконфигурирован тот или иной внешний DNS-сервис. Например, для браузера Firefox это может быть сервис Cloudflare, который рекомендует Mozilla (и не только рекомендует, но может и включить по умолчанию). Ключевой момент такой конфигурации, – обозначающий, ни много ни мало, смену парадигмы, – состоит в том, что приложение (браузер) работает с DNS, минуя и локальную системную службу, и резолвер провайдера доступа. Браузер по защищённому каналу обращается к другому приложению, работающему на внешнем сервере, и доверяет именно ему в поиске DNS-информации.

Протокольные надстройки

Действительно, классическая конфигурация DNS базируется на UDP в качестве основного транспорта. UDP – один из древнейших протоколов Интернета, предоставляющий простой механизм отправки пакетов, без сессий и, соответственно, без гарантии доставки. Несмотря на такие ограничения, UDP — очень и очень быстрый протокол, приближающийся к оптимальным показателям на уровне сетевой аппаратуры. По этой причине UDP используется не только в DNS, но, например, и в многопользовательских играх, где важна минимальная задержка при доставке пакетов данных.

Использование TLS позволяет побороть и другую угрозу, активную. В классическом случае локальный узел, отправивший запрос внешнему DNS-резолверу, не может определить, кто именно прислал ответ. Это касается и UDP, и, в меньшей степени, TCP. Дело в том, что ответить вместо узла с заданным IP-адресом может любой промежуточный узел. Это не составляет большого труда, хотя и требует вмешательства в работу сетевого оборудования. Пакет, отправленный к (условному) резолверу по адресу 1.1.1.1, до «подлинного» обладателя этого IP-адреса не дойдёт, а клиент получит ответ от близкого к нему промежуточного узла. И, в случае DNS-запроса, ответ этот может быть произвольным. TLS позволяет клиенту аутентифицировать сервер (и наоборот, но аутентификация клиента используется редко), после чего продолжать работу только с узлом, который смог подтвердить свою подлинность. Для практических приложений, в случае DoH, такая проверка скорее обязательна, а для DoT в современном состоянии клиент на практике может легко пропустить шаг аутентификации сервера.

Технологический ландшафт и фильтрация

Для DNS существует и более старая технология защиты адресной информации от подмены — DNSSEC. Нужно заметить, что ни DoT, ни DoH не отменяют DNSSEC, так как работают на совсем другом уровне: DoT/DoH защищают DNS-трафик только в момент передачи через промежуточные узлы; DNSSEC защищает при помощи механизма электронной подписи подлинность и неизменность самой информации DNS. При этом DNSSEC никак не скрывает запросы или ответы серверов: данные передаются в открытом виде. Однако, если клиент умеет проверять подписи DNSSEC и знает корневой открытый ключ глобальной DNS, то для такого клиента не имеет значения, как именно получены DNS-данные, от доверенного узла или нет, — валидная подпись гарантирует, что данные не были изменены и сформированы авторизованным источником. А вот если клиент подключился по DoT или DoH к злонамеренному DNS-резолверу, то эти технологии никак не помогут клиенту отличить верный DNS-ответ, присланный резолвером, от поддельного, который этот же резолвер сгенерировал, поскольку они гарантируют только подлинность узла-резолвера, но не DNS-информации. Иными словами, DoT/DoH и DNSSEC — совершенно разные технологии, которые могут эффективно дополнить друг друга.

Что означает возможное повсеместное распространение DoT и DoH в приложениях с точки зрения информационно-технологической архитектуры? Прежде всего, клиенты «внезапно» начинают использовать для обнаружения DNS-информации внешние (относительно привычной архитектуры) узлы. Когда поддержка сторонних сервисов DNS встроена непосредственно в браузер, то пользователю даже не нужно знать, как изменить настройки DNS в операционной системе — браузер в этом вопросе от операционной системы уже не зависит.

При помощи DNS нередко осуществляется ограничение доступа к тем или иным ресурсам, например, к небезопасным доменам (в том числе в рамках «антивирусной защиты»). Другой случай — отдельная адресация для внутренних ресурсов, то есть для узлов, находящихся в локальной сети: собственный резолвер может знать имена этих ресурсов и, при получении DNS-запроса, отвечать локальным клиентам правильным адресом. И первый, и второй случаи распространены в корпоративных средах, а также часто используются на этапе разработки интернет-сервисов. Всё это ломается, если на компьютере пользователя сконфигурирован внешний, неподконтрольный локальному системному администратору, резолвер DNS. И если администраторы корпоративной сети могут надеяться обнаружить использование внешнего DNS-резолвера простыми методами, то трафик DoH способен доставить им проблемы.

Естественно, никто не мешает настроить поддержку DoT/DoH на внутреннем DNS-резолвере, будь то корпоративный резолвер или резолвер провайдера доступа. В таком случае останется доступным даже пассивный анализ трафика. Дело в том, что оператор резолвера может выгружать на инспектирующий узел секретные ключи TLS, а это позволяет расшифровывать трафик. Но данный ход не отменяет возможности использования других резолверов и не упрощает обнаружение факта такого использования.

Читайте также: