256-бит AES — тот же стандарт, что защищает банковские транзакции

0%
· 5 минут
dnsшифрованиеdohdot

DNS-шифрование: DoH, DoT и защита DNS-запросов

Обновлено: 21 ноября 2025 г.

DNS - одно из слабых мест приватности. Даже с VPN ваши DNS-запросы могут раскрывать посещаемые сайты. Разберёмся, как это работает и как защититься.

Что такое DNS и почему это важно

Как работает DNS

DNS (Domain Name System) - «телефонная книга» интернета. Переводит понятные имена в IP-адреса:

google.com → 142.250.185.78

Каждый раз, когда вы открываете сайт, устройство спрашивает DNS-сервер: «Какой IP у этого домена?»

Проблема: DNS-запросы не зашифрованы

Традиционный DNS работает в открытом виде:

Вы: "Какой IP у protonmail.com?"
DNS: "185.70.42.31"

Кто видит эти запросы:

  • Ваш провайдер
  • Администратор WiFi-сети
  • Любой, кто перехватывает трафик

Они не видят, что вы делаете на сайте (если HTTPS), но видят, какие сайты вы посещаете.

DNS-утечки при использовании VPN

Даже с VPN DNS-запросы могут идти мимо туннеля:

Весь трафик → VPN-туннель (защищён)
DNS-запросы → Напрямую к провайдеру (не защищены)

Это называется DNS-утечка. Провайдер видит, какие сайты вы посещаете, хотя VPN включён.

Решения: шифрованный DNS

DNS over HTTPS (DoH)

DNS-запросы передаются внутри HTTPS-соединения на порт 443.

Плюсы:

  • Выглядит как обычный HTTPS-трафик
  • Сложно заблокировать
  • Поддерживается браузерами

Минусы:

  • Небольшая задержка
  • Зависимость от провайдера DoH

DNS over TLS (DoT)

DNS-запросы шифруются TLS на выделенном порту 853.

Плюсы:

  • Чистый протокол, без HTTP-оверхеда
  • Легче анализировать проблемы

Минусы:

  • Легко заблокировать (отдельный порт)
  • Меньше поддержки в браузерах

DNS over QUIC (DoQ)

Новый протокол на основе QUIC. Быстрее DoT, сложнее блокировать.

Сравнение

ПротоколПортСкрытностьСкоростьПоддержка
DoH443ВысокаяСредняяШирокая
DoT853НизкаяВысокаяСредняя
DoQ853/8853СредняяВысокаяОграничена

Популярные DNS-провайдеры

Публичные сервисы

ПровайдерDoHDoTОсобенности
Cloudflare1.1.1.11.1.1.1Быстрый, приватный
Google8.8.8.8dns.googleБыстрый, логирует
Quad99.9.9.9dns.quad9.netБлокирует malware
NextDNSПерсональныйПерсональныйНастраиваемый
AdGuard94.140.14.14dns.adguard.comБлокирует рекламу

Что выбрать

Для приватности: Cloudflare 1.1.1.1 - не логирует запросы, быстрый.

Для безопасности: Quad9 - блокирует известные вредоносные домены.

Для контроля: NextDNS - полная настройка, статистика, фильтры.

Для блокировки рекламы: AdGuard DNS - встроенные списки блокировки.

Настройка на разных устройствах

Windows 11

Системный уровень (DoH):

  1. Настройки → Сеть и интернет → WiFi/Ethernet
  2. Свойства подключения → Редактировать DNS
  3. Вручную → IPv4
  4. DNS: 1.1.1.1
  5. Шифрование: «Только зашифрованные (DNS over HTTPS)»

Windows 10

Встроенной поддержки DoH нет. Варианты:

  • Обновиться до Windows 11
  • Использовать приложение (Cloudflare WARP, NextDNS)
  • Настроить в браузере

macOS

Системный уровень:

  1. Скачайте профиль с сайта провайдера (например, 1.1.1.1)
  2. Откройте профиль → Установить
  3. Системные настройки → Профили → Подтвердить

Через терминал:

networksetup -setdnsservers Wi-Fi 1.1.1.1 1.0.0.1

iOS

Профиль:

  1. Safari → откройте 1.1.1.1/dns (для Cloudflare)
  2. Скачайте профиль
  3. Настройки → Профиль загружен → Установить

Приложение: Установите 1.1.1.1 из App Store.

Android

Android 9+:

  1. Настройки → Сеть и интернет → Частный DNS
  2. Имя хоста: one.one.one.one (Cloudflare) или dns.google

Приложение: Установите 1.1.1.1 или Intra из Google Play.

Linux

systemd-resolved:

sudo nano /etc/systemd/resolved.conf

[Resolve]
DNS=1.1.1.1
DNSOverTLS=yes

sudo systemctl restart systemd-resolved

Роутер

Зависит от модели. Общий принцип:

  1. Войдите в настройки роутера
  2. Найдите раздел DNS
  3. Укажите адреса DoT-сервера
  4. Включите DNS over TLS (если поддерживается)

Keenetic: Поддерживает DoH и DoT из коробки.

ASUS с Merlin: Поддерживает DoT.

OpenWrt: Установите пакет https-dns-proxy для DoH.

Настройка в браузерах

Chrome

  1. Настройки → Конфиденциальность и безопасность → Безопасность
  2. «Использовать безопасный DNS» → Включить
  3. Выберите провайдера или укажите свой

Firefox

  1. Настройки → Приватность и защита
  2. Прокрутите до «DNS over HTTPS»
  3. Выберите «Максимальная защита»
  4. Выберите провайдера

Edge

  1. Настройки → Конфиденциальность, поиск и службы
  2. «Использовать безопасный DNS» → Включить
  3. Выберите провайдера

Safari

Использует системные настройки macOS/iOS.

Проверка настройки

Тест DNS-утечек

  1. Откройте dnsleaktest.com
  2. Нажмите «Extended test»
  3. Проверьте результаты

Хороший результат:

  • Только серверы выбранного DNS-провайдера
  • Нет серверов вашего ISP

Плохой результат:

  • Серверы вашего провайдера
  • Смесь разных DNS-серверов

Проверка шифрования

  1. Откройте 1.1.1.1/help (для Cloudflare)
  2. Проверьте статус DoH/DoT

DNS-фильтрация

Что это

DNS-фильтрация блокирует домены на уровне DNS-запросов:

  • Рекламные сети
  • Трекеры
  • Вредоносные сайты
  • Взрослый контент (родительский контроль)

Как работает

Запрос: "Какой IP у ads.example.com?"
Ответ: "0.0.0.0" (заблокировано)

Браузер не может загрузить рекламу, потому что не знает адрес.

Популярные решения

NextDNS:

  • Персональные настройки
  • Детальная статистика
  • Множество списков блокировки
  • Бесплатно до 300k запросов/месяц

Pi-hole:

  • Локальный сервер
  • Полный контроль
  • Требует оборудования (Raspberry Pi)

AdGuard Home:

  • Как Pi-hole, но проще
  • Встроенный DoH/DoT
  • Работает на роутерах

DNS и VPN

Как они связаны

Хороший VPN:

  1. Направляет DNS через туннель
  2. Использует свои DNS-серверы
  3. Предотвращает утечки

Проверка VPN на DNS-утечки

  1. Подключитесь к VPN
  2. Откройте dnsleaktest.com
  3. Запустите расширенный тест

Ожидаемый результат:

  • DNS-серверы VPN-провайдера
  • Или выбранные вами DoH/DoT серверы
  • Никаких серверов вашего ISP

Если утечка есть

  1. Проверьте настройки VPN-клиента (DNS leak protection)
  2. Вручную настройте DNS на устройстве
  3. Смените VPN-провайдера, если проблема не решается

Ограничения шифрованного DNS

Не скрывает всё

DoH/DoT шифрует запросы, но:

  • IP-адрес сайта всё ещё виден (после разрешения DNS)
  • SNI в TLS-рукопожатии раскрывает домен
  • Для полной приватности нужен VPN

Зависимость от провайдера

Вы доверяете DNS-провайдеру вместо ISP. Выбирайте проверенных:

  • Cloudflare - аудиты, прозрачность
  • Quad9 - некоммерческая организация
  • NextDNS - чёткая политика приватности

Возможные блокировки

  • Некоторые сети блокируют DoT (порт 853)
  • Корпоративные сети могут требовать свой DNS
  • DoH сложнее заблокировать

Чеклист настройки

  • Выбран надёжный DNS-провайдер
  • Настроен DoH или DoT на устройстве
  • Проверена работа через dnsleaktest.com
  • Настроена DNS-фильтрация (опционально)
  • VPN проверен на DNS-утечки

Итог

DNS-шифрование - важный, но часто игнорируемый элемент приватности. Даже с VPN незащищённые DNS-запросы раскрывают вашу активность.

Настройте DoH или DoT за 5 минут, и закройте эту уязвимость. Для максимальной защиты комбинируйте с VPN.

Tainet направляет DNS через защищённый туннель и предотвращает утечки. Дополнительно можно использовать собственный DoH-сервер для полного контроля.

Похожие статьи

Темы