Как работает днс в ноябре 2021
Перейти к содержимому

Как работает днс в ноябре 2021

  • автор:

Что такое Dynamic DNS?

dns

Получить статический IP-адрес для работы через интернет можно одним из двух способов: обратиться к провайдеру интернет-услуг или использовать Dynamic DNS. Динамический ДНС сегодня поддерживают практически все роутеры Wi-Fi, поэтому решение становится все более популярным и востребованным. Расскажем о его особенностях и преимуществах.

Особенности Dynamic DNS

DDNS (DynDNS, Dynamic DNS) – это специальная система доменных имен, которая закрепляет постоянный IP-адрес за конкретным роутером, что позволяет подключиться к нему в удаленном режиме.

Если интернет-провайдер предоставил статистический IP-адрес, легко можно зайти в интернет с любого ПК через роутер. Данный адрес остается неизменным в сети, при вводе его в адресную строку браузера происходит перенаправление на роутер, на котором нужно выполнить настройку портов, благодаря чему ресурсы локальной сети станут доступными.

Но провайдеры, как правило, предоставляют статический IP-адрес на платной основе. Пользователям же раздается динамический адрес, который будет регулярно изменяться. Это делает невозможным удаленное подключение к своему роутеру, потому что периодически IP будет новым, и пользователь его не будет знать.

Выходом становится специальный динамический ДНС-сервер, отслеживающий изменения IP-адреса роутера и привязывающий его к постоянному доменному имени, при введении которого осуществляется подключение к маршрутизатору независимо от того, с какой частотой меняется IP.

Данный сервер чаще всего используется, когда нужно:

  • получить доступ к файлам, которые хранятся на FTP, установленном на роутере;
  • подключиться к домашней системе видеонаблюдения;
  • настроить систему «Умный дом» и т. д.

Но особенность сервиса заключается в том, что он может работать только с «белыми» IP-адресами.

Удаленный офис
и онлайн-продажи
За 1 день.
С бесплатным тестовым периодом.
Конфигуратор удаленных рабочих мест
Рабочие места для команды за 1 день

Белый и серый IP

Во время подключения к сети роутеру присваивается IP-адрес. Он бывает публичным (единый для всей сети интернета), в таком случае его называют «белым». Иногда в его качестве служит адрес локальной сети провайдера, который является общим для нескольких пользователей. Именно такие IP называют «серыми». Используя «серый» адрес, невозможно настроить динамический dns.

Проверить, каким является IP-адрес, достаточно легко. На главной странице интерфейса, где показаны данные про текущее состояние устройства, можно увидеть IP, который предоставил интернет-провайдер. Теперь нужно зайти на один из сервисов, которые дают возможность узнать, какой IP имеет устройство на данный момент. Если значения совпадут, это означает, что IP-адрес является «белым», в противном случае – «серым».

Выбор сервиса DDNS

сервисы ddns лого

Для начала потребуется выбрать компанию, которая предоставляет данные услуги. Обычно в настройках роутера уже содержится небольшой перечень провайдеров, поэтому можно выбрать одного из указанных поставщиков.

Крупные производители маршрутизаторов (например, D-Link) также предоставляют этот сервис. А в новых моделях роутеров TP-Link для получения доступа требуется настройка облачного аккаунта в «TP-Link ID».

No-IP – самый популярный бесплатный сервис от американской компании, который бесплатно предоставляет три доменных имени, но, чтобы аккаунт не удалили, нужно через каждые 30 дней выполнять его подтверждение.

Настройка

Когда определено, что IP-адрес, который предоставляет интернет-провайдер, является белым, можно приступить к настройке роутера. Имеются некоторые отличия в настройке данного сервиса на разных устройствах. Расскажем о самых популярных брендах:

  • TP-Link. Чтобы настроить динамический ДНС, в левом меню нужно найти «Динамический DNS», далее – выбрать поставщика услуг их предложенных: Dyndns, NO-IP или Comexe. Затем вводится адрес, полученный при регистрации у поставщика. Также нужно ввести логин и пароль к аккаунту у провайдера. Далее ставится галочка на «Включить DDNS» и нажимается «Войти». После изменения состояния на «подключено», следует нажать «Сохранить».
  • D-Link. В левом меню сделать выбор пункта «Дополнительно», далее – «DDNS». Возможно использовать любой из доступных сервисов или фирменный сервис бренда – DlinkDdns.
  • Asus. В левом меню потребуется выбрать «Интернет», далее – «DDNS». После этого выбрать поставщика, ввести имя хоста и нажать кнопку «Применить».
  • Keenetic. В данном роутере предусмотрена функция KeenDNS для доступа к маршрутизатору, если провайдер предоставил «серый» адрес. Но для передачи данных в этом случае применяется облако. Для настройки нужно выбрать пункт «Доменное имя», куда вводится любое имя роутера, и выбрать из предложенных доменных имен одно. Далее нужно включить «Keenetic Cloud», выбрать режим соединения (для «белого» адреса – «Прямой доступ», для «серого» – «Через облако»).

Настройка других марок роутера выполняется по такому же принципу. Сначала нужно найти раздел, где настраивается DDNS (как правило, это в меню «DDNS» или «Динамический DNS»). Далее следует выбрать сервис, который предоставляет такие услуги, пройти регистрацию, осуществить ввод данных, полученных при регистрации, и сохранить изменения.

Безопасность

безопасность

Чтобы исключить доступ посторонних пользователей к роутеру, FTP, камерам и прочим устройствам, которые подключены к нему, нужно позаботиться об обеспечении безопасности.

Прежде всего требуется придумать надежный пароль для роутера, желательно также изменить имя пользователя, если это возможно. Даже если удастся установить IP-адрес, нужно знать данные логина и пароля, чтобы подключиться к роутеру.

При настройке FTP и предоставлении общего доступа к файлам, лучше всего выполнить смену логина и пароля. При создании нового пользователя нужно устанавливать сложные пароли для каждого из них.

При подключении к роутеру IP-камеры или сетевого хранилища NAS также необходим надежный пароль, желательно дополнительно изменить начальное имя пользователя.

Если будет использоваться dynamic DNS-сервер только для подключения к FTP, доступ к панели управления маршрутизатором не потребуется – его нужно отключить в настройках устройства.

Рекомендации при работе с DynDNS

Для максимально комфортного и безопасного применения Dynamic DNS рекомендуется:

  • Как можно чаще менять пароль, подбирая надежную комбинацию, которая включает от 9 символов, где есть заглавные и строчные буквы, цифры, специальные символы.
  • При выборе Dynamic DNS внимательно изучить правила, в соответствии с которыми предоставляются услуги.
  • Права доступа лучше разграничивать. К примеру, отдельные доступы к внешнему хранилищу файлов и серверу FTP. Это позволит повысить уровень защиты от угроз извне.
  • Не подключать дополнительные опции во время настройки динамического DNS, если не предполагается их использование.

Dynamic DNS – это отличное решение, которое позволит пользователю подключаться к своему роутеру удаленно из любого места. Однако использование такой технологии потребует взвешенного подхода и соблюдения ряда мер предосторожности.

Остались вопросы по теме? Специалисты нашего дата-центра Xelent обязательно ответят на них!

Что такое DNS-сервер

Любой сайт в интернете имеет свой IP-адрес, по которому его можно найти. Например, это может быть 192.0.2.2. Но в день мы можем посещать десятки сайтов, и было бы крайне неудобно и сложно запоминать массу безликих цифр. Гораздо проще ввести google.com или vk.com или cloud4y.ru, где вы и читаете данную статью. Такие адреса прямо ассоциируются с нужным ресурсом. Чтобы можно было использовать слова, а не цифры IP-адресов, создали DNS. Что это такое и каким образом она устроена, читайте в статье.

Что такое DNS

DNS или Система доменных имён служит для сопоставления буквенных имен с числовыми адресами (IP). Это напоминает список контактов, который есть в любом смартфоне. Когда нам не нужно помнить номера друзей, достаточно вызвать условного Васю Петрова, чтобы дозвониться куда мы хотим. DNS представляет собой открытую всемирную базу данных, где находятся общедоступные IP-адреса, к которым привязаны имена сайтов.

Принцип работы DNS

Когда вы используете URL-адрес типа www.site.ru, то часть site.ru будет доменным именем, а www — именем хоста. Разрешение DNS сопоставляет www.site.ru с IP-адресом (допустим, 192.0.2.2). Когда пользователь вносит в адресную строку буквенное имя сайта, происходит преобразование его в IP, который требуется для поиска сайта.

Запрос направляется серверам, которые обслуживают корневую зону. Они перенаправляют запрос серверу, отвечающему за доменные имена верхнего уровня (TLD), например, .com, .net или .ru. От них уже можно получить IP-адреса запрашиваемого нами доменного имени. Подобная архитектура даёт возможность сбалансированно распределять нагрузку.

DNS

Что такое и зачем используется DNS-сервер

DNS-сервер— оборудование или ПО, которое предоставляет доступ к системе доменных имён. Любой доменной зоне соответствует собственный сервер DNS, который будет будет реагировать на запросы. Он именуется авторитативный.

Чтобы узнать, каким зонам соответствует тот или иной DNS-cервер, применяется механизм делегирования. Если нас интересует сайт site.ru, то информацию о поддерживающем его DNS-сервере мы можем получить у серверов .ru, а они определяются запросом к корневому домену. Иными словами, делегирование в DNS осуществляется по нисходящей – опускаясь на уровень ниже.

Аренда облачного сервера для разработки, хостинга, обученияПодробнее

Какие виды DNS-серверов существуют

Их можно поделить на несколько групп, исходя из выполняемых ими функций. Иногда один и тот же сервер может иметь сразу несколько типов.

  • Авторитетный — сервер, который отвечает за ту или иную зону. Здесь можно выделить ещё два подтипа:
  • Первичный (альтернативное название «Мастер», BIND), который может вносить изменения в свою зону. В большинстве случаев одной зоне соответствует один первичный сервер. Однако для масштабных продуктов мастер-серверов может быть несколько.
  • Вторичный (Слейв от английского slave), который не имеет права вносить изменения в зону и получает сообщения о внесённых изменениях от мастер-сервера. В одной зоне может быть сколько угодно вторичных серверов.
  • Кэширующий —занимается обслуживанием запросов клиентов. К нему приходит рекурсивный запрос, и он выполняет его через нерекурсивные, направленные к авторитативным серверам. Либо он может передавать рекурсивный запрос вышерасположенному DNS-серверу.
  • Перенаправляющий — занимается перенаправлением полученных рекурсивных запросов в сторону кэширующего сервера. Необходим для снижения нагрузки на вышестоящий кэширующий DNS-сервер.
  • Корневой — также относится к авторитативным, но отвечает за корневую зону. Всего в мире существует 13, корневых серверов, а их доменные имена расположены в зоне root-servers.net. Названия: a.root-servers.net, b.root-servers.net, и т.д.
  • Регистрирующий – принимает динамические обновления от юзеров. Обычно он функционирует совместно с DHCP-сервером.

Где располагаются главные DNS-серверы?

Корневые DNS-серверами управляют различные операторы. Ранее все они располагались в Северной Америке, но потом начали появляться и в других странах. Как уже говорилось выше, всего их 13, но есть резервные копии, поэтому общее число корневых серверов составляет 123.

40 из них располагаются в Северной Америке, 35 находятся в Европе, 6 размещены в Южной Америке и 3 в Африке. В России есть 5 серверов в следующих городах: Москве, Санкт-Петербурге, Новосибирске, Ростове-на-Дону и Екатеринбурге.

Что такое DNS-зоны?

Одному домену не обязательно соответствует только один IP-адрес. Под одним именем может идти, например, сайт и почтовый сервер. Кроме того, у сайта могут быть поддомены с другими IP.

Все данные о взаимосвязи сайта, поддоменов, почты и тому подобного записывается в специальный файл, расположенный на DNS-сервере. То, что записано в этом файле – это DNS-зона. Записи, которые там могут быть:

А — адрес ресурса, привязанного к имени домена.
MX — адрес почтового сервера.
CNAME — тип записи, применяемый для подключения поддомена.
NS — адрес DNS-сервера, который в ответе за содержимое прочих ресурсных записей.
TXT — любые текстовые данные о доменном имени.
SPF — перечень доверенных серверов для отправления писем от имени соответствующего домена.
SOA — исходная запись зоны, где прописаны данные о сервере и содержится шаблонная информация о доменном имени.

DNS-хостинг

DNS-хостинг – это услуга, которая позволяет управлять содержимым файлов зон DNS, а также настраивать серверы с помощью ресурсных записей. Данным видом хостинга пользуются для качественного функционирования сайтов.

Блокирование контента при помощи DNS: прошлое, настоящее, будущее

Эта статья по сути является текстовой калькой с выступления Андрея Мешкова, сооснователя и CTO AdGuard, на коференции Ad Blocker Dev Summit 2021. Если вы не хотите читать “много букв”, уделите 30 минут просмотру этого видео (на английском языке).

Сегодня к интернету подключено абсолютно всё — от телевизора до умных лампочек, от мобильных устройств до умных автомобилей. А где есть интернет, есть трекеры и реклама. Верно? Получается, что один только браузерный блокировщик не сможет защитить вас. В его силах лишь предоставить вам крошечное окно в «лучший интернет» без агрессивных и навязчивых баннеров, пытающихся завладеть вашим вниманием. Но что, если вы хотите расширить это «окно»?

В этом случае пристегните ремни и приготовьтесь к увлекательному путешествию по прошлому, настоящему и будущему DNS-фильтрации. Почему? Потому что DNS — это ответ!

Что такое блокировка на уровне DNS

Чтобы освежить ваши знания: аббревиатура DNS расшифровывается как Domain Name System, т.е. «система доменных имен». DNS — своего рода «адресная книга» интернета, цель которой состоит в переводе имён веб-сайтов в нечто понятное браузерам, то есть в IP-адреса. Таким образом, каждый раз, когда вы заходите на веб-сайт, ваш браузер отправляет запрос на DNS-сервер (который обычно предоставляется вашим интернет-провайдером), чтобы определить IP-адрес веб-сайта. В ответ обычный DNS-резолвер просто возвращает IP-адрес запрошенного домена.

Ваше устройство всегда использует какой-либо DNS-сервер для получения IP-адреса доменного имени, к которому обращается приложение.

К счастью для нас с вами, существуют DNS-серверы, обеспечивающие фильтрацию трафика и блокировку контента. Обычно это делается с помощью техники «DNS Sinkholing», суть которой заключается в выдаче немаршрутизируемых адресов для заблокированных доменов. Когда ваше устройство отправляет «плохой» запрос, будь то реклама или трекер, DNS-сервер отвечает IP-адресом 0.0.0.0 для заблокированного домена. Получается, что приложение просто не может подключиться к этому адресу, и мы получаем желаемый результат — заблокированое подключение.

Пример использования DNS-сервера для блокировки доступа к домену

DNS-сервер также может вернуть такие ответы: NXDOMAIN (означает, что домен не существует) или REFUSED (означает, что сервер отказался обрабатывать запрос). Вы скорее всего не заметите разницы между ними, но некоторые старые устройства могут неверно интерпретировать REFUSED и попытаться использовать резервный DNS-сервер.

Прародитель DNS — HOSTS-файл

Удивительно, но блокировка на уровне DNS — самый старый известный подход к блокировке рекламы. Как такое возможно?

Ещё в те дни, когда интернет был молод и назывался ARPANET, была разработана система именования, которая сопоставляла IP-адрес компьютера с уникальным идентификатором на основе ASCII. Имея всего несколько компьютеров, подключенных к ARPANET, Центр сетевой информации Министерства обороны США поддерживал файл с именем HOSTS.TXT — главный список адресов всех компьютеров и их хост-имён. Системные администраторы периодически загружали обновленный HOSTS.TXT. Зная имя компьютера ARPANET, можно было просто посмотреть его IP-адрес в файле HOSTS.

Так выглядел файл HOSTS.TXT, который использовался во времена ARPANET

Но вскоре стало ясно, что растущее число хостов создает слишком большую нагрузку на компьютер NIC (Network Information Center). Все хотели иметь свои компьютеры в ARPANET, но им приходилось ждать, пока организация NIC обновит HOSTS.TXT. Возникла необходимость в альтернативном решении, поэтому в конце 1987 года Пол Мокапетрис разработал систему доменных имён.

Но файл HOSTS не был забыт. Вскоре после появления первой рекламы в интернете люди обнаружили, что HOSTS.TXT можно использовать в качестве блоклиста для предотвращения загрузки рекламы (такой подход очень напоминает технику «DNS Sinkholing», не так ли?) После этого некоторые энтузиасты стали составлять первые блоклисты и делиться ими со всеми желающими. Есть несколько ярких примеров блоклистов с более чем 20-летней историей, которые активно развиваются и по сей день, например, блоклисты Питера Лоу, блоклисты Стивена Блэка или хосты Дэна Поллока.

Фрагмент блоклиста Питера Лоу

Когда появилась первая версия Adblock для Firefox, некоторые пользователи просто не могли понять его предназначение. Их всё устраивало в том, как работал файл HOSTS.

Скриншот записи на форуме, 2003 г.

Однако файлы HOSTS имеют некоторые недостатки, которые не так просто устранить.

Распространение обновлений. Не существует удобного способа предоставления обновлений файла HOSTS пользователям. Для этого нужно либо иметь специальное программное обеспечение, либо быть очень терпеливым и периодически делать это вручную.

Большие размеры. Файлы HOSTS становятся просто огромными из-за того, в них нельзя использовать подстановочные знаки и необходимо прописывать каждый домен. Синтаксис файла HOSTS просто не предназначен для использования таким образом. Взгляните на рисунок ниже, где показан один из самых больших блоклистов — Energized Unified. Как вы можете видеть, он содержит более 700 тысяч доменов и весит почти 21 мегабайт. Распространять файл размером 21 Мб среди миллионов пользователей ежедневно — это уже серьезная проблема.

Блоклист Energized Unified

Публичные DNS-серверы, блокирующие рекламу, появились как перспективная альтернатива файлу HOSTS. Достаточно было настроить устройство на использование такого сервера, и больше не нужно было возиться с обновлением файлов HOSTS. Один из первых публичных DNS-серверов назывался Alternate DNS и появился в 2015 году. Его обслуживанием занимался один человек. Позже, в 2016 году, мы запустили AdGuard DNS.

Новая жизнь для DNS-блокировщиков

До недавнего времени DNS как стандарт был почти заморожен, в него вносились лишь незначительные изменения. Но пару лет назад всё взорвалось новыми стандартами. И, в первую очередь, за счет DNS-шифрования: DNS-over-TLS, DNS-over-HTTPS, DNS-over-QUIC — все эти протоколы стали мейнстримом и оказали большое влияние на блокировку контента!

До роста популярности DNS-шифрования доступные варианты были слишком сложными для обычного пользователя. Можно было:

  • Использовать файл HOSTS и каким-то образом получать его обновления.
  • Использовать обычный DNS-сервер и смириться с ограничениями, такими как невозможность настроить его на телефоне для мобильной сети или необходимость настраивать каждый сетевой адаптер на десктопе и погружаться для этого в довольно низкоуровневые настройки.
  • Использовать VPN или локальный VPN.

После того как DNS-шифрование стало общепринятым, некоторые технические препятствия просто исчезли. Теперь настроить DNS-сервер стало намного проще, и его можно использовать в любой сети. Конечно, вам всё ещё нужно погружаться в настройки устройства, но не так глубоко, как раньше. Кроме того, DNS-шифрование нативно поддерживается на Android 9+ (DoT, DoH на подходе), iOS 14+ и macOS 15+ (DoT, DoH), Windows 11 (правда, поддержка довольно ограничена). Всё это дало огромный толчок росту популярности DNS-блокировки.

Кроме того, развитие DNS-шифрования позволило публичным DNS-серверам предоставлять пользователям возможности настройки. Другими словами, каждый получил возможность выбирать, что блокировать, а что нет. Ранее применение пользовательских правил на основе доменного имени DNS-сервера было возможно только путём «привязки» IP-адреса пользователя, что точно не было хорошим решением.

Использование DNS для блокировки контента: за и против

DNS-блокировка контента имеет как преимущества, так и очевидные недостатки. Давайте начнем с положительных сторон использования DNS для блокировки контента.

Плюсы

  • Не требует установки дополнительного программного обеспечения.
  • Не зависит от производителя браузера или ОС.
  • Не влияет на производительность.
  • Запуск публичного DNS-сервера позволяет наблюдать за всем интернетом. Это очень полезно, если вы ведёте список сайтов для блокировки. Вы можете избавиться от неиспользуемых правил и оперативно узнавать о новых угрозах. У DNS нет «слепых зон», поскольку он наблюдает за всеми устройствами, а не только за браузерами.
  • Централизованное решение лучше справляется с некоторыми проблемами.

Например, давайте рассмотрим маскировку CNAME — тактику, которую использовали некоторые трекеры, чтобы скрыться от блокировщиков. С помощью DNS-записи CNAME они скрывали настоящее доменное имя третьей стороны, маскируя его под домен первой стороны. С помощью AdGuard DNS мы смогли обнаружить все эти замаскированные домены и опубликовать их список, чтобы даже блокировщики контента, не имеющие доступа к DNS, могли остановить это.

Другой пример — использование прокси для маскировки трекеров. В принципе, возможно использовать CloudFlare или CloudFront для настройки безсерверного прокси, который будет скрывать оригинальный домен третьей стороны. DNS в целом не поможет в этом случае, но он может стать хорошей отправной точкой для обнаружения таких прокси.

Минусы

  • Невозможно работать с рекламой от первого лица. Например, вы не сможете заблокировать видеорекламу на YouTube, потому что она размещается на том же домене, что и обычные видео.
  • Нет косметической фильтрации. При использовании только блокировки по DNS вы не будете видеть большинство рекламных объявлений, но у вас будут довольно уродливые веб-страницы со сломанными фреймами и пустыми рекламными блоками.
  • Более высокая вероятность поломки. Например, некоторые приложения или веб-сайты могут быть сломаны из-за блокировки Google Analytics, и вы ничего не сможете с этим сделать.
  • Легче обойти. Приложение может просто использовать другой DNS-сервер.

Что можно улучшить

DNS-фильтрация имеет некоторые недостатки, которые можно исправить или хотя бы смягчить.

Страница ошибки “Доступ запрещён” (Access Denied Error Page)

В настоящее время, если домен заблокирован на уровне DNS, вы просто видите уродливую страницу ошибки. Это негативно сказывается на пользовательском опыте. Например, при желании человек не сможет временно разблокировать домен, ведь способа сделать это просто нет.

К счастью, существует проект RFC (документ с запросом на комментарии) как раз об этом: DNS Access Denied Error Page, который позволит показывать пользователю красивую страницу ошибки, не прибегая к уродливым решениям (например, требованию установить сертификат HTTPS).

Механизмы обнаружения DNS с шифрованием

Сейчас вам нужно настраивать DNS на каждом устройстве. Не проще ли сделать это один раз непосредственно на роутере? Некоторые новые маршрутизаторы уже поддерживают DNS-шифрование. Однако многие старые устройства по-прежнему могут работать только со стандартными DNS-серверами. Существует рабочая группа «Adaptive DNS Discovery», которая стремится изменить эту ситуацию к лучшему.

Примечательные RFC-проекты:.

  1. Discovery of Designated Resolvers (“Обнаружение установленных резолверов”)](https://datatracker.ietf.org/doc/draft-ietf-add-ddr/), который позволяет обнаруживать зашифрованные DNS-серверы через специальную DNS-запись. Вот как это должно работать: вы настраиваете обычный DNS-сервер, а затем ваша ОС посылает ему специальный запрос, спрашивая, есть ли зашифрованный DNS-сервер, который он может использовать.
  2. Второй заметный RFC касается новой опции DHCP для зашифрованных DNS-серверов. Эта опция позволит роутеру распространять настройки зашифрованного DNS на подключённые к нему компьютеры.

Обнаружение приложений

И ещё одна вещь может быть улучшена. Было бы здорово иметь возможность определять, какое приложение выполняет тот или иной DNS-запрос. Однако не существует RFC, который мог бы в этом помочь. Но мы можем попытаться сделать это сами, попытаться создать своего рода «отпечатки пальцев DNS», по крайней мере, для популярных приложений. Если бы мы знали, какое приложение делает DNS-запрос, мы могли бы более гибко настраивать параметры блокировки.

  1. Например, мы хотим заблокировать трекинг Facebook. Но глобальная блокировка приведёт к поломке всех приложений Facebook. Поэтому мы хотим иметь возможность блокировать его только в приложениях, не относящихся к Facebook.
  2. Другая реальная проблема заключается в том, что блокировка AppsFlyer (системы мобильной аналитики) ломает некоторые довольно популярные приложения. Мы бы предпочли выборочно разрешить его работу — только для затронутых приложений, а в противном случае оставить его заблокированным.

Создание таких «отпечатков DNS» требует анализа сетевого поведения каждого популярного приложения, и мы работаем над решением, которое позволит это сделать.

Что такое AdGuard DNS

Если вы хотите получить доступ к «лучшему интернету», вам обязательно нужно в сочетании с VPN и блокировщиком рекламы использовать DNS. И мы предлагаем вам присмотреться к AdGuard DNS.

Что же представляет собой AdGuard DNS? Это DNS-сервис, который заботится о сохранении вашей конфиденциальности и обеспечении безопасности в интернете. Он поддерживает такие надежные протоколы шифрования, как DNS-over-HTTPS, DNS-over-TLS и DNS-over-QUIC. Он может определять запросы к рекламным, отслеживающим и/или доменам со «взрослым» контентом (опционально) и возвращать им пустой ответ. AdGuard имеет собственную базу доменных имен, обслуживающих рекламу, трекеры и мошеннические активности, и она регулярно обновляется. Кроме того, мы обеспечиваем полезную возможность добавлять в блоклисты свои пользовательские правила.

Чтобы дать вам более широкое представление о том, что такое AdGuard DNS, я упомяну ещё несколько моментов:

  • Он состоит из нескольких серверов, расположенных в 14 локациях.
  • Все эти серверы «анонсируют» одни и те же IP-адреса через BGP (Border Gateway Protocol).
  • Его текущая нагрузка составляет около трёхсот тысяч DNS-запросов в секунду.
  • AdGuard DNS написан на языке Golang.
  • Около 75% DNS-трафика шифруется. Именно это отличает DNS-серверы, блокирующие контент, от других. Если вы посмотрите на статистику CloudFlare или Quad9, то увидите, что зашифрованный DNS-трафик составляет лишь небольшую долю всех запросов. Для AdGuard DNS всё совсем иначе, большая часть трафика шифруется.

Синтаксис правил фильтрации DNS

Блоклисты AdGuard DNS составляются с использованием специального «синтаксиса фильтрации DNS». Нас не устраивали ограничения блоклистов типа HOSTS-файлов, поэтому для AdGuard DNS мы использовали знакомый синтаксис в стиле блокировщика рекламы. Затем он был постепенно расширен модификаторами, специфичными для DNS.

Примеры правил фильтрации DNS. Полная спецификация доступна на Github

Просто чтобы продемонстрировать разницу. Слева приведена статистика для DNS-фильтра AdGuard (тот, который мы используем по умолчанию). Он относительно короткий, но на самом деле блокирует около 900 000 доменов. А слева мы видим другой блоклист — Energized Ultimate, который представляет собой HOSTS-файл с 500 000 доменов. И вот что он блокирует — 500 000 доменов.

Статистика по данным AdGuard DNS

Узел AdGuard DNS-сервера

Каждый узел AdGuard DNS-сервера состоит из нескольких частей. На клиентской стороне интерфейса — перенаправляющий DNS-сервер, написанный на языке Golang, который реализует всю логику, т.е. DNS-фильтрацию, кэширование и т.д. На программно-аппаратной части сервиса у нас есть экземпляр несвязанного сервера, который обеспечивает рекурсию DNS. Нагрузка на один узел сервера составляет от 5 000 до 40 000 ответов в секунду в зависимости от расположения узла (некоторые локации более популярны, чем другие).

Реализации движков фильтрации DNS

Реализации движков фильтрации DNS имеют открытый исходный код и доступны на Github. Их две. Первая называется urlfilter и представляет собой библиотеку Golang, которую мы используем в AdGuard DNS и AdGuard Home. Обеспечивает относительно высокую производительность и занимает мало памяти. Вторая — AdGuard DnsLibs, это библиотека C++, которую мы используем в наших клиентских приложениях. Помимо фильтрации DNS, она также обеспечивает реализацию DNS-шифрования.

Если вы хотите защитить себя от рекламы и трекеров с помощью AdGuard DNS, просто следуйте этому руководству по настройке.

Взгляд в будущее

Браузерные блокировщики контента можно назвать самыми популярными среди обычных пользователей, но не среди составителей блоклистов. Существует гораздо больше HOSTS-файлов и списков доменов, которые поддерживаются добровольцами, чем списков фильтров для браузерных блокировщиков. Это говорит о том, что у блокировки на уровне DNS большие перспективы.

Статистика по данным filterlists.com

Что ещё можно сказать о будущем этой технологии? Во-первых, рост DNS-блокировки контента ускорится. В Windows 11 появилась поддержка шифрования DNS, новые роутеры также поддерживают шифрование DNS, всё это облегчит пользователям его настройку и использование.

Уровень обхода блокировки DNS-контента будет расти, но он всё ещё будет незначительным. Чтобы обойти её, требуется много усилий с разных сторон, и чтобы это начало происходить, DNS-блокировка контента должна стать такой же популярной, как и браузерная блокировка. А этого, вероятно, не произойдет, несмотря на темпы роста.

DNS не заменит браузерные блокировщики по очевидным причинам. Но, тем не менее, DNS-блокировка останется и займёт достойное место в системе обеспечения конфиденциальности и безопасности пользователей в интернете.

В превью Windows 11 появился DNS-over-HTTPS

Microsoft добавила в Windows 11 функцию DNS-over-HTTPS, позволяющую пользователям выполнять DNS-запросы через зашифрованное HTTPS-соединение, а не через обычный текстовый поиск, который можно отследить. DoH позволит пользователям обходить цензуру, предотвращать атаки спуфинга и повысить конфиденциальность.

www.microsoft.com

Браузеры на основе Chromium, такие как Google Chrome и Microsoft Edge, а также Mozilla Firefox, уже добавили поддержку DoH. Тем не менее, такое шифрование используется пока только в браузерах, но не в других приложениях, запущенных на компьютере.

Microsoft впервые выпустила DNS-over-HTTPS для инсайдеров в предварительной сборке Windows 10 20185, но отключила функцию позже.

В Windows 11 DoH можно протестировать, выбрав «Настройки»> «Сеть и Интернет»> «Ethernet/беспроводная связь»> «Изменить назначение DNS-сервера».

Если устройство использует DNS-сервер, который поддерживает DNS-over-HTTPS, то всплывет соответствующее окно «Предпочтительное шифрование DNS», где можно включить DoH, как показано ниже:

При этом можно выбрать несколько опций:

  • только незашифрованный — используйте стандартный незашифрованный DNS,
  • только зашифрованные (DNS через HTTPS) — используйте только серверы DoH,
  • предпочтительно зашифрованный — попробуйте использовать серверы DoH, но если они недоступны, вернитесь к стандартному незашифрованному DNS.

Microsoft заявляет, что следующие DNS-серверы поддерживают DoH и могут автоматически пользоваться функцией Windows 11 DNS-over-HTTPS:

  • Cloudflare: DNS-серверы 1.1.1.1 и 1.0.0.1,
  • Google: DNS-серверы 8.8.8.8 и 8.8.8.4,
  • Quad9: DNS-серверы 9.9.9.9 и 149.112.112.112.

Чтобы увидеть настроенные определения DNS-over-HTTPS, можно использовать следующие команды:

Using netsh: netsh dns show encryption Using PowerShell: Get-DnsClientDohServerAddress

Microsoft также позволяет администраторам создавать свои собственные определения DoH-серверов, используя следующие команды:

Using netsh: netsh dns add encryption server=[resolver-IP-address] dohtemplate=[resolver-DoH-template] autoupgrade=yes udpfallback=no Using PowerShell: Add-DnsClientDohServerAddress -ServerAddress '[resolver-IP-address]' -DohTemplate '[resolver-DoH-template]' -AllowFallbackToUdp $False -AutoUpgrade $True

«Для пользователей и администраторов было бы проще, если бы мы разрешили серверу DoH определять свой IP-адрес путем разрешения его доменного имени. Однако мы решили не допускать этого. Поддержка этого будет означать, что до того, как мы сможем установить DoH-соединение, мы должны сначала отправить простой текстовый DNS-запрос для его начальной загрузки», — говорит Томми Дженсен, менеджер программ подразделения Windows Core Networking.

Microsoft также добавила возможность управлять настройками Windows 11 DNS-over-HTTPS с помощью групповых политик.

В Windows 11 представлена политика «Настроить DNS через HTTPS (DoH)» в разделе «Конфигурация компьютера»> «Административные шаблоны»> «Сеть»> «DNS-клиент».

24 июня Microsoft представила Windows 11, а 28 июня выпустила первую официальную предварительную версию Insider Preview build 22000.51 в рамках программы предварительной оценки.

Microsoft объяснила, зачем Windows 11 нужен модуль TPM 2.0. С помощью этой технологии компания собирается защищать пользователей от растущего уровня киберпреступности в мире, включая распространение фишинговых рассылок и внедрение программ-вымогателей. Однако компания может разрешить поставку некоторых систем без включенной функции, в том числе, в Россию.

  • Информационная безопасность
  • DNS
  • Разработка под Windows
  • Софт

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *