Лучшие DNS-серверы для безопасного просмотра

Ваш маршрутизатор отправляет DNS-запросы, когда вы просматриваете веб-страницы. Однако по умолчанию ваш интернет-провайдер видит все ваши поисковые запросы и веб-адреса. Вы можете изменить настройки DNS для повышения безопасности и конфиденциальности.

Что такое DNS-сервер?

Сервер DNS (динамическая система имен) — это служба, которая автоматически преобразует удобочитаемые веб-адреса в IP-адреса. Это важно, потому что у вас дома и в Интернете каждое сетевое устройство имеет IP-адрес. Использование IP-адресов в качестве людей было бы утомительным. Даже если бы мы могли их запомнить, мы бы опечатались. Вот почему была разработана система доменных имен.

Когда вы пытаетесь подключиться к веб-сайту, ваш маршрутизатор проверяет, находятся ли сведения об этом сайте в его кеше. Если нет, он делает DNS-запрос, отправляя доменное имя веб-сайта на DNS-сервер. DNS-сервер ищет доменное имя, находит IP-адрес и отправляет его обратно на ваш маршрутизатор, чтобы он мог попытаться подключиться к веб-серверу, на котором размещен веб-сайт.

В реальности все сложнее. По умолчанию DNS-сервер, к которому подключается ваш маршрутизатор, является сервером-предшественником DNS, предоставляемым вашим интернет-провайдером.

СВЯЗАННЫЕ С : Как исправить «Сеть блокирует зашифрованный DNS-трафик» на iPhone

Если сервер-предшественник не хранит сведения о веб-сайте в собственном кеше, он отправляет запрос на корневой сервер имен DNS. Корневой сервер имен отвечает серверу-предшественнику списком серверов доменов верхнего уровня, которые могут обрабатывать домен верхнего уровня (.COM, .INFO, .ORG и т. д.) запрошенного веб-сайта. Сервер-предшественник повторяет свой запрос к одному из серверов домена верхнего уровня в этом списке.

Сервер домена верхнего уровня отвечает именем уполномоченного сервера имен DNS, который фактически содержит сведения о домене. Затем сервер-предшественник еще раз отправляет запрос полномочному серверу имен, чтобы окончательно получить IP-адрес.

В нашем примере человек пытался получить доступ к веб-сайту, но то же самое относится и к любому веб-ресурсу, идентифицируемому доменным именем, например к серверу электронной почты.

DNS, безопасность и конфиденциальность

Использование DNS-сервера вашего интернет-провайдера по умолчанию влияет на конфиденциальность и безопасность.

Данные в DNS-запросах не шифруются, даже если некоторые присоединенные метаданные зашифрованы. Атака «человек посередине» или любопытный сотрудник вашего интернет-провайдера могут очень легко раскрыть и просмотреть вашу онлайн-активность. Это достаточно плохо, но использование DNS-сервера интернет-провайдера также может ослабить вашу безопасность.

Вот некоторые из наиболее распространенных кибератак, ориентированных на DNS:

• Распределенный отказ в обслуживании : это создает поток поддельных запросов, которые перегружают DNS-сервер, делая его неспособным обслуживать подлинные запросы.
• DNS Spoofing/Poisoning : это создает ложные, вредоносные ответы DNS, на которые действует ваш маршрутизатор. Киберпреступники могут отправлять пользователей на мошеннические веб-сайты вместо подлинных веб-сайтов. Это могут быть фишинговые веб-сайты, собирающие учетные данные для входа.
• Перехват DNS . Вредоносное ПО заражает ваш компьютер и изменяет настройки и поведение TCP/IP таким образом, что DNS-запросы перенаправляются на мошеннические DNS-серверы киберпреступников. Эти веб-запросы перенаправляются на фишинговые или другие вредоносные веб-сайты.
• Перехват домена : это более редкая форма атаки. Это требует изменения данных в системах регистратора доменов, чтобы сохраненные данные законного веб-сайта указывали на поддельный веб-сайт.

Стандартный DNS не обеспечивает реальной безопасности. Все, что он может сделать, это проверить, что ответ нижестоящего сервера пришел с того же IP-адреса, на который был отправлен запрос. Это хоть что-то, но вряд ли основательно.

Расширения безопасности системы доменных имен, или DNSSEC, были разработаны для добавления цифровых подписей к запросам DNS. Это позволяет DNS-серверам проверять, что данные, которые они получают, действительно поступают оттуда, откуда они якобы поступают. Это называется аутентификацией источника данных . Кроме того, получатель может убедиться, что данные не были изменены при передаче. Это называется защитой целостности данных .

DNS через HTTPS, DoH, — это новый протокол, который шифрует DNS-запросы и межсерверный трафик. Однако зарегистрированные и кэшированные DNS-запросы не шифруются. Они шифруются только при передаче. И, конечно же, большинство интернет-провайдеров регистрируют все, что могут, и не все они поддерживают DNSSEC и DoH.

СВЯЗАННЫЕ: Полное руководство по изменению вашего DNS-сервера

Лучшие DNS-серверы для безопасного просмотра

Общедоступные DNS-серверы будут более закрытыми, более безопасными и более быстрыми, чем предлагаемые по умолчанию поставщиком услуг Интернета. Вот пять лучших DNS-серверов, которые мы рекомендуем:

Главная страница OpenDNS

• Основной DNS : 208.67.222.222
• Вторичный DNS : 208.67.220.220

OpenDNS был куплен Cisco в 2015 году. Часть «Open» означает, что он принимает DNS-запросы отовсюду. Это не имеет ничего общего с открытым исходным кодом. OpenDNS имеет платный и бесплатный уровни.

Cisco построила свое имя на передовых сетевых продуктах и ​​ноу-хау. Cisco знает о сетях и маршрутизации трафика столько же, сколько и любая другая компания на планете. Он имеет глобальное присутствие и предлагает надежную службу DNS.

OpenDSN Home поддерживает DoH и DNSSEC. Он также поставляется в комплекте с фильтрацией контента и защитой от вредоносных программ и фишинга. Вы не можете отказаться от этого. У вас есть некоторый контроль над их настройками, но не так сильно, как на одном из их платных уровней.

Возможно, более тревожным является то, что OpenDNS регистрирует ваши DNS-запросы, ваш IP-адрес и многое другое и размещает так называемые «веб-маяки» на страницах, которые вы посетили.

OpenDNS быстр и безопасен, но его конфиденциальность может кого-то оттолкнуть.

Общедоступный DNS Google

• Первичный DNS : 8.8.8.8
• Вторичный DNS : 8.8.4.4

Публичный DNS Google бесплатен для всех, в том числе для бизнеса. Это надежный и надежный сервис с быстрым временем отклика. И, конечно же, вы можете быть уверены, что Google никуда не денется.

Общедоступный DNS Google поддерживает множество протоколов поиска, включая DNS через HHTPS, а также DNSSEC. Он также включает некоторую защиту от DDoS-атак.

Единственная проблема с DNS Google — это Google. Все знают, что это приносит доход, собирая данные и используя их для целевой рекламы. Он также делится данными за определенную плату с третьими лицами. Таким образом, Google получает высокие оценки за надежность и безопасность, но не столько за конфиденциальность.

Google говорит, что данные, которые он собирает, являются анонимными, в них нет личной информации, так что это может вас не беспокоить. Если вы уже используете такие продукты Google, как Gmail, Android или поисковую систему Google, Google не узнает о вас больше, чем уже знает.

Но если вы предпочитаете не взаимодействовать с их корпоративным механизмом «большие технологии, большие данные, старший брат», Google вам не подойдет.

Облачная вспышка

• Первичный DNS : 1.1.1.1
• Дополнительный DNS : 1.0.0.1

Cloudflare наиболее известен как поставщик сетей доставки контента, которые распределяют трафик веб-сайта между зеркальными распределенными экземплярами и защищают от DDoS-атак практически любого масштаба.

Он имеет самую высокую производительность DNS и публично обязуется никогда не записывать ваш IP-адрес и удалять операционные журналы каждые 24 часа. Это подтверждено независимой компанией KPMG.

По умолчанию он не объединяет фильтрацию и блокировку контента, но вы можете использовать его, если хотите. Чтобы включить его, вам просто нужно использовать альтернативные первичный и вторичный DNS-серверы Cloudflare.

Cloudflare DNS может быть сложно настроить, а веб-сайт Cloudflare не самый интуитивно понятный для навигации. Однако, как только он заработает, вы окажетесь на самом быстром DNS, с бонусом в том, что он уважает вашу конфиденциальность.

DNSWatch

• Первичный DNS : 84.200.69.80
• Вторичный DNS : 84.200.70.40

DNSWatch заявляет, что поддерживает сетевой нейтралитет и не пытается фильтровать какой-либо контент с помощью своих DNS-серверов. Он также не регистрирует DNS-запросы или историю пользователей. DNSWatch никогда не будет передавать или продавать ваши данные, поскольку они их не собирают.

Он поддерживает DNSSEC и DoH, но все остальное, например защита от фишинговых сайтов или вредоносных сайтов, остается на ваше усмотрение. Одна вещь, которую он продвигает, — это отказ от захвата неудачных запросов.

Как правило, интернет-провайдер отправляет вас на спонсируемую страницу поиска, если сайт, на который вы пытаетесь перейти, не отвечает. Все, что вводится на этот сайт, регистрируется вашим интернет-провайдером. DNSWatch этого не делает, он показывает вам страницу плохого подключения вашего браузера по умолчанию.

Quad9

• Первичный DNS : 9.9.9.9
• Вторичный DNS : 149.112.112.112

Хотя штаб-квартира Quad9 находится в Европе, она имеет 183 кластера DNS-преобразователей в 90 странах мира. Это бесплатная услуга. Его серверы регистрируют данные о транзакциях и производительности, но не идентифицирующую личность информацию. Он регистрирует временные метки, транспортные протоколы, запрошенные домены и их геолокацию и так далее.

По умолчанию он обеспечивает безопасность помимо DNSSEC и DoH, блокируя известные вредоносные веб-сайты, которые содержат вредоносное ПО или собирают учетные данные пользователей. Список заблокированных сайтов собран из более чем 20 открытых и коммерческих источников информации. Он не фильтрует и не блокирует контент, рекламу или веб-трекеры, а только вредоносные веб-сайты.

Если вы не хотите, чтобы эта блокировка была включена, вы можете использовать альтернативные первичный и вторичный IP-адреса.

Что касается скорости, среднее время отклика Quad9 составляет 21 мс, а время безотказной работы составляет 99,94%. Google и Cloudflare имеют время отклика в районе 10 мс, и в этом они превосходны: чистая скорость. Тем не менее, 21 мс по-прежнему невероятно быстры. В обычном режиме вы не заметите никакой разницы между ними.

Попробовать их; Они свободны

Поскольку у всех этих провайдеров есть бесплатные службы DNS, вы можете выбрать один и попробовать его. Или попробуйте несколько. У нас есть руководства для разных платформ:

• Как изменить свой DNS-сервер в Windows 10
• Как изменить свой DNS-сервер в Windows 11
• Как изменить свой DNS-сервер на Chromebook
• Как изменить свой DNS-сервер на Mac
• Как изменить свой DNS-сервер на Android
• Как изменить свой DNS-сервер на iPhone или iPad

Просто помните, что безопасность и конфиденциальность — это не одно и то же, и не каждый провайдер DNS уделяет им одинаковое внимание.