Публичные глобальные dns-серверы: какой выбрать, чем отличаются

Настройка dnscrypt-proxy для использования с IPv6

Что такое DNS

DNS расшифровывается как Domain Name System. В интернет доступ к вебсайтам осуществляется либо по их IP-адресам (например, 123.12.15.19), либо по доменным именам (например, levashove.ru). Соответствие между доменными именами и их адресами хранится в иерархической структуре службы доменных серверов — DNS-серверов. Обычно интернет-провайдер автоматически предоставляет своим пользователям DNS-сервер, но в некоторых случаях может потребоваться использовать публичные DNS.

Несколько причин, по которым вы можете использовать альтернативные DNS сервера:

• Ускорение работы веб-браузера.
• Улучшение безопасности.
• Резервное решение, в случае падения dns-серверов провайдера.
• Обход простых блокировок провайдера.

2. Google Public DNS (поддерживается DNS over TLS)

Google Public DNS — DNS-сервер от Google, который обеспечивает ускорение загрузки веб-страниц за счет повышения эффективности кэширования данных, а также улучшенную защиту от атак «IP-спуфинг» и «Отказ в обслуживании (DoS)».

Для IPv4:

Для IPv6:

3. Яндекс.DNS

У Яндекса более 80 DNS-серверов, расположенных в разных городах и странах. Запросы каждого пользователя обрабатывает ближайший к нему сервер, поэтому с Яндекс.DNS в «Базовом» режиме сайты открываются быстрее.

Базовый — Быстрый и надежный DNS:

Безопасный — Без мошеннических сайтов и вирусов:

Семейный — Без сайтов для взрослых:

4. OpenDNS (Поддерживается DNSCrypt и DNS over TLS)

OpenDNS предлагает DNS-решения для пользователей и предприятий, как альтернативу использованию DNS-сервера, предлагаемого их провайдером, но также имеет и бесплатный вариант службы.

5. Norton ConnectSafe

Norton ConnectSafe обеспечивает защиту компьютера и локальной сети от опасных или нежелательных веб-сайтов.

A – С блокировкой вредоносных сайтов (Security (malware, phishing sites and scam sites)):

B – С блокировкой вредоносных сайтов, сайтов для взрослых (Security + Pornography):

C – С блокировкой вредоносных сайтов, сайтов для взрослых, сайтов распространяющих файлы (Security + Pornography + Non-Family Friendly):

6. Comodo Secure DNS (Поддерживается DNSCrypt и DNS over TLS)

Comodo Secure DNS — распределенный по миру рекурсивный DNS сервис, не требующий какого-либо оборудования или программного обеспечения. При этом сервис повышает надежность, скорость, эффективность и безопасность использования интернета.

A:

B:

17. Freenom World (не ведутся логи)

Спасибо, что читаете! Подписывайтесь на мои каналы в Telegram, и . Только там последние обновления блога и новости мира информационных технологий.

Настройки IP DNS

Как внести полученные данные в систему? Необходимо:

• Открыть меню.
• Найти сетевые подключения.
• Перейдите к настройке IPv4.
• В меню есть два варианта – автоматический, когда параметры устанавливаются по умолчанию, и ручной. Выберете второе решение.
• Внесите полученные в бенчмарке предпочитаемый и альтернативный сервера.
• Подтвердите сохранение данных.
• Проверьте функционирование.

В большинстве случаев выполнять ручную настройку не нужно. Не стоит менять параметры, пока стандартные сервера хорошо работают. DNS-адреса Ростелеком устанавливаются автоматически для облегчения использования услуг.

Менять значения необходимо при возникновении трудностей. Тогда стоит воспользоваться бенчмарком и подобрать подходящие сервера. В большинстве случаев приложение предлагает наилучшие варианты для применения.

Что такое делегирование?

Когда вы создаёте собственную локальную сеть с выходом в интернет, обязанность расшифровки доменных имён для абонентов данной сети ложится на маршрутизатор, который объединяет все функциональные узла вашей «локалки».

По умолчанию роутеры запрашивают «имя» нужного сетевого IP у DNS сервера интернет-провайдера. При этом данная операция называется делегированием и происходит автоматически без «вмешательства» администратора данной сети.

Однако у настроек «по умолчанию» есть один существенный недостаток — данный запрос может делегироваться несколько раз нескольким прокси-серверам. Таким образом, если с одним из серверов возникнут проблемы, то вместо любимого сайта в браузере высветится малоприятное сообщение dns сервер не отвечает. И пока администраторы сервера не устранят неполадку, на нужный сайт вы сможете попасть только по IP адресу — т.е. зная расшифровку его домена.

Кроме того, даже при полной функциональности каждого звена данной сети, каждая операция делегирования отнимает лишнее время на передачу запроса и ответа (от вашего компьютера к одному из основных DNS-серверов и обратно).

Соответственно, имеет смысл прописать dns на роутере вручную — т.е. настроить делегирование напрямую, минуя все сервера-посредники.

DNS-сервер провайдера не отвечает: что делать

Что делать, если не удается найти DNS address сервера

Так как DNS всего лишь перенаправляет запросы от хоста к источнику запроса, возникают непредвиденные и иногда необъяснимые проблемы. Часто их причиной становится обычная установка нового антивируса, почему-то блокирующего сеть.

Также ошибка появляется при беспроводном подключении роутера к интернету с одновременным подсоединением устройств по Wi-Fi-сети. Еще пользователи неправильно настраивают роутер. Сеть «Ростелеком» использует протокол соединения PPPoE и никакой другой.

Бывают ситуации, когда рабочая станция использует локальный DNS-адрес: 127.0.0.1. Это, по сути, сетевое имя компьютера. То есть, наблюдаются проблемы с сетевой картой. Перечень действий для исправления ситуации:

1. Перезапустить маршрутизатор «Ростелеком». Не стоит сразу настраивать параметры DNS-сети в Windows или на роутере, так как можно усугубить положение дел. Если интернета от «Ростелекома» не наблюдается, нажать кнопку Power, а затем снова включить ее.
2. Правильность введенной информации. Проверить, правильно ли вписаны данные в полях. Возможно, есть ошибка в цифрах, или конфигурация не сохранена. Использовать настройки оптимального варианта сервера от утилиты DNS Benchmark или аналогичной ей.
3. Обновить драйверы на сетевой адаптер. Попробовать с помощью различных программ проверить последние обновления драйверов на устройства.
4. Отключить временно антивирус и брандмауэр. Данное действие небезопасно, но временно дает эффект. Чтобы постоянно не отключать антивирусное программное обеспечение, нужно добавить текущее подсоединение в список исключений.
5. Служба технической поддержки «Ростелекома». Обратиться в техподдержку и узнать, что можно сделать по поводу работоспособности интернета. Вполне возможно, что со стороны провайдера возник сбой, над исправлением которого работают. Даже если проблема не в оборудовании поставщика услуг интернет-связи, специалисты посодействуют пользователю и дадут совет.

В Windows открыть командую строк от имени администратора, сбросить сетевые настройки. Для этого нужно по очереди ввести следующие команды:

• ipconfig /flushdns;
• ipconfig /registerdns;
• ipconfig /release;
• ipconfig /renew.

Также нужно проверить значение ping. Ввести в командной строке ping yandex.ru. Отправленных и полученных пакетов должно быть одинаковое количество. Потерянных – 0.

Зачем использовать имя для рассылки с DNS?Why use Anycast with DNS?

С помощью DNS-сервера несозданной рассылки можно включить DNS-сервер или группу серверов для реагирования на запросы DNS на основе географического расположения DNS-клиента.With Anycast DNS, you can enable a DNS server, or a group of servers, to respond to DNS queries based on the geographical location of a DNS client. Это может повысить время отклика DNS и упростить параметры DNS-клиента.This can enhance DNS response time and simplify DNS client settings. Кроме того, служба DNS предоставляет дополнительный уровень избыточности и помогает защититься от атак типа «отказ в обслуживании» DNS.Anycast DNS also provides an extra layer of redundancy and can help protect against DNS denial of service attacks.

Как работает служба DNS для многопроцессорной рассылкиHow Anycast DNS works

Для отправки запросов DNS на предпочитаемый DNS-сервер или группу DNS-серверов (например, группы DNS-серверов, управляемых подсистемой балансировки нагрузки) служба DNS с нежелательной рассылкой работает с помощью протоколов маршрутизации, таких как протокол BGP (BGP).Anycast DNS works by using routing protocols such as Border Gateway Protocol (BGP) to send DNS queries to a preferred DNS server or group of DNS servers (for example: a group of DNS servers managed by a load balancer). Это позволяет оптимизировать обмен данными по DNS, получая ответы DNS с DNS-сервера, ближайшего к клиенту.This can optimize DNS communications by obtaining DNS responses from a DNS server that is closest to a client.

С помощью рассылки по отдельности серверы, которые находятся в нескольких географических расположениях, каждый объявляет один идентичный IP-адрес их локальному шлюзу (маршрутизатору).With Anycast, servers that exist in multiple geographical locations each advertise a single, identical IP address to their local gateway (router). Когда DNS-клиент инициирует запрос к адресу рассылки до первого получателя, оцениваются доступные маршруты, и запрос DNS отправляется в предпочтительное расположение.When a DNS client initiates a query to the Anycast address, the available routes are evaluated, and the DNS query is sent to the preferred location. Как правило, это ближайшее расположение, основанное на топологии сети.In general, this is the closest location based on network topology. См. следующий пример.See the following example.

Рис. 1. четыре DNS-сервера, расположенные на разных сайтах в сети, каждый объявляет один и тот же IP-адрес рассылки (черные стрелки) сети.Figure 1: Four DNS servers located at different sites on a network each announce the same Anycast IP address (black arrows) to the network. Клиентское устройство DNS отправляет запрос на IP-адрес незаполненной рассылки.A DNS client device sends out a request to the Anycast IP address. Сетевые устройства анализируют доступные маршруты и отправляют клиентский запрос DNS в ближайшее расположение (синяя стрелка).Network devices analyze the available routes and send the client’s DNS query to the nearest location (blue arrow).

Чаще всего DNS используется для маршрутизации трафика DNS для многих глобальных служб DNS.Anycast DNS is used commonly today to route DNS traffic for many global DNS services. Например, система корневого DNS-сервера в значительной степени зависит от пересылок по DNS.For example, the root DNS server system depends heavily on Anycast DNS. Кроме того, по отдельности работает с различными протоколами маршрутизации и может использоваться исключительно в интрасетях.Anycast also works with a variety of routing protocols and can be used exclusively on intranets.

DHCP-сервер что это и в чём его особенности

DHCP-сервер автоматически настраивает параметры сети. Такие сервера помогут в домашней сети, чтобы не настраивать каждый подключённый компьютер отдельно. DHCP самостоятельно прописывает параметры сети подключившемуся устройству (включая IP-адрес хоста, IP-адрес шлюза и DNS-сервер).

DHCP и DNS – разные вещи. DNS всего лишь обрабатывает запрос в виде символьного адреса и передаёт соответствующий IP-адрес. DHCP куда более сложная и умная система: она занимается организацией устройств в сети, самостоятельно распределяя IP-адреса и их очерёдность, создавая сетевую экосистему.

Итак, мы разобрались, что DNS-сервера призваны передавать IP-адрес запрашиваемого ресурса. Сторонние DNS-сервера позволяют ускорить интернет (в отличие от стандартных серверов провайдера), защитить соединение от вирусов и мошенников, включить родительский контроль. Настроить DNS-сервер совсем несложно, а большинство проблем с ним можно решить, переключившись на другой DNS-сервер.

По умолчанию, вы используете DNS серверы вашего провайдера Интернет-услуг, но можете отказаться от них. Есть целый ряд причин, чтобы использовать серверы DNS сторонних провайдеров. Они могут быть быстрее, чем серверы DNS вашего провайдера, иметь расширенные функции безопасности, или помочь вам обойти цензурные фильтры в Интернете. Существует несколько бесплатных сервисов поддержки доменных имен, на которые вы можете переключиться.

Необходимость использования альтернативных DNS серверов особенно актуальна для итернет банкинга и проведения безналичных платежей. Расширяющийся парк электронного торгового оборудования в магазинах и супермаркетах позволяет рассчитываться за покупки без использования пластиковых карт. о торгово-кассовом оборудовании вы можете почитать на сайте поставщика, а мы сосредоточимся на том, как подготовить ваше устройство к безопасным платежам.

Проблемы безопасности DNS-сервера

Иногда DNS-серверы могут быть взломаны хакерами, что приводит к тому, что ничего не подозревающие жертвы попадают на фейковые или вредоносные веб-сайты под видом обычного. То есть в адресной строке вы вводите:  www.example.com, а на самом деле попадаете на совершенно другой сайт созданный хакером для изъятия информации, нанесения вреда вашему ПК и т.д.

Чтобы не стать жертвой такой атаки, вы должны убедиться, что ваши антивирусные инструменты обновлены, и если вы видите предупреждающее сообщение о недействительном сертификате, не стоит заходить на сайт, особенно если он запрашивает конфиденциальную информацию.

Способы включения DNS через HTTPS (DoH)

Определение ДНС провайдера из своей сети

Проще всего это сделать, когда имеется сеть и выход в интернет, либо то же самое можно сделать от абонента, также обслуживающегося в вашей провайдерской сети. Для этих целей следуйте инструкции:

• запустите командную строку, нажав в меню «Пуск», затем «Выполнить» и набрав в строке CMD (строчными);
• в открывшемся окне командной строки наберите ipconfig/all;
• в отчете вы получите список DNS-адресов;
• полученные адреса можно физически прописать в настройках сети, в этом случае выход в сеть будет стабильно работать даже при сбоях автоматического обнаружения ДНС-серверов.

Этот способ помогает сделать доступ в сеть более устойчивым, фактически вы назначаете постоянный ДНС-сервер с резервным адресом. Оба сервера будут осуществлять маршрутизацию ваших запросов в сети интернет.

Как DNS влияет на скорость Интернет?

От скорости работы серверов DNS зависит скорость взаимодействия с новыми сайтами в сети Интернет. Сайты, которые были однажды посещены, заносятся в DNS кеш и открываются в дальнейшем значительно быстрее.

Чтобы очистить кеш DNS нажмите: Win+R, затем в строке «Выполнить» наберите команду .

DNS-сервер (англ. Domain Name System — система доменных имён) — это база данных сайтов и их адресная книга в сети Интернет, которая храниться на специальных компьютерах-серверах. При взаимодействии компьютера пользователя и DNS-сервера происходит обмен данными.

Пользовательский компьютер передаёт запрос адреса, своё место положения и др. DNS-сервер — сообщает (или не выдаёт в случае блокировки сайта, или если DNS-сервер перегружен, не отвечает) информацию о искомом адресе сайта в World Wide Web.

Получив данные об искомом сайте, ПК пользователя (браузер) начинает загрузку содержимого и взаимодействует с клиентской стороной пользовательского интерфейса (фронтендом) сайта, сервиса.

Принцип работы DNS-сервера несколько схож с работой файла hosts в OS Windows. Они выполняют похожие функции.

Как соотносятся DNS поверх HTTPS, DNSSEC, DNSCrypt, DNS поверх TLS

Имеется несколько протоколов, обеспечивающих шифрование DNS запросов. В настоящее время на клиентском программном обеспечении лучше всего поддерживается DNS поверх HTTPS (DoH) — именно ему и посвящена данная статья. Чтобы ориентироваться в терминах, рассмотрим краткие характеристики каждого из протоколов.

DNS поверх HTTPS (DoH) — протокол для выполнения разрешения DNS по протоколу HTTPS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа «Атака посредника».

DNS поверх TLS (DoT) — предлагаемый стандартный протокол для выполнения разрешения удалённой системы DNS с использованием TLS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа «Атака посредника».

DNSSEC (англ. Domain Name System Security Extensions) — набор расширений IETF протокола DNS, позволяющих минимизировать атаки, связанные с подменой DNS-адреса при разрешении доменных имён. Он направлен на предоставление DNS-клиентам (англ. термин resolver) аутентичных ответов на DNS-запросы (или аутентичную информацию о факте отсутствия данных) и обеспечение их целостности. При этом используется криптография с открытым ключом.

DNSCrypt — это сетевой протокол, который аутентифицирует и шифрует трафик системы доменных имён (DNS) между компьютером пользователя и рекурсивными серверами имён. Первоначально он был разработан Фрэнком Денисом и Йеченг Фу.

Хотя существует несколько реализаций клиента и сервера, протокол никогда не предлагался Инженерной группе Интернета (IETF) в виде RFC.

DNSCrypt обёртывает неизмененный DNS-трафик между клиентом и преобразователем DNS в криптографической конструкции для обнаружения подделки. Хотя он не обеспечивает сквозную безопасность, он защищает локальную сеть от атак типа «злоумышленник в середине».

Он также снижает опасность атак с усилением на основе UDP, требуя, чтобы вопрос был не меньше размера соответствующего ответа. Таким образом, DNSCrypt помогает предотвратить атаки с усилением DNS.

DNSCurve — это предлагаемый безопасный протокол для системы доменных имён (DNS), разработанный Дэниелом Дж. Бернстайном.

DNS и интернет

То, что я описывал выше, – всего лишь очень простой пример, где было несколько переменных: пользователь и его браузер, DNS-сервер, который распределяет домены и адреса, и некий удаленный сервер, на котором хранится информация. В реальности же эта схема может быть намного сложнее, потому что на весь мир не может быть одного DNS-сервера. Их тысячи, миллионы, а может, еще больше. Все они связаны между собой и постоянно обмениваются информацией.

Если какой-то пользователь хочет подключиться к сайту, то его компьютер сначала обращается к ближайшему DNS-серверу, чтобы тот сделал переадресацию к корневому – тому, где хранятся данные о других серверах (их, напомню, очень много и все они определенным образом связаны).

Корневой сервер может сделать еще несколько запросов, прежде чем он доберется до нужного DNS, где и будет храниться сам искомый адрес. Схема действительно довольно сложная, потому что сам интернет очень обширен, можно сказать, безграничен.

Также при обмене данными очень важную роль могут играть NS-серверы хостинга, на котором расположен тот или иной сайт. NS-серверы могут отдавать информацию об IP-адресах всех сайтов, которые есть на хосте. Хостинги могут содержать в себе колоссально огромное количество сайтов. Порой это количество исчисляется сотнями и тысячами. К каждому такому сайту ведет собственная ниточка, которую и проводят NS-серверы хостинга.

Рассмотрим простой пример с iklife.ru. Когда вы вводите этот адрес в строку своего браузера, происходит примерно это.

Рассмотрим этот процесс более подробно.

1. Сначала ваш компьютер или любое другое устройство подключается к DNS-серверам провайдера. Туда он передает домен, в нашем случае это iklife.ru.
2. Далее, этот домен передается от DNS провайдера к корневому серверу, где уже, в качестве выдачи, будут NS-адреса хостинга, к которым был привязан домен. Об этом я уже рассказывал, домен можно привязать к NS-серверам.
3. Далее, домен передается к этим самым NS-серверам, которые мы получили от корневого DNS-сервера. Уже от NS мы получаем IP-адрес нужного нам сервера.
4. Этот самый адрес передается к компьютеру, после чего этот компьютер подключается к серверу. От сервера передается информация в виде содержимого сайта или чего-то еще.

Примерно так работает вся эта система, когда мы говорим про работу веб-ресурсов. В принципе, ничего сложного здесь нет. Достаточно просто понять суть.

Атаки на DNS

• подмена DNS или «отравление» кэша: использование уязвимости системы для управления кэшем DNS с целью перенаправления пользователей в другое место
• DNS-туннелирование: в основном используется для обхода средств защиты от удаленных подключений
• перехват DNS: перенаправление обычного трафика DNS на другой целевой DNS-сервер путем изменения регистратора домена
• атака NXDOMAIN: проведение DDoS-атаки на авторитетный сервер DNS путем отправки неправомерных доменных запросов для получения принудительного ответа
• фантомный домен: заставляет DNS-преобразователь (DNS resolver) ждать ответа от несуществующих доменов, что приводит к снижению производительности
• атака на случайный субдомен: взломанные хосты и ботнеты проводят DDoS-атаку на действующий домен, но сосредотачивают огонь на ложных субдоменах, чтобы принудить DNS-сервер выполнять поиск записей и захватить управление над службой
• блокировка домена: представляет собой отправку множества спам-откликов для блокировки ресурсов DNS-сервера
• ботнет-атака с абонентского оборудования: совокупность компьютеров, модемов, роутеров и других устройств, концентрирующих вычислительную мощность на определенном веб-сайте для его перегрузки запросами трафика

Не удается найти dns адрес сервера возможные причины проблемы

Среди наиболее распространенных причин ошибки dns сервера можно отметить:

1. Технические работы на самом сайте или на стороне провайдера провайдера, который «хостит» интернет-ресурс.

2. Технические работы на стороне вашего интернет-провайдера.

3. Сбой сетевых настроек на вашем компьютере.

Если ошибка dns сервера «выскакивает» только на одном сайте (а остальные веб-страницы «грузятся» без проблем), то проблема, скорее всего, на стороне данного веб-ресурса и здесь вы ничего не сможете сделать: наверняка, администраторы сайта знают о неполадках и в ближайшее время устранят неисправность.

Если же dns сервер недоступен на нескольких сайтах, то стоит проверить загрузку данных ресурсов с других компьютеров/мобильных устройств: если злополучная ошибка возникает на всех ПК, то это либо проблемы провайдера, либо проблемы вашего сетевого устройства (например, роутера).

В таком случае стоит довериться сложной сетевой магии с помощью автонастройки и:

1. Отключить питание роутера, подождать 30 секунд и снова включить маршрутизатор.

2. Вынуть сетевой кабель из LAN-порта компьютера и снова подключить коннектор к разъему сетевой карты.

3. Перезагрузить компьютер.

В большинстве случаев после таких «операций» Windows удается найти dns address сервера, и любимые сайты работают без проблем.

Если же браузер по-прежнему пишет, что dns сервер не отвечает, то придется «расчехлять тяжелую артиллерию».

Существует еще несколько возможных причин возникновения данной ошибки:

1. Вирусы, автоматически меняющие сетевые настройки ОС Windows 7.

2. Незадачливый мастер, вручную задавший в настройках подключения .

3. Сбитые после удаления каких-либо системных/сетевых программ настройки DNS или проблемы с автоматическим запуском службы DNS.

Как исправить ошибку «dns сервер недоступен»?

1. Кэш DNS – это хранилище данных на вашем компьютере, в котором записаны названия и сайтов – это необходимо, чтобы ускорить соединение с нужным ресурсом. Возможно, поможет чистка кэша – для этого нажмите «Win» + «R», выполните в терминале команду «ipconfig /flushdns» и вновь попробуйте зайти на сайт.

2. Если обновление кэша не помогло, придется вручную прописывать DNS-сервера – скорее всего, это проблемы на стороне провайдера. Для этого вновь откройте терминал командной строки через «Win» + «R» и выполните «ncpa.cpl» – откроется меню «Сетевые подключения».

2.1. Выберите то, которое используется для доступа в сеть -> Свойства -> Протокол Интернета версии 4 -> Свойства.

2.2. Если в «Основном» и «Альтернативном» серверах что-то указано – попробуйте поставить галочку на «Получать данные DNS автоматически», применить изменения и перезагрузиться.

2.3. Если же изначально стояла галочка на автоматическом получении, то в «Предпочитаемый адрес DNS-сервера» укажите «8.8.8.8», а в «Альтернативном» – «8.8.4.4».

Итак, вы указали сервера Google Public DNS, которые работают безотказно. Примените настройки, перезагрузите компьютер и вновь попробуйте подключиться к нужному сайту.

Если компьютеру не удается найти dns адрес сервера при подключении через роутер (а не напрямую) необходимо найти в вкладку с DNS-серверами, и указать там те же два адреса. Если полей для адресов больше или указаны другие адреса – не пугайтесь, просто укажите два адреса и сохраните настройки.

3. Если и это не помогло – возможно, ошибка появляется из-за вируса.

В таком случае поможет полное сканирование системы антивирусами, например, Dr.Web, Avira, Avast или Kaspersky.

4. Проверьте, корректно ли работает автозапуск службы DNS. Для этого войдите в Панель Управления -> Администрирование -> Службы,

найдите в списке службу DNS и проверьте, стоит ли «Автоматически» в графе «Тип запуска».

5. Если после всех перечисленных мер проблема «не удается найти dns address сервера» не ликвидирована – потребуется выполнить на компьютере сброс настроек TCP/IP. Здесь вы найдете бесплатную утилиту от Microsoft и инструкцию пользования – https://support.microsoft.com/ru-ru/kb/299357

Пользователи интернета иногда сталкиваются с ситуацией, когда не получается осуществить выход в сеть. Часто возникает ошибка «DNS-сервер не отвечает». Сложностей не возникнет, если знать причины появления проблемы и способы их решения.

Проверка работы dnscrypt-proxy

Я уже упоминал, что благодаря кэшированию, повторные DNS запросы обрабатываются быстрее. Для проверки можно выполнить два раза подряд команду:

time dig kali.tools +short

Первый ответ получен через 0,047s, а второй всего через 0,006s. Конечно, это только доли секунды, но всё равно хорошо. К тому же, вы реже будете сталкиваться с ситуацией, когда браузер «задумался» во время запроса из-за того, что по какой-то причине некоторые DNS ответы идут слишком долго или вовсе потеряны.

Можно проверить, сколько идёт запрос «напрямую», без DoH:

time dig kali.tools +short @8.8.8.8

В моём случае это0,058s-0,094s с периодическими таймаутами, видимо, задержка на СОРМ. Видимо, зашифрованный трафик пропускается «как есть», а незашифрованный проходит какую-то обработку, вроде как проверку доменов/IP по реестру запрещённых сайтов и т. п. Больше шифрования — больше скорости!

Запустите Wireshark и начните захват трафика. Через некоторое время проверьте с использованием фильтра

dns

Там должно быть пусто, совсем.

Также с помощью фильтра посмотрим на пакеты, которые уходят к DNS серверу и возвращаются от него:

ip.addr == 8.8.8.8

Как можно увидеть на скриншоте, всё зашифровано, теперь у Интернет-провайдера и других посредников нет никакой возможности узнать или изменить содержимое DNS запросов и ответов.

Лучшие DNS-серверы

1. Google Public DNS

Первый DNS сервер в нашем списке — сервер от Google — Google Public DNS. Он работает с декабря 2009 и его цель — сделать работу пользователей в интернете быстрее, безопаснее и удобнее. В настоящее время это крупнейшая государственная DNS-структура в мире. Для использования Google Public DNS достаточно использовать IP-адрес DNS сервера 8.8.8.8 или 8.8.4.4.

При переходе на Google Public DNS повышается безопасность и оптимизируется скорость работы, поскольку Google действительно использует Anycast-маршрутизацию для нахождения ближайшего сервера. Кроме того, он устойчив к атакам DNS Cache, а также DoS.

2. OpenDNS

Если вы ищете не просто замену обычному DNS, а расширенную версию, которая даст вам больше контроля, попробуйте OpenDNS. Как говорится в сообщении этой компании, вы сделаете ещё один шаг на пути к безопасности путем внедрения этой службы. Есть два варианта OpenDNS — домашний и корпоративный. Домашняя версия поставляется с родительским контролем, защитой от фишинга и улучшенной скоростью. Корпоративная версия OpenDNS имеет полную функциональность для защиты сети предприятия. Для домашнего использования вы можете получить OpenDNS бесплатно. Чтобы настроить   DNS-серверы Linux просто установите следующие адреса DNS: 208.67.222.222 и 208.67.220.220. OpenDNS также поддерживает Anycast.

3. DNS.WATCH

DNS.WATCH — это минималистичная служба DNS, которая позволяет вам иметь быстрый доступ в интернет без цензуры. Поскольку эта служба построена по принципам свободы, вы можете быть уверены ,что ваш запрос достигнет цели и не будет использовано никаких перенаправлений. Сервер работает быстро и стабильно. Если вы живете в стране с цензурой, это будет отличным решением. Сервера DNS-службы: 82.200.69.80 и 84.200.70.40.

4. Norton ConnectSafe

Norton ConnectSafe — ещё одна служба DNS, предназначенная для усиленной защиты вашего интернета. Следует отметить, что Norton занимается аспектами безопасности многих устройств в течение длительного времени. Поэтому вы можете быть уверены в качестве Norton ConnectSafe. Сервис предлагает три различных варианта защиты: защита от вредоносных программ, фишинга и жульничества, защита от порнографии и других угроз. Для каждого вида используются разные IP-адреса. Для защиты всей домашней сети достаточно просто настроить маршрутизатор.

5. Level3 DNS

Level3 DNS — это отличная служба DNS, если вы ищете надежный DNS-сервер с отличной производительностью. Хотя и Level3 не такой большой, как Google, у него впечатляющая инфраструктура. Вы можете быть уверенны, что скорость будет на высшем уровне. IP-адреса DNS сервера: 209.244.0.3, 209.244.0.4 , 4.2.2.1, 4.2.2.2 , 4.2.2.3 и 4.2.2.4.

6. Comodo Secure DNS

Comodo Secure DNS — ещё одна служба, сочетающая в себе скорость, надёжность и безопасность. Comodo использует огромную сеть, которая включает в себя большое количество DNS-серверов. Скорость будет оптимизирована путём выбора сервера в зависимости от вашего местоположения. Кроме того, Comodo заботится о безопасности, поставляя список опасных сайтов, а служба DNS убедится, что вы не посещаете ни один из них. IP-адреса Comodo Secure DNS: 8.26.56.26 и 8.20.247.20.

7. OpenNIC DNS

8. Яндекс DNS

Не только у Google есть свои DNS серверы. У Яндекса тоже есть бесплатный сервис DNS, которые вы можете использовать. Сервера яндекса могут быть ближе для некоторых районов России, чем сервера Европы, поэтому такой DNS может быть более предпочтительным. У яндекса есть три вида DNS — обычные, без фишинговых и мошеннических сайтов, и третий тип — без сайтов для взрослых. Адреса обычного DNS от яндекса — 77.88.8.8 и 77.88.8.1.

Краткие выводы

Вот кратко и все, что касается основных настроек и параметров серверов и служб DNS. Если говорить о самых простых методиках устранения возможных проблем, исходя из практических соображений, лучше всего выполнить очистку кеша DNS, а затем прописать в параметрах протоколов TCP/IP адреса серверов Google. По крайней мере, этим можно добиться двойного результата: и восстановить работоспособность подключения, и повысить уровень безопасности собственного интернет-соединения. Остается заметить, что использовать публичные адреса можно для всех типов подключений и даже в тех случаях, когда все настройки, устанавливаемые провайдером, полностью автоматизированы. Ручное задание адресов DNS иногда может стать даже приоритетным.