Pielāgots DNS: priekšrocības, riski un kā tos pareizi izvēlēties

  • DNS serveris tieši ietekmē jūsu privātumu, drošību un pārlūkošanas ātrumu.
  • Pielāgoti DNS iestatījumi ļauj bloķēt draudus un reklāmas, taču tiem nepieciešama lielāka atbildība un pareiza konfigurācija.
  • Uzticamu pakalpojumu sniedzēju izvēle un tādu pasākumu kā DNSSEC un šifrēšanas ieviešana samazina viltošanas un kešatmiņas saindēšanas risku.
  • Publiskie, privātie un VPN DNS serveri piedāvā dažādus kontroles līmeņus; ir ieteicams apsvērt, kam uzticaties ar saviem vaicājumiem.
Daniel Terrasa

12 Minutos

Pielāgots DNS: priekšrocības un riski

Ja izmantojat VPN (skatiet mūsu VPN tehniskais atbalsts operētājsistēmā WindowsJa bieži eksperimentējat ar tīkla iestatījumiem, iespējams, esat redzējis tādas opcijas kā Pakalpojumu sniedzēja specifisks DNS, integrēta izšķirtspēja, publisks DNS no Google vai Cloudflare, Handshake vai pielāgots DNS, piemēram, Pi-holeNo pirmā acu uzmetiena tas šķiet tikai vēl viens iestatījums, taču DNS servera izvēlei ir nopietna ietekme uz jūsu privātumu, drošību, veiktspēju un pat to, kuras vietnes varat apmeklēt.

Ikdienas lietošanā mēs parasti atstājam iestatījumus tādus, kādi tie ir: ISP vai VPN pakalpojumu sniedzēja DNS jau darbojasTomēr pāreja uz pielāgotu DNS (piemēram, Pi-hole iestatīšana mājās vai tāda pakalpojuma kā Control-D izmantošana) var sniegt jums daudz lielāku kontroli pār pārlūkošanu, taču vienlaikus uzņemoties noteiktus riskus un atbildību. Ir vērts saprast, ko dara DNS un kādas ir katras alternatīvas priekšrocības un trūkumi.

Kas ir DNS un kāpēc tas ir tik svarīgs?

Domēna vārdu sistēma (DNS) ir interneta "tālruņu grāmata".Tas pārveido cilvēkiem lasāmas adreses (piemēram, xataka.com vai kaspersky.com) skaitliskās IP adresēs, ko saprot datori. Bez šīs automātiskās tulkošanas jūs nevarētu pārlūkot internetu, ierakstot domēna vārdus; jums būtu jāatceras gari cipari katrai vietnei.

Jūsu interneta pakalpojumu sniedzējs (ISP) parasti nodrošina jums maršrutētāju ar dažiem iepriekš konfigurēti DNS serveri, ko kontrolē pats operatorsKatru reizi, kad ierakstāt tīmekļa adresi, jūsu ierīce veic vaicājumu DNS serveros, lai atrastu atbilstošo IP adresi. Tas ir svarīgi ne tikai vietnes ielādei, bet arī nosaka, kas var redzēt jūsu vaicājumus un kas var bloķēt vai manipulēt ar šiem pieprasījumiem.

Nosaukumu atpazīšanas procesā ir iesaistīti vairāki serveru veidi: a rekursīvs risinātājs, kas saņem jūsu vaicājumuSaknes serveri, augstākā līmeņa domēna (TLD) serveri (piemēram, .com vai .net) un autoritatīvo domēnu serveri galu galā atgriež pareizo IP adresi. Daudzos gadījumos daļa no šīs informācijas tiek kešatmiņā saglabāta, lai paātrinātu turpmākos vaicājumus.

Ievadot domēnu pārlūkprogrammā, sistēma vispirms mēģina to atšifrēt no lokālās kešatmiņas (dators, operētājsistēma, atrisinātājs)Ja tā tur nav, vaicājums nonāk rekursīvajā risinātājā, pēc tam saknes serveros, tad augstākā līmeņa domēna serveros un visbeidzot autoritatīvajos serveros, kas atgriež galīgo IP adresi. Tas viss notiek milisekundēs, taču katrs lēciens ir potenciāla uzbrukuma virsma vai kontroles punkts.

Viena kritiska detaļa ir tā, ka pēc noklusējuma Tradicionālais DNS neietver šifrēšanuTas nozīmē, ka gan jūsu interneta pakalpojumu sniedzējs, gan jebkurš starpnieks, kam ir piekļuve jūsu datplūsmai, var redzēt, kurus domēnus jūs apmeklējat, lai gan viņi nevar redzēt precīzu lapu saturu, ja izmantojat HTTPS. Šis dizains atvieglo cenzūru, izsekošanu un uzbrukumus, ja sistēma nav pareizi aizsargāta.

DNS serveris un privātums

Ko par jums zina persona, kas pārvalda DNS?

Katrs jūsu veiktais DNS pieprasījums atstāj pēdas. DNS servera īpašnieks var redzēt, no kuras IP adreses jūs veicat vaicājumu un kuriem domēniem jūs mēģināt piekļūt.Ar šo vienkāršo datu pāri (IP + domēns + laiks) jau var izveidot ļoti precīzu jūsu pārlūkošanas paradumu profilu.

Pakalpojumi, piemēram, Google publiskais DNS, to atklāti saka: Tie īslaicīgi saglabā jūsu IP adresi (piemēram, 24–48 stundas) un pastāvīgi saglabā citus “anonimizētus” lietošanas datus.Ar to viņi var apkopot statistiku, uzlabot pakalpojumu… un, uz reklāmu balstītu uzņēmumu gadījumā, bagātināt savu segmentāciju, pat ja viņi sola to tieši nesaistīt ar jums.

Trešo pušu DNS pakalpojumu sniedzēji, kas vairāk koncentrējas uz privātumu, piemēram, Cloudflare vai Quad9, reklamē sevi, apgalvojot, ka Viņi neatgriezeniski nereģistrē jūsu IP adresi, samazina žurnālu skaitu un nepārdod datus reklāmdevējiem.Bet ir vērts atcerēties, ka tehniski Viņiem ir tādas pašas tiesības redzēt jūsu vaicājumus kā jebkuram citam DNS serverim: uzticamība ir atkarīga no viņu politikas, pārredzamības un neatkarīgām revīzijām.

Turklāt DNS ir kopīgs kontroles punkts valdībām un operatoriem. Daudzas tīmekļa vietņu bloķēšanas tiek vienkārši piemērotas... liedzot noteiktu domēnu atrisināšanu oficiālajā DNS valsts vai uzņēmuma. Mainot savu DNS, jūs bieži vien varat apiet šo pamata cenzūru, lai gan ļoti ierobežojošā vidē var tikt kombinētas citas bloķēšanas metodes.

Ir svarīgi to saprast Izmantojot alternatīvu DNS, jūsu IP adrese netiek slēpta un VPN netiek aizstāts.Bezmaksas publiskais DNS nedarbojas kā virtuāls privātais tīkls: vietne, kuru apmeklējat, joprojām redzēs jūsu īsto IP adresi, un jūsu interneta pakalpojumu sniedzējs joprojām varēs redzēt, ar kurām IP adresēm jūs izveidojat savienojumu, pat ja viņi nevar tik skaidri redzēt domēnu, ja izmantojat noteiktas modernās tehnoloģijas. DNS ir privātuma un drošības slānis, taču tas nav pilnīgs risinājums.

ISP DNS, VPN DNS vai pielāgots DNS: tipiskas opcijas

Daudzi VPN pakalpojumu sniedzēji piedāvā vairākas DNS konfigurācijas: Izmantojiet savu DNS, integrētu risinātāju, Handshake, uzturiet ārēju DNS (Google, Cloudflare utt.) vai definējiet pielāgotu DNS, piemēram, mājas Pi-hole.Katrai opcijai ir atšķirīgas sekas.

Kad atstājat iestatījumus pozīcijā “viņa pašaVisa jūsu DNS datplūsma tiek atrisināta, izmantojot serverus, ko kontrolē šis VPN. Tam ir tāda priekšrocība, ka vaicājumi pārvietojas šifrētā tunelī, slēpjot DNS pieprasījumus no jūsu interneta pakalpojumu sniedzēja un samazinot DNS noplūdes, taču jūs pilnībā uzticaties VPN pakalpojumu sniedzējam, kurš var redzēt, kuriem domēniem jūs piekļūstat, kamēr VPN ir aktīvs.

Ja jūs nolemjat izmantot ārēju DNS, piemēram, Google (8.8.8.8), Cloudflare (1.1.1.1) vai citiAtkarībā no izvēlētā pakalpojuma varat iegūt ātrumu un papildu aizsardzību. Tomēr bez VPN jūsu vaicājumi joprojām tiks nosūtīti tieši šiem risinātājiem, un jūs kopīgosiet savu domēna vēsturi ar lielu uzņēmumu, kura intereses var neatbilst jūsu privātuma interesēm.

Opcija "Esošais DNSVPN iespējojot opciju “Lietot sistēmas DNS”, tiek saglabāti esošie DNS iestatījumi. Tas ir ērti, taču tas var izraisīt DNS noplūdes, ja VPN klients nepiespiež izmantot savus risinātājus vai nešifrē šos vaicājumus. Citiem vārdiem sakot, jūs varētu domāt, ka viss notiek caur VPN, taču jūsu domēna pieprasījumi joprojām nonāk jūsu interneta pakalpojumu sniedzējā.

L Pielāgots DNS (Piemēram, norādot uz Pi-hole vai savu mākoņserveri), jūs iegūstat maksimālu kontroli: jūs izlemjat, kas tiek reģistrēts, kas tiek bloķēts un kā tas tiek filtrēts. Tomēr jūs pēc tam kļūstat atbildīgs par tā drošību, pieejamību un uzturēšanu, un, ja jūs to neuzmanīgi atklājat internetā, tas var kļūt par vārtiem uzbrukumiem.

google dns

Pielāgota DNS izmantošanas priekšrocības (Pi-hole, Control D un citi)

Iestatiet pielāgotu DNS, izmantojot Pi-hole jūsu lokālajā tīklā, jūsu pašu serverī ar DNSSEC vai pārvaldītā pakalpojumā, piemēram, Control-DTas piedāvā vairākas priekšrocības salīdzinājumā ar interneta pakalpojumu sniedzēja noklusējuma DNS vai pat dažu vispārīgu publisko DNS izmantošanu.

Pirmā būtiskā priekšrocība ir spēja bloķēt draudus to avotāMūsdienīgs DNS ar atjauninātiem bloķēšanas sarakstiem var neļaut jūsu ierīcei noteikt domēnus, kas saistīti ar ļaunprogrammatūru, pikšķerēšanu, kriptovalūtu zādzību vai ļaunprātīgu reklāmu. Tā kā "slikto" domēna nosaukumu nevar pārvērst IP adresē, savienojums vienkārši netiek izveidots.

Šī “preventīvā” pieeja paredz to, ko darītu tradicionāls antivīruss, kas parasti reaģē. kad draudi jau ir jūsu sistēmāIzmantojot filtrējošu DNS, jūs vienkārši nekad nenonākat saskarē ar zināmiem bīstamiem domēniem, kas ievērojami samazina risku mājas datoriem un, galvenokārt, uzņēmumu tīkliem ar daudziem lietotājiem.

Otrkārt, labi optimizēta pielāgota DNS izmantošana var uzlabot veiktspēju. bloķēt reklāmas, izsekotājus un nevajadzīgus resursus (un, piemēram, noņemiet reklāmas savā Smart TVLapas ielādējas ātrāk, samazinās ārējo pieprasījumu skaits un joslas platuma patēriņš. Pieticīgos savienojumos vai tīklos ar daudzām pievienotām ierīcēm atšķirība var būt ļoti ievērojama.

Vēl viena būtiska priekšrocība ir uzlabota privātuma aizsardzība (skatiet mūsu svarīgi tiešsaistes privātuma padomiTādi risinājumi kā Pi-hole vai uz privātumu orientēti pakalpojumi var neļaut izsekotājiem un reklāmas uzņēmumiem apkopot jūsu pārlūkošanas aktivitātes izmantojot skriptus un izsekošanas domēnus. Lai gan tas nav universāls risinājums, tas ievērojami samazina pastāvīgo “paziņojumu” skaitu desmitiem reklāmas tīklu, pārlūkojot internetu.

Visbeidzot, daudzi pielāgoti DNS serveri, piemēram, Control D, piedāvā samērā vienkārša iestatīšana ar filtrēšanas veidnēm (piemēram, pieaugušo, spēļu, sociālo tīklu bloķēšana utt.) un iespējas integrēt pakalpojumu liela mēroga ieviešanā, izmantojot RMM vai MDM uzņēmumos. Tas vienkāršo šī drošības un kontroles slāņa ieviešanu desmitiem vai simtiem ierīču.

Pielāgota DNS riski un trūkumi

Monētas otra puse ir tāda, ka pielāgots DNS ievieš arī jauni neveiksmes punkti un pienākumiPirmais ir acīmredzams: ja jūsu DNS serveris nedarbojas, tiek pārslogots vai nepareizi konfigurējat to, jūs varat atstāt visu savu tīklu bez redzamas piekļuves internetam, jo ​​tīmekļa vietnes pārtrauks risināt problēmas, pat ja jūsu savienojums darbosies.

Ja jūs uzticaties nezināms vai apšaubāms DNS serverisRisks pieaug. Ļaunprātīgs vai kompromitēts DNS serveris var manipulēt ar jūsu pieprasījumiem, lai novirzītu jūs uz viltotām tīmekļa vietnēm (pikšķerēšana), instalētu ļaunprogrammatūru vai pārtvertu sensitīvu informāciju. DNS kešatmiņas saindēšana vai DNS servera nolaupīšana ir metodes, ko uzbrucēji bieži izmanto, lai novirzītu datplūsmu uz vietnēm, kuras viņi kontrolē.

Turklāt pielāgotajam DNS var nebūt tādi paši aizsardzības pasākumi pret DDoS vai infrastruktūras uzbrukumiem nekā lielākie pakalpojumu sniedzēji. Pakalpojuma atteikuma uzbrukums jūsu risinātājam var pārtraukt vārdu atpazīšanu visiem lietotājiem, kas no tā ir atkarīgi. Tāpēc, ja uzņēmumam vai kritiski svarīgam pakalpojumam iestatāt savu DNS, ieteicams to izvietot ar redundanci un spēcīgā tīklā.

Vēl viens svarīgs aspekts ir tāds, ka, ja neieviešat tādus pasākumus kā DNSSEC vai drošas konfigurācijas, jūsu serveris var tikt apdraudēts. neaizsargāti pret kešatmiņas saindēšanas uzbrukumiemŠādos gadījumos noziedznieks apmāna domēna vārda risinātāju, liekot tam noticēt, ka likumīgs domēna vārds patiesībā norāda uz krāpnieciska servera IP adresi. Turpmāk visi lietotāji, kas vaicās domēnu, saņems manipulēto adresi, līdz kešatmiņa tiks iztīrīta.

Visbeidzot, ļoti agresīva reklāmu, izsekotāju vai satura kategoriju DNS filtrēšana var izraisīt viltus pozitīvi rezultāti un likumīgu funkciju pārkāpšanaTīmekļa vietnes, kas neielādējas pareizi, pakalpojumi, kas pārstāj darboties, vai drošības atjauninājumi, kas nekad netiek piegādāti, jo to domēni ir bloķēti. Ir svarīgi pareizi pielāgot sarakstus un pārskatīt žurnālus.

Pielāgots DNS: priekšrocības un riski

Konkrēti draudi, kas saistīti ar DNS, un to mazināšana

Tā kā DNS infrastruktūra ir tik kritiska, tā ir dažādu uzbrukumu mērķis. Šie ir visizplatītākie:

  • DDoS (izplatīti pakalpojuma atteikuma) uzbrukumi pret tīmekļa vietnes vai pakalpojumu sniedzēja DNS serveriem. Bombardējot serveri ar ļaunprātīgu datplūsmu, tie piesātina tā resursus un likumīgi pieprasījumi vairs netiek apstrādāti, kā rezultātā tīmekļa vietnes uzbrukuma laikā "pazūd" no interneta.
  • PareizrakstībaTas ietver domēnu reģistrēšanu, kas ir gandrīz identiski labi pazīstamu zīmolu domēniem, izmantojot lietotāju drukas kļūdas. Nefiltrēts DNS serveris jūs novirzīs uz šiem viltotajiem domēniem, ja tos ierakstīsiet nepareizi, un no turienes var ļoti pārliecinoši veikt pikšķerēšanas uzbrukumus vai akreditācijas datu zādzības.
  • Domēna reģistrācijas nolaupīšana. Ja uzbrucējs apdraud jūsu domēna reģistratora kontu, viņš var mainīt DNS ierakstus un norādīt tos uz serveriem, kurus viņš kontrolē, potenciāli pat mainot domēna īpašumtiesības. Lai samazinātu šo risku, ir svarīgi izmantot spēcīgas paroles, divfaktoru autentifikāciju un reģistratorus ar spēcīgiem drošības pasākumiem.
  • DNS kešatmiņas saindēšanās Viņi iet soli tālāk. Uzbrucējs DNS servera kešatmiņā ievieto nepatiesus datus par konkrētiem domēniem, lai turpmāki vaicājumi no neko nenojaušošiem lietotājiem tiktu atrisināti, izmantojot krāpniecisku IP adresi. Tā kā pārlūkprogramma paļaujas uz DNS atbildi, lietotājs var neapzināti nonākt viltotā savas bankas kopijā vai ar ļaunprogrammatūru inficētā vietnē.

Lai mazinātu šos riskus, Ieteicams izmantot DNSSEC (DNS drošības paplašinājumus).Šīs sistēmas DNS atbildēm pievieno kriptogrāfiskus parakstus, lai nodrošinātu, ka dati nav viltoti. Papildinot to ar šifrētu saziņu (DoT, DoH, VPN) un stingrām DNS servera piekļuves politikām, tiek ievērojami samazināta servera nolaupīšanas vai saindēšanas iespējamība.

Visizplatītākie publiskie un privātie DNS serveri

Papildus jūsu interneta pakalpojumu sniedzēja vai VPN DNS serveriem jums ir pieejams plašs katalogs Bezmaksas un atvērti DNS serveri ko var manuāli konfigurēt maršrutētājā, datorā vai mobilajā ierīcē. Daži no pazīstamākajiem ir:

  • OpenDNS (208.67.222.222 un 208.67.220.220). Viens no vecākajiem publiskajiem pakalpojumiem, kas tagad pieder Cisco. Tas piedāvā maksas versijas un bezmaksas versiju ar labu ātrumu, augstu pieejamību, pikšķerēšanas vietņu noklusējuma bloķēšanu un vecāku kontroles iespējām.
  • Cloudflare (1.1.1.1 un 1.0.0.1). Koncentrējas uz veiktspēju un privātumu. Tas sola neizmantot jūsu datus reklāmai un neierakstīt jūsu IP adresi diskā. Parasti to ir ļoti ātri un vienkārši iestatīt, bez pārāk daudzām papildu funkcijām.
  • Google Public DNS (8.8.8.8 un 8.8.4.4). Paredzēts mazāk tehniskiem lietotājiem ar labu dokumentāciju. Apmaiņā pret šo lietošanas ērtumu un veiktspēju tas ierobežotu laiku saglabā anonimizētus pārlūkošanas žurnālus un jūsu IP adresi.
  • Comodo Secure DNS (8.26.56.26 un 8.20.247.20). Mērķis ir bloķēt bīstamas vietnes, spiegprogrammatūru un domēnus ar pārmērīgu reklāmu, paļaujoties uz Comodo pieredzi drošības jomā.
  • Quad9 (9.9.9.9 un 149.112.112.112). Salīdzinoši jauns, bet koncentrējas uz ļaunprātīgu domēnu bloķēšanu, izmantojot apdraudējumu informāciju no vairākiem avotiem. Tas piedāvā labu līdzsvaru starp drošību un veiktspēju.
  • Yandex. DNS (77.88.8.8 un 77.88.8.1). Krievu alternatīva ar pamata profiliem un “Drošiem” variantiem (77.88.8.88 un 77.88.8.2) bīstamu tīmekļa vietņu bloķēšanai un “Ģimene” (77.88.8.7 un 77.88.8.3) pieaugušajiem paredzēta satura filtrēšanai.
  • Publiskā DNS serveru sarakstsMilzīga datubāze, kurā var meklēt bezmaksas DNS serverus visā pasaulē, filtrējot pēc valsts.

Izvēloties starp VPN DNS atstāšanu, publisko serveru izmantošanu vai sava Pi-hole iestatīšanu, galvenais faktors ir lēmums kam vēlaties uzticēties, lai redzētu jūsu domēna vaicājumus, un kāds kontroles līmenis jums ir nepieciešams pār filtrēšanu, veiktspēju un privātumuIzprotot katras iespējas priekšrocības un riskus, ir daudz vieglāk pielāgot iestatījumus savām prioritātēm, neradot negaidītas drošības vai navigācijas problēmas.

noņemt reklāmas no viedtelevizora
saistīto rakstu:
Ceļvedis reklāmu noņemšanai no viedtelevizora