Яндекс dns или adguard dns что лучше
В предыдущих статья я постарался описать выбор домашнего роутера для различных случаев применения. Как мы уже выяснили, современный маршрутизатор имеет множество дополнительных функций, помимо основной - подключения различных устройств к интернету. Одной из таких функций является интернет-фильтр.
Для чего он может понадобиться? Ведь государство в лице Роскомнадзора и без того не покладая рук заботится о нашей безопасности) Во-первых существуют сайты мошенников и зараженные вирусами, посещение которых чревато потерей личных данных (например аккаунтов почты, соцсетей и т.д.), а порой и содержимого кошелька. Во-вторых - навязчивая реклама, которой иные сайты разукрашены похлеще новогодней елки. В-третьих материалы для взрослых, которые не стоит видеть детям. Могут быть и иные сайты и ресурсы, доступ к которым в определенных случаях нежелателен.
Для решения этой задачи существуют различные средства. В некоторых браузерах, например Яндекс-браузере, защита от опасных сайтов уже встроена. А с помощью различных дополнений можно настроить фильтрацию рекламы и материалов для взрослых. Но в этом случае фильтрация происходит лишь внутри данного браузера, другие программы остаются не защищенными, а ребенку достаточно установить любой другой браузер. Имеются программы для фильтрации, защищающие весь компьютер, но их действие не распространяется на остальные компьютеры и устройства в домашней сети, то есть придется настраивать каждое устройство по-отдельности, что достаточно сложно и неудобно. Гораздо проще настроить такую фильтрацию на роутере, тогда ее действие будет распространяться на все устройства или те, что вам необходимы.
Должен заметить, что данный функционал сильно различается от конкретной модели маршрутизатора, хотя в том или ином виде присутствует практически во всех современных моделях. Конкретную настройку рассмотрим на примере роутеров двух широко распространенных фирм: TP-Link и Keenetic.
На скриншотах выше представлен интерфейс управления роутера TP-Link Archer C5. Для настройки фильтрации в нем нужно перейти в Дополнительные настройки и выбрать раздел Родительский контроль. В нем есть два подраздела: Родительский контроль и Яндекс DNS. В первом можно ограничивать подключение определенных устройств к интернету по времени суток и осуществлять фильтрацию по ключевым словам, содержащимся в названии сайта. Включаем нужный тип фильтрации, кнопкой Сканировать находим и добавляем нужные устройства. Для фильтрации по словам, пишем список нежелательных слов. В разделе Яндекс DNS мы можем выбрать три режима фильтрации: базовый, безопасный и семейный. Базовый - фильтрация отсутствует, в безопасном фильтруются опасные и мошеннические сайты, в семейном - еще и материалы для взрослых. Выбираем режим фильтрации по-умолчанию, например безопасный, действие которого распространится на все устройства сети, кроме специально указанных. Для нуждающихся в отдельной настройке устройствах, например планшете ребенка, жмем Добавить - Сканировать и выбираем тип фильтрации для этого устройства, например семейный. Фильтр рекламы в данном устройстве к сожалению отсутствует.
Для настройки роутеров марки Keenetic нового поколения, сначала добавляем необходимые компоненты в веб-интерфейсе, если они еще не установлены. Заходим в раздел Управление - Общие настройки - Изменить набор компонентов - Интернет фильтры и ставим галочки на одном или нескольких фильтрах: Яндекс DNS, SkyDNS, Adguard DNS и жмем кнопку Установить обновления:
После перезагрузки роутера в разделе Сетевые правила - Интернет фильтр появится выпадающий список с выбором установленных фильтров. Выбираем нужный, например Яндекс.ДНС:
Так же как и в устройстве TP-Link выбираем профиль по-умолчанию и для отдельных устройств: базовый, безопасный и семейный. В режиме Без фильтрации Яндекс DNS к устройству не применяется вообще.
Фильтр AdGuard DNS имеет два режима: Без рекламы и Семейный. В первом блокируются реклама и опасные сайты, во втором - еще и материалы для взрослых.
Пользоваться сервисом можно бесплатно, но бесплатный режим имеет ряд ограничений: нельзя создать несколько профилей, нет фильтра рекламы, сильно ограничен список исключений, не обновляется автоматически IP-адрес, если он у вас динамический. Последнюю проблему можно решить установкой программы SkyDNS Agent на любом компьютере домашней сети. Платный тариф, дающий максимум возможностей сервиса, стоит 395 рублей в год.
Ограничить по времени доступ в интернет нужных устройств в роутере Keenetic можно в разделе Мои сети и Wi-Fi - Список устройств, выбираем необходимое устройство и жмем кнопку Расписание:
В заключение отмечу, что все данные типы фильтрации основаны на перенаправлении DNS запросов, преобразующих имена сайтов в сетевые адреса. То есть в принципе в абсолютно любом роутере можно поменять в сетевых настройках DNS сервера, выданные провайдером, на сервера любого из перечисленных сервисов. Но в этом случае фильтрации подвергнутся все устройства сети, выбрать отдельные устройства нельзя. К тому же в некоторых случаях, в зависимости от сетевых настроек провайдера, могут быть проблемы с подключением к интернету либо фильтрация не будет работать правильно. Могут понадобиться более тонкие настройки, что выходит за рамки данной статьи.
Подписывайтесь на канал, ставьте лайки, если материал был вам полезен, задавайте вопросы в комментариях. В следующих статьях я продолжу описывать полезные, но редко используемые возможности домашних маршрутизаторов.
Так исторически сложилось, что с момента открытия Яндексом в 2010 году своего DNS-хостинга, сотни наших проектов размещались там. Тогда это была «Почта для домена», в 2017 это стал «Яндекс.Коннект», а уже сейчас в личном кабинете красуется надпись, что панель «Коннекта» будет закрыта и теперь это «Яндекс 360 для бизнеса»
Тогда выбор определили следующие доводы:
Бесплатная почта для домена, бесплатный DNS для доменов от любого регистратора, «Метрика» и« Вебмастер» – все в одном аккаунте.
Возможность выставить TTL в 90 секунд, что не раз спасало, когда нужно было быстро изменить А-запись.
«Ну это же Яндекс, он-то не упадет!»
Проблемы начались в последние несколько лет. Главное даже не сам факт наличия проблем, а как в Яндексе на них реагировали. На днях снова произошла следующая история.
Решил и я написать в техподдержку Яндекса, там меня встретил позитивный чат-бот, который сообщил, что с людьми позволено разговаривать только обладателям платного Яндекс 360. Ладно, думаю, информации о проблеме в публичных источниках найти не могу – надо ведь достучаться! Вдруг они и не знают о проблеме, а я первым им сообщу – быстрее устранят. Сказано – сделано: покупаю подписку на «Яндекс 360 для бизнеса». Открываю чат, а там меня ждёт уже другой бот, сообщающий, что в платной поддержке по будням люди работают с 09:00 до 18:00. Яндекс, ну вы же используете Slack? Поставьте Telebot, дайте пользователям писать в Telegram и оперативно получать ответы? Вон Beget ответил ночью в Telegram за 9 минут, в ITSOFT – 2 минуты, от вас ответ в чат мне так и не пришёл.
Написал в чат, написал на почту, приложил логи, скриншоты, пояснил, что проблема наблюдается абсолютно на всех, доступных мне, доменах, делегированных Яндексу.
… отправил 🤷♂️. И всё, больше добавить нечего: DNS продолжил огорчать клиентов и восстановился примерно лишь к 21:00 17.02.22, Яндекс всё молчит, а последний ответ на мой запрос выглядит так:
Подобные ситуации наблюдались и ранее, из последнего: 2022.02.13 ~15:00-22:00. Хорошо запомнилось 2018.10.31 ~19:40-00:40, когда сайты нельзя было зарезолвить даже из подмосковных Химок, а их владельцы спешно меняли DNS.
Всё это побудило меня оглядеться и задаться вопросом: что изменилось за последние годы и какой DNS-хостинг используют наиболее посещаемые сайты. Тем более, самое свежее, что нашел на Хабре на эту тему: Список бесплатных DNS-сервисов – датирован 2013 годом.
Пишем магический однострочник:
wget -q -O - https://raw.githubusercontent.com/zer0h/top-1000000-domains/master/top-1000000-domains | grep "^.*\.ru$" | xargs dig SOA +noall +answer +short | cut -d " " -f1 | cut -d "." -f2- | sort | uniq -c | sort -nr > ns_top1m.txt
– и отправляемся курить.
Если немного причесать результаты, то соотношение среди топ-20 списка будет выглядеть так:
Исходные данные результатов можно посмотреть на GitHub.
Три сегмента на одном графике:
Хостинг от Яндекса всё ещё используется существенной частью сайтов.
Сравнение DNS-сервисов и выбор
Какими допущениями я руководствовался:
В эпоху «суверенного чебурнета» хочется иметь Primary DNS в РФ. Вдруг опять забанят Cloudflare?
Самостоятельно поднимать, администрировать и защищать DNS-сервер не хочется. Но и от возможностей сервиса ожидается большее, чем указать IP для A-записи.
DNS-хостинг может (должен?) быть платный. Если ты не платишь за услугу, то либо она некачественная, либо ты переплатил в другом месте.
Основная аудитория сайта находится в РФ. Но идеально – иметь возможность трансфера зоны, используя альтернативный (зарубежный?) Secondary.
Возможность выставить минимальный TTL.
Хорошо, если публичный «track record» без глобальных падений за последние 5 лет.
Если DNS ляжет – импакт должен быть на существенную долю сайтов рунета. Бизнесу не так обидно, когда о падении пишут на всех новостных ресурсах.
Исходя из этих вводных я протестировал шорт-лист из 13 популярных сервисов и собрал в сравнительную таблицу со следующими критериями: наличие бесплатного тарифа, наличие и стоимость платного тарифа, возможность трансфера зоны и использования как Secondary, минимальный TTL, возможность импорта и экспорта зоны, наличие API, наличие защиты от DDoS и использование Anycast, наличие поддержки и дата последнего падения.
Что хотелось отметить отдельно:
Зарегистрировавшись в Timeweb, я просто не смог добавить свой двухсимвольный домен :(
Beget прямо давит на тебя блокировкой с главной страницы своей панели управления. Надеюсь, DNS-то не заблокируют, если вовремя не оплатишь хостинг?
DNSCrypt
DNSCrypt стал первой попыткой обезопасить DNS-трафик от злоумышленников. Это специальный протокол, который зашифровывает связь между вашим устройством и DNS-сервером, защищая его от несанкционированного доступа и атак типа «человек посередине» (MITM-атаки). AdGuard DNS уже давно поддерживает эту технологию.
С AdGuard DNS ваш трафик защищен
Как проверить мои текущие DNS-серверы?
Если вы пытаетесь решить проблемы с подключением к Интернету и рассматриваете вопрос о смене DNS-серверов, то полезно сначала проверить, какие именно серверы вы используете в текущий момент.
Далее возможны следующие варианты:
- Устройство настроено на использование специфических DNS-серверов
- Устройство запрашивает адреса лучших DNS-серверов у роутера при подключении
- Обработкой DNS-серверов полностью занимается маршрутизатор
В системах Windows, чтобы проверить DNS-серверы, привязанные к сетевому адаптеру, выполните команду ipconfig /all
Если в записи DNS-серверы указан лишь один адрес – адрес вашего роутера (обычно 192.168.x.x), то обработкой DNS занимается роутер. Введите этот адрес в браузер, войдите в панель управления роутером и укажите необходимые DNS-серверы.
DNS-over-TLS
DNS-over-TLS или DoT – протокол шифрования DNS-запросов и передачи по TLS-протоколу. DoT более надежен, чем DNSCrypt. Все больше и больше DNS сервисов поддерживают его, и AdGuard с гордостью вступает в их ряды.
Стоит упомянуть, что начиная с Android 9, устройства Android имеют встроенную поддержку DNS-over-TLS. Вы можете настроить свой смартфон или планшет на использование этого протокола в несколько нажатий без необходимости установки какого-либо дополнительного программного обеспечения.
AdGuard DNS недавно получил поддержку DoH, которая выводит сервис на передний план защиты конфиденциальности. К сожалению, этот протокол все еще относительно новый, и способов применения его на вашем устройстве немного. Тем не менее, новая версия AdGuard для Android уже поддерживает эту опцию.
Google Public DNS
Достоинства:
- Высокая надежность и скорость работы
- Прозрачность и соблюдение конфиденциальности
Компания Google предлагает свои сервисы во многих сферах, связанных с вебом, и DNS не является исключением. Это бесплатный публичный DNS-сервис, который станет простой и эффективной заменой для серверов вашего провайдера.
Google Public DNS соблюдает довольно строгие правила конфиденциальности. Служба сохраняет полную информацию об IP-адресе запрашивающего устройства в течение примерно 24-48 часов для устранения неполадок и диагностики. «Постоянные» журналы не принимают личную информацию и сокращают сведения о местоположении до уровня города. Более того, все данные, кроме небольшой случайной выборки, удаляются через две недели.
Google предлагает еще одно преимущество для опытных пользователей. Если вы хотите оценить значимость политики конфиденциальности Google, то при желании можете ознакомиться с содержимым журналов сервиса.
Сайт поддержки Google Public DNS предлагает только самые базовые рекомендации, ориентированные на опытных пользователей и предупреждает, что изменения должны вносить только те пользователи, которые умеют настраивать операционную систему. Вы всегда можете обратиться к инструкциями от другого сервиса, например OpenDNS, не забывая заменить IP-адреса DNS-серверов на Google: 8.8.8.8 и 8.8.4.4.
Подводим итоги
Как же настроить AdGuard DNS? Укажите DNS-сервера для вашего подключения или прямо на маршрутизаторе, используя нашу инструкцию.
DNS сервера
94.140.14.14 и 94.140.15.15 для серверов «По умолчанию»
94.140.14.140 и 94.140.14.141 для серверов «Нефильтрующие»
94.140.14.15 и 94.140.15.16 для серверов «Семейный»
DNS-over-TLS
Помните, что AdGuard DNS – проект с открытым исходным кодом, как и все бесплатные продукты AdGuard. Компания считает чрезвычайно важным, чтобы услуги и продукты, которым вы доверяете защиту конфиденциальности данных, были максимально прозрачными и заслуживающими доверия. Чтобы просмотреть исходный код, узнать все о AdGuard DNS или даже оставить предложение, посетите репозиторий в GitHub.
Команда разработчиков надеется, что пользователям понравится AdGuard DNS. Они убеждены, что проект будет только расти. В будущем будет добавлено больше расположений серверов и новые дополнительные функции.
Comodo Secure DNS
Достоинства:
- Фокус на безопасность
- Обработка припаркованных доменов
Недостатки:
Comodo Group разработала множество отличных продуктов безопасности, поэтому неудивительно, что компания предлагает собственный публичный DNS-сервис.
Как и следовало ожидать, Comodo Secure DNS уделяет большое внимание безопасности. Сервис не только блокирует фишинговые сайты, но и предупреждает, если вы пытаетесь посетить сайты с вредоносными, шпионскими программами и даже припаркованными доменами, которые могут перегружать вас рекламой (всплывающие окна, рекламные баннеры и др.). Кроме того, вы можете попробовать сервис Comodo Dome Shield, который добавляет дополнительные функции к Comodo Secure DNS.
Comodo говорит об «интеллектуальности» своего DNS-сервиса. Comodo Secure DNS выявляет неиспользуемые припаркованные домены и автоматически перенаправляет вас туда, куда вы хотите попасть.
Что касается производительности, то компания предлагает сеть серверов, расположенных по всему миру и технологию интеллектуальной маршрутизации.
Сервис Comodo интересен как дополнительный уровень веб-фильтрации. На сайте собрано несколько коротких, но полезных инструкций по настройке службы для ПК Windows, Mac, маршрутизаторов и Chromebook.
Тернистая дорога к безопасности
Выбор альтернативного DNS-резольвера является первым шагом для повышения конфиденциальности, но этого может быть недостаточно. Если никто не может иметь доступ к вашему DNS-трафику сейчас, это не значит, что никто не мог ранее. Протокол DNS совсем не новый, и тогда, когда он был разработан, стандарты конфиденциальности практически отсутствовали. В результате сегодня существует высокий риск того, что ваши DNS-запросы могут быть подслушаны или даже изменены злоумышленниками. Чтобы противостоять им, команда AdGuard приняла несколько действенных мер.
Cloudflare (1.1.1.1)
Достоинства:
- Отличная производительность
- Строгие правила конфиденциальности
- Поддержка на форуме сообщества
Компания Cloudflare, известная благодаря своей сети доставки контента, расширила диапазон своих услуг и запустила общедоступную службу DNS под названием 1.1.1.1.
Cloudflare уделяет больше всего внимания базовым вещам, таким как производительности и конфиденциальность. Независимое тестирование DNSPerf показывает, что Cloudflare является самой быстрой общедоступной службой DNS в мире.
Что касается конфиденциальности, то Cloudflare обещает, что не будет использовать данные посещений для показа рекламы и обязуется никогда не записывать IP-адреса источника запросов на диск. Все существующие журналы будут удалены в течение 24 часов. Эти заявления не являются просто маркетинговым ходом. Cloudflare ежегодно привлекает аудиторскую компанию KPMG для анализа своих сервисов и открыто публикуют отчеты.
На веб-сайте 1.1.1.1 собраны инструкции по настройке сервиса на устройствах Windows, Mac, Android, iOS, Linux и на маршрутизаторах. Руководства носят общий характер: например, вы получаете один набор инструкций для всех версий Windows. В таком подходе есть некоторые плюсы, ведь пользователь без особых сложностей сможет выяснить, где настраиваются серверы DNS в его системе. Мобильные пользователи могут использовать приложение WARP, который защищает весь интернет-трафик телефона.
Продукт не предлагает блокировку рекламы и не пытается отслеживать ваши запросы. Однако, Cloudflare ввел фильтрацию вредоносного ПО – серверы 1.1.1.2/1.0.0.2 – и блокировку контента для взрослых – серверы 1.1.1.3/1.0.0.3.
Если вы столкнулись с проблемами, то можете обратиться на форум сообщества, задать вопросы или посмотреть уже решенными форумчанами проблемы.
Другие меры защиты
Когда решена проблема с конфиденциальностью DNS, самое время подумать о других потенциальных угрозах. Ни для кого не секрет, что Интернет буквально кишит тысячами трекеров, которые следят за каждым вашим кликом, а затем используют эту информацию, чтобы нацелить вас на рекламу и создать цифровой отпечаток. Как с этим бороться? AdGuard DNS — это не только DNS-преобразователь, но и фильтр трафика. Всякий раз, когда ваше устройство отправляет «плохой» запрос для нужд рекламных блоков и трекеров, то вместо правильного IP-адреса DNS-сервер AdGuard ничего не вернет. Просто, но эффективно.
AdGuard DNS блокирует запросы к рекламным и отслеживающим доменам
Наконец, AdGuard фактически предоставляет два варианта службы DNS – «По умолчанию» и «Семейный». Единственная разница между ними заключается в том, что в режиме «Семейный» дополнительно блокируется доступ к любому контенту, не предназначенному для детей, и принудительно используется параметр Safe Search в браузерах, которые поддерживают данную функцию.
Как переключить DNS-серверы?
Способ настройки DNS зависит от оборудования и операционной системы.
Прежде всего, вас нужно узнать основной и вспомогательный DNS-серверы. Обычно они отображаются на официальном сайте. Например, Quad9 DNS использует серверы 9.9.9.9 и 149.112.112.112.
Для домашних пользователей самый простой способ сменить DNS — прописать соответствующие IP-адреса в настройках маршрутизатора. Остальные устройства подхватят настройки DNS автоматически.
Для этого войдите в административную панель роутера (пароль по умолчанию обычно указан на самом устройстве) и найдите параметры основного и вспомогательного DNS серверов (в англоязычном интерфейсе: DNS primary и DNS secondary). Сохраните текущие настройки, чтобы, в случае необходимости, сделать откат изменений.
Если вы столкнетесь с проблемами, обратитесь к официальному сайту сервиса в поисках инструкций. Вы также можете воспользоваться руководствами других DNS-провайдеров, но вместо предлагаемых IP-адресов используйте адреса выбранного вами сервиса. Например, на сайте поддержки Freenom World DNS представлены инструкции для различных маршрутизаторов.
Если у вас нет возможности изменить настройки роутера или данный вариант вам не подходит по другим причинам, то вы можете изменить настройки DNS каждого отдельного устройства. Вы можете воспользоваться инструкциями от Cloudflare и OpenDNS.
Как выявить самый быстрый DNS?
Скорость DNS зависит от многих факторов, таких как физическое расположение, расстояние до ближайшего сервера, мощность и пропускная способность сервера.
DNS Jumper — бесплатная портативная утилита, позволяющая протестировать несколько публичных DNS-серверов, сравнить их и установить самый быстрый сервис в вашем случае.
Программа имеет много настроек, но очень проста в использовании. Выберите Быстрый DNS > Запустить тест DNS, и через несколько секунд вы получите список DNS-сервисов, отсортированных по скорости.
DNS Jumper проверяет работу серверов из вашей локации, но не проводит достаточное количество тестов, чтобы дать окончательный ответ о скорости DNS.
DNSPerf каждую минуту тестирует несколько служб DNS из более чем 200 точек по всему миру и открыто публикует результаты своих тестирований. Сервис дает хорошее общее представление о производительности и времени работы DNS-сервисов.
Quad9 DNS
Достоинства:
- Высокий уровень производительности
- Блокировка вредоносных доменов
Недостатки:
Quad9 — молодой DNS-сервис, предлагающий быстрые и бесплатные DNS-серверы с августа 2016 года.
Компания занимается технологиями блокировки вредоносных доменов за счет сбора и интеллектуальной обработки информации из публичных и закрытых источников. На сайте не перечислены конкретные источники, но упоминается об использовании провайдеров аналитики взрослого контента. Использование большого числа поставщиков информации об угрозах должно повысить качество фильтрации.
Что касается производительности, то в рейтинге DNSPerf сервис Quad9 занимает 7-ую строчку, но в абсолютных показателях отстает от лидеров некритично. При разбивке по регионам наилучшие показатели наблюдаются в Северной Америке, но в других частых света задержка минимальная.
Quad9 предлагает инструкции только для последних версий Windows и macOS. Они достаточно подробные, поэтому нетрудно понять, что именно вам нужно делать.
Что такое DNS?
Механизм работы DNS является довольно сложным, потому что данные не хранятся в единой базе данных, а распределены по DNS-серверам, расположенным по всему миру.
Однако, обычному пользователю не нужно вникать в технические подробности. Интернет-провайдер автоматически предоставляет доступ к DNS-серверу, который позволяет получить доступ к ресурсам в Интернете.
Выводы
Все данные и исходники выложены, чтобы каждый мог добавить свои критерии или методологию и выбрать сам. Для себя же я сделал следующий вывод с учётом вводных выше:
Disclaimer: статья родилась из необходимости решить задачу выбора для себя и получить обратную связь от сообщества, в ней нет реферальных ссылок на сайты DNS-провайдеров, а упомянутые в тексте её не спонсировали.
Обновлено 2022.02.21: недоступность сервисов Яндекс с ~ 9:00 до 11:00.
Обновлено 2022.02.22: спустя 5 дней на повторный запрос деталей по инциденту Яндекс ответил, что «уже все работает, но почему и как долго не работало — не скажем»
Обновлено 2022.03.14: недоступность DNS Яндекса в промежутках 15:20 – 15:40, 19:50 – 20:21, 22:05 – 22:28.
Обновлено 2022.03.16: частичная деградация DNS Яндекса с 19:35 до 20:30.
Сразу замечу, что SquidGuard во время тестирования не сработал ни разу, так что его наличие ни на что не повлияло.
Поскольку далеко не для каждого пункта федерального списка можно придумать способ проверки, да и вообще иногда трудно понять, что там написано, алгоритм тестирования по нему был следующий:
1. Ткнув в случайный пункт списка, идем по нему вниз, пока не найдем что-то, что можно попробовать найти в Интернете. Например, это может быть некий текст, электронная книга, URL, IP-адрес, видеоролик, музыкальная запись, которые можно так или иначе идентифицировать.
2. Пытаемся найти эту информацию через Google или безопасный поиск SkyDNS, если Google заблокирован.
3. Все, что находится на первых двух страницах выдачи, пытаемся открыть и смотрим результаты.
Федеральный список
Всего было проверено 30 случайных пунктов федерального списка. Результат:
12 пунктов заблокированы провайдером. Из оставшихся 18 пунктов:
- YandexDNS заблокировал 2;
- SkyDNS с настройками по умолчанию заблокировал 5;
- SkyDNS с настройками для школ заблокировал 9;
- DansGuardian заблокировал 13, если считать, что книгу на арабском мало кто сможет прочитать.
Реестр Роскомнадзора
Выбирались случайные пункты из тех, что внесли за последние три-четыре дня и на которые пустил провайдер. В результате из 15 проверочных пунктов заблокировано:
- YandexDNS — 6;
- SkyDNS с настройками по умолчанию — 12;
- SkyDNS с настройками для школ — 13;
- DansGuardian — 10.
Поиск в Google
Обычный поиск для школьного возраста: «Курительная смесь купить», «Порно скачать бесплатно» и то же самое в нескольких вариантах написания. Результат по первым страницам результатов поисковой выдачи:
- YandexDNS позволил найти и зайти на 3 сайта с порнографией, 7 сайтов по продаже курительных смесей;
- SkyDNS с настройками по умолчанию позволил посмотреть 7 сайтов с порнографией, 3 магазина с курительными смесями;
- SkyDNS с настройками для школ позволил посмотреть 0 сайтов с порнографией, 0 магазинов с курительными смесями;
- DansGuardian на порносайты не пустил, открыл один сайт с легкой эротикой и 2 магазина с курительными смесями.
Замечания по настройке SkyDNS
Выводы
1. Что касается фильтрации, как и ожидалось, SkyDNS с настройками по умолчанию заборол семейный YandexDNS, но значительно проиграл DansGuardian в полевых условиях.
2. SkyDNS с настройками для школ сравнивать непросто, поскольку мы, фактически, получаем интернет по белому списку, т.е. все, что неизвестно SkyDNS будет блокироваться. При этом, результаты хорошие, но до DansGuardian при поиске конкретной информации все равно не дотягивают.
3. SkyDNS не является контент-фильтром, несмотря на заявление самой компании. В моем понимании контент-фильтр должен отслеживать содержимое страниц, а не адреса интернет-ресурсов.
4. Правильно настроенные и обновляемые DansGuardian+SquidGuard покажут результаты еще лучше, поскольку тот SquidGuard, который участвовал в тестировании, ничего не знает про Роскомнадзор и два года не обновлял черные списки.
5. Со всей собранной информацией меня ждут неплохие выходные.
Почему и для кого написано
В одно муниципальное учреждение, за которым я присматриваю, стали массово поступать письма от SkyDNS, в которых они напирали, что они — единственное решение для контент-фильтрации, что одобрены госорганами, что за смешные деньги, что Интернет после них чист, как снег в Альпах. Намекали, что проверка прокуратуры, услышав их название, сразу разворачивается и уходит в пыльные кабинеты пахнуть коньяком и плакать от бессилия. А тут еще начальник автоматизации, женщина со сложной судьбой, решила поддаться на уговоры и сменить работающий DansGuardian на этот волшебный SkyDNS. И я подумал: «А вдруг!?» Но нет, всё как ожидалось.
Однако, поскольку я был очевидцем проверки прокуратурой интернет-доступа к запрещенным материалам, общался с другими пострадавшими в других организациях, а также имел удовольствие беседовать с работниками прокуратуры и минюста, которые организуют и проводят эти проверки, могу вас заверить, что терминалы, блокирующие доступ по черным спискам SkyDNS, проверку прокуратуры не проходят, разве что вам повезет или у вас есть особые соглашение с проверяющими.
Прокуратуре фиолетово, что вы там себе поставили, с кем заключили договор. Они проверяют именно вас. Их задача получить доступ к материалам из федерального списка, и они обязательно его получат при некоторой настойчивости. Ваш единственный шанс пройти проверку — это всегда использовать белый список адресов или хотя бы успеть переключиться на него до того, как проверка начнется.
Появляется логичный вопрос — как можно требовать исполнения закона, который невозможно исполнить? К сожалению, для прокуратуры все просто: есть закон — надо выполнять. Не выполняете — наказываем. При этом все всё понимают и могут войти в положение, но предписание все равно будет.
Статья имеет практическую задачу показать эффективность разных способов фильтрации. Я с уважением отношусь к желанию людей заработать денег и обычно не мешаю их зарабатывать. Но в данном случае мне не нравится, что ребята из SkyDNS позиционируют себя как безальтернативное решение, ведут агрессивную рекламную компанию, используя административные государственные ресурсы и запугивание статьями уголовного кодекса, при этом не давая никакой, я повторюсь, НИКАКОЙ гарантии за результат и официально отказываясь от любой ответственности перед вами или прокуратурой за качество фильтрации, что и прописано у них в юридических документах.
Итого, простые рецепты по фильтрации
Если вы можете составить этот белый список сами и положить на прокси — SkyDNS вам не нужен.
Если вам нужен нормальный контент-фильтр, у вас есть руки и голова, которые могут его настроить (не обязательно ваши) — берите DansGuardian и занимайтесь.
Если рук или головы нет — ставьте SkyDNS или YandexDNS. SkyDNS, конечно, лучше и удобнее, но тут все зависит от бюджета.
На всякий случай — перечень запросов, которые я, в результате, использовал для поиска по федеральному списку: таблица Google spreadsheet
Update:
Первая редакция заметки была действительно некорректной, поскольку я проводил проверку, будучи уверенным, что проверяю SkyDNS со школьными настройками, в то время как добрые люди, уже сбросили настройки в состояние по умолчанию. После комментария от представителя SkyDNS я засомневался, убедился, что был не прав, и провел еще одно тестирование на еще одной виртуалке. Приношу извинения, и надеюсь, что все, кому этот материал был интересен посмотрят на обновленные результаты.
Ощущения от SkyDNS на школьных настройках с работой через безопасный поиск и с блокировкой неизвестных доменов были более убедительные и я готов подтвердить, что организация использующая этот вариант с большей вероятностью проверку пройдет, чем не пройдет. Есть одно «но» — как упомянули в комментариях hell0w0rd и Lerk, странно, что этот режим не стоит по умолчанию, поскольку, я уверен, многие конторы просто забудут его включить.
Было бы неправильным не упомянуть, что после окончания тестирования, у меня ушло около минуты, чтобы найти и проверить механизм обхода SkyDNS, не ставя дополнительных программ и не изменяя при этом настроек операционной системы или браузера. При этом, я не считаю себя сильно умнее грамотного школьника.
Также, я спросил у своих юристов, что они думают по поводу блокировки сайтов по белому списку, и получил несколько различных мнений, одно из которых, например, состоит в том, что Конституцию РФ еще никто пока не отменял, поэтому предоставлять доступ к одним сайтам и не предоставлять к другим, как это происходит в случае использования опции «блокировать неизвестные сайты» — это неплохой повод для судебного разбирательства.
Ваш Интернет-провайдер назначает вам DNS-серверы каждый раз, когда вы подключаетесь к Интернету, но эти серверы не всегда являются самыми лучшими с точки зрения скорости, безопасности и конфиденциальности. Медленные DNS-серверы могут привести к задержке загрузки сайтов, а если серверы будут периодически выходить из строя, то вы не сможете получить доступ к веб-ресурсам.
Переход на бесплатный публичный DNS-сервер может иметь важное значение. Вы получите ускоренную загрузку сайтов и безотказную работу с минимальной вероятностью технических неполадок.
Некоторые DNS-сервисы могут блокировать доступ к фишинговым и вредоносным сайтам и предлагают фильтрацию контента, чтобы защитить ваших детей от нежелательного контента в Интернете.
Подойдите к выбору DNS с осторожностью: не все сторонние поставщики обязательно будут лучше, чем DNS-серверы вашего провайдера. Чтобы помочь вам с выбором, в данной подборке мы собрали 8 лучших бесплатных DNS-серверов.
Проблема конфиденциальности DNS
Заметили ли вы проблему на схеме выше? Действительно, случайное лицо, которое предоставляет вам доступ в Интернет, знает каждый домен, который вы посетили и когда происходил сеанс посещения. Одно из исследований на практике продемонстрировало, что модель поведения, полученная путем анализа исключительно данных DNS, позволила правильно идентифицировать 86% пользователей.
DNS-трафик уязвим для злоумышленников
К счастью, существуют эффективное решение данной проблемы. Почти все устройства, которые позволяют вам выходить в Интернет, также дают возможность выбрать собственный преобразователь DNS. Какой выбрать? На рынке доступно много различных вариантов, но не все из них ставят в приоритет конфиденциальность. AdGuard предлагает сервис, который не только сохранит ваши действия в Интернете в тайне, но и предоставит дополнительные возможности защиты от сетевых угроз.
Давайте подробнее рассмотрим AdGuard DNS и выясним, почему это один из самых безопасных для вас вариантов на сегодняшний день.
Comss.one DNS
Достоинства
- Блокировка рекламы, счетчиков и фишинг-сайтов
- Поддержка современных технологий безопасности
Недостатки:
Comss.one DNS использует быстрые и безопасные серверы, расположенные в Европе и России. Доступны отдельные серверы для пользователей из Сибири и Дальнего Востока. Судя по тестам DNS Jumper, Comss.one DNS может похвастаться высокой скоростью работы.
Блокировка вредоносных сайтов, рекламных сетей и трекеров осуществляется за счет фильтрации на базе списков, которые обновляются несколько раз в день.
Comss.one DNS — перспективный и интенсивно развивающийся DNS-сервис, что, впрочем, не мешает его безотказной работе. Если вы столкнулись с какими-либо трудностями, вы всегда сможете получить помощь на странице комментариев сервиса.
Что такое DNS?
Схематическое изображение работы DNS
На самом деле система DNS является более сложной, но этой информации достаточно, чтобы получить базовое понимание. Обычно ваш интернет-провайдер (или оператор используемой сети) сам решает, какой DNS-преобразователь следует использовать.
Adguard DNS
Достоинства:
Недостатки:
- Блокируется не вся реклама из-за технологических ограничений
Adguard DNS — бесплатный DNS-сервис от компании AdGuard, финальная версия которого вышла в декабре 2018 года. Сервис предлагает два режима работы: стандартный и «Семейный контроль». Основное различие между стандартным и семейным режимом заключается в том, что в семейном режиме дополнительно блокируется неприемлемый контент для взрослых.
AdGuard DNS автоматически блокирует доступ к известным трекерам, фишинговым сайтам и рекламным доменам. Однако, стоит помнить, DNS-защита не позволяет полностью заблокировать рекламный контент.
Яндекс.DNS
Достоинства:
- Защита от вредоносного ПО
- Стабильность
Недостатки:
Яндекс.DNS — бесплатный DNS-сервис от популярной российской поисковой системы Яндекс, запущенный в 2013 году. Сервис предлагает три различных режима: базовый (без дополнительной фильтрации), безопасный (автоматическая защита от вредоносных запросов) и семейный (блокировка контента для взрослых).
Для защиты от вредоносных ресурсов Яндекс.DNS использует данные поиска, движок Sophos и собственный антивирус Яндекс.
Сервис предлагает 80 DNS-серверов, расположенных в разных локациях по всему миру. Запрос пользователя обрабатывает ближайший к нему сервер, что позволяет ускорить загрузку сайтов. На текущий момент в рейтинге DNSPerf Яндекс.DNS занимает только 10 место, что говорит о не самой высокой производительности по сравнению с другими провайдерами.
На сайте сервиса содержатся инструкции по настройке сервиса для маршрутизаторов популярных брендов, компьютеров, смартфонов и планшетов.
Если вам нужна качественная фильтрация, но не особо важна скорость работы, то Яндекс.DNS станет отличной отечественной альтернативой зарубежным сервисам.
Как протестировать DNS-сервис?
Если браузер выдает ошибку «IP-адрес сервера не найден», но вы уверены, что целевой ресурс работает и доступен, то проблема может быть связана с DNS-сервером.
Пользователи Windows могут использовать инструмент командной строки nslookup.exe для просмотра результатов любого DNS-сервера без изменения настроек системы:
Если nslookup снова возвращает ошибки при использовании нескольких серверов, то это не похоже на проблему с DNS. Если один сервер возвращает IP-адрес, а другой – нет, вы можете настроить свою систему на использование работающего DNS и посмотреть, имеет ли это какое-либо значение.
Команда AdGuard инвестирует много времени и усилий в разработку решений защиты конфиденциальности пользователей, и многие пользователи ценят продукты AdGuard именно по этой причине. Самым большим вызовом для разработчиков AdGuard является не только обеспечение эффективной защиты, но и предоставление ее любому пользователю, независимо от используемого устройства.
Как раз для этого был создан AdGuard DNS – DNS-служба с акцентом на защиту конфиденциальности, которая блокирует трекеры, рекламные блоки где угодно, будь то стационарные компьютеры, мобильные устройства или смарт-ТВ и устройства «Интернета вещей». Официальный запуск AdGuard DNS состоялся в прошлом году, 18 декабря 2018 года, спустя два года после начала разработки службы.
Cisco Umbrella (OpenDNS)
Достоинства:
- Давно представлен на рынке
- Блокирует фишинг-сайты
- Дополнительная веб-фильтрация
Служба OpenDNS была запущена в 2005 году, и в последствии приобретена компанией Cisco, а сейчас является одним из самых известных имен среди общедоступных DNS.
Бесплатный сервис предлагает множество преимуществ: высокая скорость работы, 100% время непрерывной работы, блокировка фишинг-сайтов по умолчанию, веб-фильтрация по типу родительского контроля, бесплатная поддержка по электронной почте.
Коммерческие тарифы позволяют просматривать историю посещений за последний год и настраивать блокировки доступа к определенным ресурсам. Обычному пользователю данные функции могут не понадобиться, а заинтересованным лицам придется потратить порядка 20 долларов в год.
Опытные пользователи может мгновенно начать работу с OpenDNS, перенастроив свое оборудования. Для новичков OpenDNS предлагает инструкции по настройке ПК Windows, Mac, мобильных устройств, маршрутизаторов и др.
Почему важно выбрать быстрый DNS?
DNS-серверы могут заметно отличаться по скорости работы. Особенно это актуально для регионов со слабым покрытием Интернета (Африка, Южная Америка, Океания). Согласно данным сервиса DNSPerf для региона «Океания» время отклика DNS-серверов Cloudflare составляет 6,71 миллисекунды, а DNS-серверов Яндекса — 309,28 миллисекунды. Таким образом, пользователю придется дополнительно ждать более трети секунды , прежде чем браузер сможет получить доступ к любому новому сайту.
Конечно, это пример крайности. В Европе и США разброс между различными DNS-серверами обычно составляет не более 30 миллисекунд. Кроме того, так как ваше устройство или роутер, скорее всего, кэшируют адреса для последующего использования, даже такие задержки будут происходить нечасто. В любом случае, медленный DNS-сервер может существенно снизить скорость загрузки веб-ресурсов, поэтому протестировать альтернативные DNS — действительно хорошая идея.
Еще один важный критерий — стабильность, которую можно оценить по времени безотказной работы (uptime). Если DNS-сервер вашего провайдера не работает, вы не сможете получить доступ к своим любимым любимым сайтам. Крупные провайдеры, такие как OpenDNS, утверждают, что их uptime не снижался ниже 100% на протяжении нескольких лет.
Читайте также: