Правильно выбираем DNS
У многих, наверное, используется DNS, предложенный провайдером. Однако вы же наверное слышали про открытие доступа к своим серверам Google? Да и другие проекты(OpenDNS, UltraDNS и т.д.) вполе себе существуют. Так давайте попробуем разобраться, зачем оно нам надо и есть ли вообще смысл рядовому юзеру пользоваться альтернативными DNS?
Речь пойдет о программе namebench(Win, Mac,*nix), которая представляет собой средство для тестирования текущих и выбора оптимальных DNS-серверов. Что любопытно, обошлось не без содействия корпорации Google.
Програмка определит DNS, использующиеся у вас по умолчанию(можно добавить любые вручную) и протестирует их наравне с публичными доступными серверами. Для определения оптимального именно для вас сервера берется история из вашего браузера. Поддерживаются Firefox, Chrome, Opera, Safari и IE. Так же можно скормить для теста Alexa Top 10000. Задаем параметры(чем больше количество запросов тем достовернее результат, теоретически), запускаем и оставляем на некоторое время в покое.
Ну и самое интересное, результаты тестирования:
Итак, что же мы видим? В моем случае(в статье я использовал скриншоты со странички проекта) прирост в скорости отклика для лучшего из найденных серверов по сравнению с используемым(один крупный Московский провайдер) составил порядка 70..100% У кого-то может быть больше, у кого-то меньше. Но что это нам дает? Чисто субьективно могу сказать, странички стали открываться немного быстрее при прочих равных. А может быть это просто эффект плацебо. Интересно ваше мнение.
Безопасные DNS-серверы
Сервисы безопасных DNS-серверов обеспечивают веб-защиту и родительский контроль, фильтруя и блокируя небезопасные, вредоносные и нежелательные веб-сайты. Серверы DNSCrypt, DNS-over-TLS и DNS-over-HTTPS предназначены для шифрования DNS-запросов
Как настроить DNS over HTTPS
Windows 11
Нативная поддержка в новой версии ОС
Google Chrome
Использовать безопасный DNS-сервер
Mozilla Firefox
Как включить DNS через HTTPS
Microsoft Edge
Новая функция «Использовать безопасные DNS»
По дате Популярные
2024-01-20
Comss.one DNS – быстрые и безопасные DNS-серверы на базе Control D с защитой от рекламы, трекинга, фишинга и вредоносных сайтов, и поддержкой шифрования запросов DNS-over-HTTPS, DNS-over-TLS и DNS-over-QUIC
2023-06-11
Яндекс.DNS – сервис для ускорения и обеспечения безопасности интернет-соединения. Предлагает три режима с поддержкой шифрования запросов DNS-over-HTTPS и DNS-over-TLS: Безопасный (блокирует вредоносные сайты), Семейный (дополнительно блокирует контент для взрослых) и Базовый (быстрое и надежное соединение без блокировки)
2023-01-09
Gcore Public DNS – быстрый, безопасный и бесплатный DNS-резолвер, защищающий вашу конфиденциальность
2022-11-26
Adguard DNS предлагает простой способ фильтровать рекламу через систему доменных имён — DNS. Решение блокирует рекламу, счетчики, фишинговые сайты, взрослые сайты и предлагает безопасный поиск
2022-05-07
Control D — бесплатные DNS-серверы с поддержкой шифрования запросов и фильтрами блокировки рекламы и вредоносных сайтов, а также платные серверы с выбором категорий фильтрации, прокси и пользовательскими правилами
2021-04-22
Quad9 DNS – бесплатный DNS-сервис, который использует технологии безопасности IBM X-Force для надежной защиты от вредоносных сайтов, высокой производительности и конфиденциальности в Интернете
2021-02-15
Alternate DNS – безопасные DNS-сервера с блокировкой рекламы, быстрой скоростью работы, а также поддержкой DoH и DoT
2020-12-14
Серверы Neustar UltraDNS Public обеспечивают быстрый доступ к сайтам и сервисам, блокировку вредоносного контента, защиту от сайтов для взрослых и специальные фильтры для организаций
2020-11-10
Служба DNS CleanBrowsing предоставляет различные фильтры блокировки вредоносных сайтов и контента для взрослых
2020-11-06
Служба Cloudflare DNS «1.1.1.1» ориентирована на скорость и защиту конфиденциальности, обеспечивая быстрый и безопасный веб-серфинг в Интернете
2020-04-09
DNS.WATCH – быстрые и безопасные немецкие DNS серверы, обеспечивающие высокую скорость отклика и защиту конфиденциальности
2020-04-01
Cisco Umbrella (OpenDNS) – «облачная» интернет-безопасность, простой способ защиты от вредоносного ПО, ботнетов, фишинг-атак. Сервис повышает скорость и надежность Интернета
2020-02-18
Safe Surfer DNS – безопасные DNS-серверы, обеспечивающие защиту от фишинга, вредоносного и нежелательного контента в интернете
2020-02-11
Verisign Public DNS – стабильные и безопасные DNS сервера, обеспечивающие конфиденциальность ваших действий в интернете
2020-01-16
Freenom World DNS – безопасные и анонимные DNS, которые не хранят историю ваших действий в интернете и предоставляют быстрый доступ к сайтам и другим онлайн-ресурсам
Выбор DNS-хостинга после 10 лет с Яндексом
Так исторически сложилось, что с момента открытия Яндексом в 2010 году своего DNS-хостинга, сотни наших проектов размещались там. Тогда это была «Почта для домена», в 2017 это стал «Яндекс.Коннект», а уже сейчас в личном кабинете красуется надпись, что панель «Коннекта» будет закрыта и теперь это «Яндекс 360 для бизнеса»
Тогда выбор определили следующие доводы:
- Бесплатная почта для домена, бесплатный DNS для доменов от любого регистратора, «Метрика» и« Вебмастер» – все в одном аккаунте.
- Возможность выставить TTL в 90 секунд, что не раз спасало, когда нужно было быстро изменить А-запись.
- «Ну это же Яндекс, он-то не упадет!»
Проблемы начались в последние несколько лет. Главное даже не сам факт наличия проблем, а как в Яндексе на них реагировали. На днях снова произошла следующая история.
Примерно с 21:15 16.02.22 мониторинг начал фиксировать «невозможность разрешить удаленное имя» по сайтам, которые использовали DNS-сервера: dns1.yandex.net, dns2.yandex.net. Начали сыпаться ошибки вида cURL error 6: Could not resolve host , ответы от DNS чередовали статусы REFUSED , SERVFAIL и NOERROR , а клиенты – начали писать нам в поддержку.
Решил и я написать в техподдержку Яндекса, там меня встретил позитивный чат-бот, который сообщил, что с людьми позволено разговаривать только обладателям платного Яндекс 360. Ладно, думаю, информации о проблеме в публичных источниках найти не могу – надо ведь достучаться! Вдруг они и не знают о проблеме, а я первым им сообщу – быстрее устранят. Сказано – сделано: покупаю подписку на «Яндекс 360 для бизнеса». Открываю чат, а там меня ждёт уже другой бот, сообщающий, что в платной поддержке по будням люди работают с 09:00 до 18:00. Яндекс, ну вы же используете Slack? Поставьте Telebot, дайте пользователям писать в Telegram и оперативно получать ответы? Вон Beget ответил ночью в Telegram за 9 минут, в ITSOFT – 2 минуты, от вас ответ в чат мне так и не пришёл.
Написал в чат, написал на почту, приложил логи, скриншоты, пояснил, что проблема наблюдается абсолютно на всех, доступных мне, доменах, делегированных Яндексу.
В 09:37 17.02.22 пришло письмо с просьбой отправить результат mtr и telnet до mx.yandex.ru:
… отправил ��♂️. И всё, больше добавить нечего: DNS продолжил огорчать клиентов и восстановился примерно лишь к 21:00 17.02.22, Яндекс всё молчит, а последний ответ на мой запрос выглядит так:
Подобные ситуации наблюдались и ранее, из последнего: 2022.02.13 ~15:00-22:00. Хорошо запомнилось 2018.10.31 ~19:40-00:40, когда сайты нельзя было зарезолвить даже из подмосковных Химок, а их владельцы спешно меняли DNS.
Всё это побудило меня оглядеться и задаться вопросом: что изменилось за последние годы и какой DNS-хостинг используют наиболее посещаемые сайты. Тем более, самое свежее, что нашел на Хабре на эту тему: Список бесплатных DNS-сервисов – датирован 2013 годом.
Какой DNS-хостинг у топ-сайтов в зоне .RU?
Берём список наиболее посещаемых сайтов из Alexa (кстати, 2022.05.01 она «все»): этот от 2016 года мог немного устареть (альтернативы: 1, 2), но под нашу задачу, с учётом миллиона записей – достаточно. В списке нашлось 45457 сайтов в зоне .ru.
Пишем магический однострочник:
wget -q -O — https://raw.githubusercontent.com/zer0h/top-1000000-domains/master/top-1000000-domains | grep «^.*\.ru$» | xargs dig SOA +noall +answer +short | cut -d » » -f1 | cut -d «.» -f2- | sort | uniq -c | sort -nr > ns_top1m.txt
– и отправляемся курить.
Если немного причесать результаты, то соотношение среди топ-20 списка будет выглядеть так:
Исходные данные результатов можно посмотреть на GitHub.
А если сравнить с распределением среди топ-100к и топ-10к Alexa (3600 и 300 сайтов в зоне .ru соответственно)?
Три сегмента на одном графике:
- Хостинг от Яндекса всё ещё используется существенной частью сайтов.
- На фоне Cloudflare, регистраторов и хостинг-провайдеров открытием стала популярность cloudns.net.
- Доля nic.ru и cloudns.net среди наиболее посещаемых сайтов выше, чем на других отрезках (см.таблицу).
- Cloudflare.com и selectel.ru наиболее популярны среди топ-3600.
- Среди топ-300 часто используется nic.ru как Secondary.
Сравнение DNS-сервисов и выбор
Какими допущениями я руководствовался:
- В эпоху «суверенного чебурнета» хочется иметь Primary DNS в РФ. Вдруг опятьзабанят Cloudflare?
- Самостоятельно поднимать, администрировать и защищать DNS-сервер не хочется. Но и от возможностей сервиса ожидается большее, чем указать IP для A-записи.
- DNS-хостинг может (должен?) быть платный. Если ты не платишь за услугу, то либо она некачественная, либо ты переплатил в другом месте.
- Основная аудитория сайта находится в РФ. Но идеально – иметь возможность трансфера зоны, используя альтернативный (зарубежный?) Secondary.
- Возможность выставить минимальный TTL.
- Хорошо, если публичный «track record» без глобальных падений за последние 5 лет.
- Если DNS ляжет – импакт должен быть на существенную долю сайтов рунета. Бизнесу не так обидно, когда о падении пишут на всех новостных ресурсах.
Исходя из этих вводных я протестировал шорт-лист из 13 популярных сервисов и собрал в сравнительную таблицу со следующими критериями: наличие бесплатного тарифа, наличие и стоимость платного тарифа, возможность трансфера зоны и использования как Secondary, минимальный TTL, возможность импорта и экспорта зоны, наличие API, наличие защиты от DDoS и использование Anycast, наличие поддержки и дата последнего падения.
Что хотелось отметить отдельно:
В прошлом году у Яндекса появился платный Cloud DNS в составе «Яндекс.Облако». Но его нет в выборке выше, как и, например, DNS-хостинга от Mail.ru (ой, простите, VK?), в силу низкой распространенности. Но и он падает: 1, 2, 3.
Выбрав nic.ru, можно быть уверенным, что если упадет ваш DNS – упадет и большая часть рунета. А исходя из допущений про «импортозамещение» выше: альтернатива Яндексу – лишь nic.ru и reg.ru, которые (вместе с r01.ru и spaceweb.ru) теперь есть одно и то же. Однако, обе компании вызывают бурю негативных эмоций: nic.ru взвинтил цены, разогнал партнеров, навязывает услуги (я сам до сих пор не на всех доменах смог отключить всяких Персональных менеджеров и прочее мракобесие, которое они включили по умолчанию). Reg.ru оскандалился с Beget и продает «Премиум» DNS, который не отличается от бесплатного, о чем хорошо говорит заголовок на searchengines. При этом «премиум» не предоставляет возможность указать дополнительные сторонние Secondary: либо сервера reg.ru, либо чужие. В общем, если в сравнительную таблицу добавить колонку с модным нынче словом «токсичность», то и выбирать-то будет не из кого.
Зарегистрировавшись в Timeweb, я просто не смог добавить свой двухсимвольный домен 🙁
Beget прямо давит на тебя блокировкой с главной страницы своей панели управления. Надеюсь, DNS-то не заблокируют, если вовремя не оплатишь хостинг?
Выводы
Все данные и исходники выложены, чтобы каждый мог добавить свои критерии или методологию и выбрать сам. Для себя же я сделал следующий вывод с учётом вводных выше:
- Бесплатно лучше размещаться вместе с доменом на reg.ru.
- Платно – Primary на nic.ru с Secondary на cloudns.net.
Disclaimer: статья родилась из необходимости решить задачу выбора для себя и получить обратную связь от сообщества, в ней нет реферальных ссылок на сайты DNS-провайдеров, а упомянутые в тексте её не спонсировали.
Обновлено 2022.02.21: недоступность сервисов Яндекс с ~ 9:00 до 11:00.
Обновлено 2022.02.22: спустя 5 дней на повторный запрос деталей по инциденту Яндекс ответил, что «уже все работает, но почему и как долго не работало — не скажем»
Обновлено 2022.03.14: недоступность DNS Яндекса в промежутках 15:20 – 15:40, 19:50 – 20:21, 22:05 – 22:28.
Обновлено 2022.03.16: частичная деградация DNS Яндекса с 19:35 до 20:30.
Лучшие бесплатные DNS серверы с шифрованием DOH и DOT
Это статья для тех кто предпочитает использовать на своих устройствах внешние DNS серверы с шифрованием DOH и DOT.
Основным преимуществом использования DNS серверов с поддержкой DOH (DNS over HTTPS) и DOT (DNS over TLS) являетя невозможность узнать и изменить ваши DNS запросы на всем пути прохождения данных между вашим устройством и DNS сервером. То есть о ваших запросах будут знать только ваш компьютер (смартфон) и DNS сервер.
Технология DOT работает «из коробки» в операционной системе Android начиная с версии 9. Это в частности позволяет блокировать рекламу на уровне DNS на нерутованных смартфонах. Я писал об этом два года назад — https://moonback.ru/page/kak-izbavit-ot-reklamy-na-android-smartfone.
Серверы DOH получили поддержку в операционной системе Windows 11. Я подробно описал эту возможность совсем недавно — https://moonback.ru/page/doh-and-windows-11.
Кроме того, домашние маршрутизаторы серии Keenetic могут использовать и DOH и DOT для защиты всех DNS запросов из вашей домашней сети.
Браузеры FireFox и Chrome так же успешно работают с DOH.
Учитывая все выше описанное становится острым вопрос, а где взять надежные, быстрые и бесплатные DNS серверы с поддержкой DOT и DOH?
Надежные DNS серверы с шифрованием
Новая операционная система Microsoft Windows 11 по-умолчанию поддерживает работу DNS серверов с шифрованием DOH от компаний Cloudflare, Google и Quad9.
Я для защиты DNS запросов использую DOH и DOT серверы различных провайдеров уже около 2-х лет. И в ТОПе у меня так же оказались компании Cloudflare, Google и Quad9.
Список рекомендованных бесплатных DNS серверов с шифрованием DOT.
Информация в таблице может быть избыточна для настройки вашего устройства. Минимальный список выглядит так:
- tls://cloudflare-dns.com
- tls://dns.google
- tls://dns.quad9.net
- common.dot.dns.yandex.net
Список рекомендованных бесплатных DNS серверов с шифрованием DOH.
| Провайдер | IPv4 адрес | Порт | DNS запрос |
|---|---|---|---|
| Clouflare | 1.1.1.1 | 443 | https://cloudflare-dns.com/dns-query |
| Clouflare | 1.0.0.1 | 443 | https://cloudflare-dns.com/dns-query |
| 8.8.8.8 | 443 | https://dns.google/dns-query | |
| 8.8.4.4 | 443 | https://dns.google/dns-query | |
| Quad9 | 9.9.9.9 | 443 | https://dns.quad9.net/dns-query |
| Quad9 | 149.112.112.112 | 443 | https://dns.quad9.net/dns-query |
| Yandex | 77.88.8.8 | 443 | https://common.dot.dns.yandex.net/dns-query |
Информация в таблице может быть избыточна для настройки вашего устройства. Минимальный список выглядит так:
- https://cloudflare-dns.com/dns-query
- https://dns.google/dns-query
- https://dns.quad9.net/dns-query
- https://common.dot.dns.yandex.net/dns-query
Альтернативные DNS серверы с шифрованием DOT и DOH
Кроме тройки лидеров есть альтернативные быстрые, стабильные и бесплатные DNS серверы с поддержкой шифрования DOT и DOH. Я пользуюсь около года, особых нареканий к ним нет.
| Провайдер | DNS over TLS | DNS over HTTPS |
|---|---|---|
| AdGuard | tls://dns.adguard.com | https://dns.adguard.com/dns-query |
| Comss.one DNS | tls://dns.comss.one | https://dns.comss.one/dns-query |
| NextDNS | tls://dns.nextdns.io | https://dns.nextdns.io |
| Cisco OpenDNS | https://doh.opendns.com/dns-query |
Есть множество других достойных DNS сервисов с поддержкой шифрования, но я их не проверял и поэтому их нет в этой статье.
Что лучше DOH или DOT?
С точки зрения сетевой безопасности DoT, возможно, лучше. Так же он часто может работать быстрее чем DoH.
C точки зрения конфиденциальности, DoH является более предпочтительным, так как DNS-запросы DoH используют порт 443 и поэтому скрыты в обширном потоке HTTPS-трафика.
Заключение
В статье приведены DNS серверы с шифрованием DOT и DOH без какого-либо анализа их работы. Это список сформирован на основании моего личного опыта.
Все сервисы указаны в режиме «по-умолчанию», как правило это подразумевает частичную блокировку некоторых ресурсов.
Благодарности
При написании статьи были использованы следующие источники:
- https://quad9.net/support/faq
- https://kb.adguard.com/ru/general/dns-providers
- https://www.cloudflare.com/ru-ru/learning/dns/dns-over-tls/
- https://yandex.ru/support2/dns/ru/keenetic