Dns от гугла – Google public dns — Wikipedia

Содержание

8.8.8.8 и 8.8.4.4. Google Public DNS (Публичный DNS Гугл)

Из этой статьи вы узнаете о том, что такое публичные ДНС-серверы Google, для чего они могут быть Вам полезны, куда прописать адреса Google DNS, чтобы использовать их на компьютере, роутере и телефоне.

Зачем пользоваться Google Public DNS? В чем преимущества?

Как вы уже наверняка знаете, DNS-сервер отвечает за сопоставление интернет-имен и IP-адресов. При вводе имени сайта, вас перенаправляет на нужный адрес. Каждый Интернет-провайдер имеет свои сервера имен. В чем же преимущества DNS-серверов Гугла?

1. Уверенность в правильности разрешения Интернет-имен

С Гугл ДНС у вас есть фактически гарантия того, что при вводе адреса веб-сайта у вас откроется оригинальная, а не подменная страница.

2. Быстрота обновления баз Google DNS

Случается так, что у сайта меняется IP. Это может быть связано с переездом на другую хостинг-площадку или другими техническими нюансами. На серверах компании Google такая информация обновляется оперативно и практически мгновенно, в то время, как другие сервера при запросе имени хоста могут еще долго (вплоть до пары суток) выдавать устаревший айпи-адрес.

3. Обход блокировки сайта провайдером

Если ваш провайдер блокирует определенный сайт через службу DNS, сопоставляя имя домена с другим IP-адресом (например 127.0.0.1), прописав ДНС-серверы Google, вы сможете попасть на заблокированный сайт. Таким образом, в Италии блокируют доступ к vk.com.


У вас несколько вариантов использования публичного DNS Google:

  • на отдельном компьютере. В этом случае, преимущества будут только на этом ПК.
  • на роутере. При этом надежными ДНС-серверами будут пользоваться по умолчанию все устройства в сети.

Как прописать DNS 8.8.8.8 (8.8.4.4) на компьютере

Для того, чтобы использовать Google DNS на компьютере, выполните следующие шаги:

  • Нажмите правой клавишей мыши по значку сети в панели зада и запустите Центр управления сетями и общим доступом:

google-dns-0111

  • Кликните по названию сетевого подключения, через которое вы подключены к Интернету:

google-dns-0112

  • Нажмите кнопку Свойства:

google-dns-0113

  • Выделите в списке строку IP версии 4 (TCP/IPv4).
  • Нажмите Свойства:

google-dns-0114

  • Установите переключатель в положение Использовать следующие адреса DNS-серверов. 
  • В поле Предпочитаемый DNS-сервер введите 8.8.8.8.
  • В поле Альтернативный по желанию можно ввести 8.8.4.4.
  • Нажмите OK:

google-dns-0115

  • Для сохранения настроек нажмите OK — OK — Закрыть.

Как прописать 8.8.8.8 на роутере

Правильнее всего будет указать 8.8.8.8 и 8.8.4.4 в настройках соединения с провайдером, т.е. в настройках WAN.

Настройка Google DNS в роутерах TP-Link

  • Откройте раздел Network.
  • Выберите настройку WAN.
  • Вбейте 8.8.8.8 в поле Primary DNS.
  • В поле Secondary можно прописать 8.8.4.4.

Внимание! Можно указать четыре восьмерки в поле Secondary, а поле Primary оставить пустым. В этом случае, правда, ДНС-сервер Гугла будет использоваться только в том случае, если провайдерский сервер имен не сможет отрезолвить имя.

  • Нажмите кнопку Save:

google-dns-0211

Как прописать 8.8.8.8 в маршрутизаторах D-Link:

  • Setup
  • Internet Setup
  • Manual Internet Connection Setup

google-dns-0311

  • Primary DNS Address
  • Save Settings:

google-dns-0312

Внимание! Если вы прописали адрес Google DNS на роутере, то на устройствах, которые к нему подключены и получают сетевые параметры автоматически по DHCP, ничего прописывать не нужно.

Читайте также:

compfixer.info

Google 8.8.8.8 сервер — public dns server от компании Гугл

Google DNS - блог Guland

Достаточно часто приходится давать советы пользователям по решению проблем, возникающих с доступом к Интернету. Одним из таких советов является изменение DNS-серверов интернет провайдеров на публичные. Наиболее яркий пример – это 8 8 8 8 сервер (или 8 8 4 4) от компании Гугл. Этим советом, нужно пользоваться, когда Вы нормально подключены через роутер к сети провайдера для выхода в глобальную сеть. Но самого выхода не происходит – попросту не открываются странички. Таким образом, многим интересно – что же это за google dns такой? И стоит ли вообще прописывать google 8 8 8 8 или нет? Вот на эти вопросы я постараюсь дать ответы.

Почему Google dns сервера?

Google Public DNS – это совершенно бесплатный глобальный сервис системы доменных имен, который можно применять как альтернативный днс вашего провайдера. Преимущества google 8 8 8 8 8 8: лучше скорость, выше надежность и гарантированная безопасность интернет-соединения.

Сервер DNS Google — это альтернативный DNS-сервер, который был создан компанией Гугл. Сервис дает возможность ускорить загрузку страниц сайта за счет улучшенной эффективности кэширования данных. Также он гарантирует лучшую защиту от атак типа «IP-спуфинг» и DoS.

Поскольку развитие интернет технологий не стоит на месте, то все сайты обзаводятся новыми фичами и возможностями, что в свою очередь делает их более сложными для обработки. Для загрузки странички сайта приходится обрабатывать все больше ресурсов с разных доменов, поэтому ПК, планшет или телефон должны обрабатывать все больше DNS-запросов, только чтобы отобразить одну веб-страницу. Среднестатистический пользователь глобальной сети выполняет сотни ДНС-запросов ежедневно, которые существенно замедляют скорость работы в интернете. А из-за того, что мировая сеть Интернета только увеличивается, то имеющаяся на данный момент инфраструктура DNS испытывает все большую нагрузку.

Паук от поисковой системы Гугл не прекращает своего сканирования просторов Интернета, вместе с поиском новых сайтов он также преобразовывает и кэширует DNS-информацию. А обладая огромными мощностями, Google применяет свои технологии для постоянных экспериментов в разных областях, одной из которых является поиск решения проблем связанных с производительностью и безопасностью ДНС. Google Public DNS уменьшает нагрузку на днс- провайдеров, улучшает безопасность и повышает скорость Интернет-серфинга.

Серверы dns Google

Представляю Вам следующие google dns сервера для IPv4:

Также серверы имеют IPv6-адреса:

  • 2001:4860:4860::8888
  • 2001:4860:4860::8844

Приватность google dns

По заверениям представителей компании Гугл, сервер 8.8.8.8 будет применяться исключительно для ускорения загрузки веб-ресурсов и не будет заниматься сбором персональных данных. Что же касается IP-адресов клиентов данной услуги, то они будут находиться на сервере максимум 48 часов. А информация об интернет провайдере и местоположении до 2 недель. Все конфиденциальные данные будут оставаться конфиденциальными – записываться не будут. Все данные получаемые сервисом будут применяться только в технических целях, дабы улучшать качество обслуживания.

Но как все прекрасно понимают, Гугл заинтересован в том, чтобы выдавать пользователям интересную им рекламу, ведь это его заработок, что наводит на размышления о сборе дополнительной информации.

Вот и основатель OpenDNS такого же мнения, он полагает, что Гугла будет мало заботить сохранность персональных данных, поскольку собственная выгода выйдет на первое место. По его словам, со временем, Google, как один из наиболее крупных игроков в области интернет-рекламы, станет внедрять свою собственную контекстную рекламу на интернет-страницы тех пользователей, что прописали у себя DNS сервер 8 8 8 8.

Что собой представляет Google dns server мы разобрались, пора перейти к вопросам как, где и когда его нужно прописывать.

В каких случаях будет полезен Google 8.8.8.8?

Все сталкивались с ситуациями, когда у Интернет-провайдеров, с которыми мы заключили договор, начинаются проблемы и DNS-серверы подглючивают. И это свойственно не только мелким фирмам, предоставляющие услуги выхода в глобальную сеть, но и крупные операторы далеки от совершенства. Сбой может произойти по абсолютно разным причинам – аппаратные или программные это не столь важно, когда у вас вдруг пропал интернет. Думаю, все согласятся с тем, что нам, абонентам, абсолютно все равно, что там за проблема с сервером возникла у провайдера. Мы абоненты, и мы хотим стабильной работы интернета!

! Вот и первая причина использования DNS 8.8.8.8 от компании Гугл. С помощью прописывания основного и альтернативного днс вы решите проблему, которая появляется, когда DNS не отвечает, не находит либо и вовсе не работает.

! Вторая причина – это банальная возможность добраться к сайтам, которые блокируются провайдерами. Все прекрасно знают о Роскомнадзор и его закидонах – то торрент-трекер заблокирует по требованию правообладателя, то социальные сети, даже на Ютуб поисковую систему позарился.

И большинство интернет провайдеров блокируют доступ к ресурсам через подмену IP-адреса вебсайта на своём DNS-сервере. А независимые публичные сервера помогут исправить эту ситуацию, а это значит, что DNS от Google позволит успешно обойти подобный вид блокировки.

Вывод: DNS серверы Google — быстрые, бесплатные и стабильные.

Настройка Google DNS

Как сменить dns на гугловские в windows 8 и windows 7?

Для того чтобы вписать адреса DNS Google в настройках сетевого подключения, вам необходимо:

  1. Зайти в Центр управления сетями и общим доступом. Как это сделать? В нижнем правом углу находится значок сетевого подключения (у тех, кто подключен по Wi-Fi это лесенка, у тех, кто по кабельному – монитор с трезубцем), кликаете правой клавишей мыши и в появившемся окне выбираем пункт «Центр управления сетями и общим доступом».

  2. В новом открывшемся меню слева ищите ссылку: Изменение параметров адаптера.

    Изменение параметров адаптера - блог Guland

  3. Далее выбираете то сетевое подключение для которого решили прописать альтернативный адрес от Google 8 8 8 8 8 8 и жмете правую клавиши мыши. В открывшемся окне переходим к пункту «Свойства».

  4. Поскольку мало кто из нас уже работает с 6 версией протокола, то отмечаем пункт «Протокол Интернета версии 4 (TCP/IPv4)» и жмем на кнопочку «Свойства».

  5. Вот мы и добрались до того места где будем прописывать наш заветный 8 8 8 8 8 DNS сервер. Тыкаете в окошко «Использовать следующие адреса DNS-серверов», чтобы поля, где нужно вписать, стали активными и заполняем:

    • «Предпочитаемый сервер» — 8.8.8.8,
    • «Альтернативный сервер» — 8.8.4.4.
    • Где вписать адреса DNS Google в windows 8 и windows 7 - блог Guland

Если Вы работаете через WiFi роутер, то лучше в верхнем поле вписать IP-адрес роутера, а в нижнем — публичный DNS Google. Вот так:

Где вписать адреса DNS Google (WiFi роутер) - блог Guland

Как поставить dns 8 8 8 8 на Windows XP

  1. Нажмите на пункт «Состояние» в меню сетевого подключения.
  2. Кликнете по кнопке «Свойства».
  3. Откройте свойства Протокол Интернета (TCP/IP).

    Протокол Интернета на Windows XP - блог Guland

  4. Впишите необходимые данные.

    Где вписать адреса DNS Google на Windows XP - блог Guland

! Будьте внимательны! Если в полях, где необходимо добавить адреса DNS серверов Google, уже прописаны другие адреса, то не стоит их бездумно удалять. Лучше запишите в своем блокноте, чтобы можно было, при необходимости, заменить Google 8.8.8.8 на старые DNS сервера.

Как настроить Google 8.8.8.8 DNS сервер (видео)

guland.biz

Google Public DNS не ресолвит некоторые домены / Habr

В последние несколько месяцев стали поступать жалобы от пользователей, что до них часто не доходит почта от их партнеров. Почта поднята на собственном сервере, поэтому начал изучать логи. Но в логах не было ничего криминального. Кроме того, все тестовые письма, которые я отправлял в этот домен со своих ящиков, прекрасно доходили, и, пожав плечами, я решил, что это какие-то локальные проблемы.

Через некоторое время, мне в руки попал лог отправки письма в наш домен с другого сервера, и тут меня как обухом по голове ударили. Оказывается, их DNS сообщает почтовому серверу, что имя домена не опознано.

Естественно, я сразу проверил регистрацию домена, что показало, что домен активен, проплачен до следующего года и делегирован на DNS-сервера регистратора. Начал делать запросы по всем доступным dns-серверам:

Запрос на собственные DNS-сервера:

Z:\>nslookup ufsin45.ru
╤хЁтхЁ:  serv.domain.local
Address:  10.45.15.249

Не заслуживающий доверия ответ:
╚ь :     ufsin45.ru
Address:  85.249.4.35

Запрос на корневой а-сервер:

Z:\>nslookup ufsin45.ru a.dns.ripn.net
128.232.193.in-addr.arpa        nameserver = int3.dns.ripn.net
128.232.193.in-addr.arpa        nameserver = ns.relarn.ru
128.232.193.in-addr.arpa        nameserver = int2.dns.ripn.net
int2.dns.ripn.net       internet address = 195.209.10.37
int3.dns.ripn.net       internet address = 194.226.76.90
int3.dns.ripn.net       AAAA IPv6 address = 2001:6d0:ffd9:316:194:226:29:50
╤хЁтхЁ:  UnKnown
Address:  193.232.128.6

╚ь :     ufsin45.ru
Served by:
- ns2.nameself.com

          ufsin45.ru
- ns1.nameself.com

          ufsin45.ru

И самое интересное — любимый всеми Public DNS от Google:

Z:\>nslookup ufsin45.ru 8.8.8.8
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8

*** google-public-dns-a.google.com не удалось найти ufsin45.ru: Server failed

Z:\>nslookup ufsin45.ru 8.8.4.4
╤хЁтхЁ:  google-public-dns-b.google.com
Address:  8.8.4.4

*** google-public-dns-b.google.com не удалось найти ufsin45.ru: Server failed

Зная, сколько админов (да, думаю, и провайдеры многие этим грешат) не заморачиваясь ставят в качестве основных name-серверов эти легко запоминающиеся цифры ip-адресов, понимаю, что наш домен теряет посетителей и, главное, доверие к почтовому сервису.

И не только к нашему. Примерно в это же время мне пожаловался пользователь, что не может отправить почту какому-то очень важному человеку на его официальный адрес. Глянув в логах, увидел такую же строчку, что DNS-сервер не может опознать имя домена. Быстренько поменяв на своих локальных DNS-серверах адрес пересылки с публичных серверов Гугла на адреса публичных серверов Яндекса, все прекрасно прошло.

Я честно пытался найти в дебрях техподдержки Google, к кому можно обратиться с данной проблемой, но, видимо, публичные name-сервера у них являются некой побочной службой, без инфраструктуры и поддержки. И, судя по увеличивающимся запросам на форумах по продуктам Google, на других форумах, а также устных отзывов своих коллег, эта проблема набирает обороты и, возможно, скоро еще один бесплатный сервис Корпорации Добра канет в лету…

P.S. После бурных обсуждений, с помощью уважаемого хабраобщества, прихожу к выводу, что Гугл виноват только в мегапопулярности своего ресолвера.
Но окончательную причину пока не нашли…

P.P.S. Уж не знаю, положительная ли энергия хабрасообщества так повлияла, или кто-то из причастных к проблеме людей прочитал этот пост и тихо исправил, может мистический полтергей «поиграл да отдал», а может и повлияло обновление SOA зоны, но сейчас все чудесным образом заработало. Все 21 сервер отресолвили наш домен. Еще раз большое спасибо всем ответившим, да прибудет с Вами Великая информационная сила! 🙂

habr.com

DNS 8.8.8.8 — что это такое? Как прописать DNS от Google?

В большинстве случаев, когда «не работает интернет», то есть активное подключение установлено, но сайты не открываются, повсеместно можно наткнуться на самый распространенный совет — прописать DNS 8.8.8.8 от гугла. В данной статье рассмотрим, что это такое и стоит ли прописывать эти DNS.
wiki-dns
DNS серверы — это серверы, преобразующие доменные имена (например 2notebook.net или google.ru) в ip адреса серверов, на которых данные сайты и располагаются. DNS серверы 8.8.8.8 и 8.8.4.4 — это публичные ДНС от компании Google, поддерживаемые «корпорацией добра» из благих соображений. В будущем, когда интернет окончательно переключится с технологии IPv4 на IPv6, можно будет использовать следующие DNS от гугла:
2001:4860:4860::8888
2001:4860:4860::8844

От работы DNS серверов зависит, как быстро ваш компьютер получит ответ от провайдера, какому ip адресу соответствует доменное имя открываемого сайта, и соответственно, как быстро сайт начнет загружаться с сервера. Нередко DNS сервера подвисают, что приводит к долгой загрузке страниц. Бывают сбои программного характера, особенно они вероятны, когда у сайта меняется ip адрес сервера, а провайдер еще неделю отдает вашему компьютеру старый адрес из кэша. Для решения этих проблем и рекомендуется прописывать в свойствах сетевых подключений ДНС от гугла.


Второй аргумент в пользу DNS 8.8.8.8 — обход простейших блокировок сайтов. Последние несколько лет можно регулярно слышать из СМИ, как власти ограничивают или вовсе пытаются блокировать определенные типы сайтов (соцсети, торрент трекеры и т.д.). Использование DNS от Google не гарантирует на 100% обход этих блокировок, а позволяет только преодолевать самые примитивные из них.

Как прописать DNS серверы 8.8.8.8 от Google в Windows 7/8/10

Откройте Пуск — Панель управления — Центр управления сетями и общим доступом или в нижнем правом углу (в трее) щелкните правой кнопкой мыши по иконке сетевых подключений и откройте Центр управления сетями и общим доступом.
networkicon
В открывшемся окне в левом боковом меню выбираем Изменение параметров адаптера. Подсказка для опытных пользователей: попасть сюда можно и через утилиту «Выполнить». Для этого нажимаем клавиши Win+R и вводим команду ncpa.cpl
netwadapt
Открыв список сетевых подключений, щелкаем по нужному правой кнопкой мыши и открываем Свойства.
propertylocalnet
В списке находим пункт Протокол интернета версии 4 (TCP/IPv4) и жмем на кнопку Свойства. Здесь выбираем «Использовать следующие адреса DNS-серверов» и прописываем:
8.8.8.8
8.8.4.4
propertylocalnet2
Если вы подключаетесь к модему для выхода в интернет через Wi-Fi, тогда рекомендуется прописать следующие DNS:
192.168.0.1
8.8.8.8
То есть предпочитаемый DNS будет локальный, альтернативный — от Google.

Как заявляет сама компания Google, она использует эффективные технологии кэширования, поэтому их DNS серверы по праву считаются чуть ли не самыми стабильными и быстрыми.

2notebook.net

Как прописать DNS 8.8.8.8 и 8.8.4.4 от Гугл

dns google 8.8 8.8 и 8.8 4.4dns google 8.8 8.8 и 8.8 4.4

Часто на форумах и блогах в Интернете советуют в случае появления проблем с сетью прописать DNS 8.8.8.8 от Гугл в качестве основного или альтернативного сервера. Для обычных пользователей, коих в сети большинство, это как китайская грамота — ничего не понятно: что это за цифры, куда их прописывать и вообще зачем?!
В этой статье я хочу подробнее рассказать зачем нужны ДНС серверы 8.8.8.8 и 8.8.4.4 и как ими пользоваться в настольных операционных системах Windows, Linux, Mac OS, а так же в мобильной операционной системе Android.

Что такое DNS 8.8.8.8 и 8.8.4.4

Если выражаться максимально простым языком, то DNS это такой специальный компьютер в сети — сервер , который содержит базу данных общедоступных IP-адресов и связанных с ними имен сайтов. По запросу от клиента он выдаёт IP того или иного сайта в Интернете. Например, Вы вводите в адресной строке браузера имя сайта — google.ru, операционная система отправляет запрос к ДНС и в ответ получает IP сайта — 64.233.165.94.
DNS-серверы используют специальное программное обеспечение и обмениваются данными друг с другом с использованием специальных протоколов. Без них мы не смогли бы сейчас комфортно работать в глобальной паутине.

быстрый альтернативный dns сервер google 8.8 8.8быстрый альтернативный dns сервер google 8.8 8.8

Не так давно компания Google запустила и поддерживает свой бесплатный сервис Google Public DNS. Он входит в тройку самых быстрых ДНС серверов в мире и в первую очередь нацелен на то, чтобы сделать просмотр веб-страниц в Интернете как можно быстрее. Как правило, если ваш интернет-провайдер занимает 3 секунды для определения IP-адреса по имени домена, то публичный DNS-сервер Google 8.8.8.8 и 8.8.4.4 сделает это за секунду и Вы будете экономить 2 секунды на каждом запросе, который вы делаете в Интернете.

Настройка DNS Google 8.8 8.8

Как поменять DNS в Windows 10

Для того, чтобы прописать ДНС от Гугл в операционной системе Windows 10, надо нажать а кнопку «Пуск» и зайти в Параметры системы. Далее откройте раздел Сеть и Интернет.

Сетевые параметры windows 10Сетевые параметры windows 10

Дальше в подразделе Состояние найдите пункт «Изменение сетевых параметров» кнопку Настройка параметров адаптера и нажмите на неё:

Windows настройка параметров адаптераWindows настройка параметров адаптера

Откроется окно сетевых подключений, в котором будет список доступных адаптеров. Обычно их два. Первый — обычная сетевая карта для кабельного подключения. Второй — адаптер WiFi. Выбираем тот их них, через которых компьютер подключен к Интернету и кликаем по нему правой кнопкой мыши:

настройка сети в windows 10настройка сети в windows 10

 

Выбираем пункт меню Свойства чтобы открыть параметры адаптера. Откроется окно, в котором будет список компонентов, среди которых найдите и кликните дважды левой кнопкой мыши на пункт IP версии 4 (TCP/IPv4). После этого должно появиться ещё одно окно свойств протокола IP.

как прописать dns 8.8.8.8 google в windows 10как прописать dns 8.8.8.8 google в windows 10

Здесь надо поставить жирную точку на пункт «Использовать следующие адреса DNS-серверов» чтобы стали активными поля для ввода предпочитаемого и альтернативного ДНС-серверов. В эти поля надо прописать Google DNS — 8.8.8.8 и 8.8.4.4. После этого надо по очереди нажать на кнопку «ОК» в каждом из открытых окон, чтобы сохранить и применить настройки.
Примечание:
Если Вы используете протокол IP версии 6 (TCP/IPv6), то в списке компонент надо выбрать соответственно этот протокол и прописать DNS уже вот такого вида:

2001: 4860: 4860 :: 8888
2001: 4860: 4860 :: 8844

Не забудьте сохранить настройки после внесения изменений.
Настройка DNS от Гугл в Android

Linux — Ubuntu:

1) Перейдите в раздел «Система»>>»Администрирование»>>»Сетевые подключения».
2) Выберите соединение, которое вы хотите настроить.
3) Нажмите кнопку «Изменить».
4) Выберите вкладку «Настройки IPv4» или «Настройки IPv6».
5) Введите IP-адреса Google Public DNS в поле «DNS-серверы».

Для IPV4:

8.8.8.8
8.8.8.4

Для IPV6:

2001: 4860: 4860 :: 8888
2001: 4860: 4860 :: 8844

6) Нажмите кнопку «Применить», чтобы сохранить изменения.
7) Перезапустите соединение.

Linux — Debian

1) Отредактируйте файл ‘/etc/resolv.conf’ в консоли используя команду:

vi /etc/resolv.conf

2) Замените IP-адрес DNS в поле сервера имен.

Для IPV4:

nameserver 8.8.8.8
nameserver 8.8.8.4

Для IPV6:

nameserver 2001: 4860: 4860 :: 8888
nameserver 2001: 4860: 4860 :: 8844

3) Сохранить и выйти.
4) Перезапустите клиент Интернета, который вы используете.

Настройка Гугл DNS в Mac OS

1) зайдите в  Системные настройки и откройте раздел «Сеть».

2) Выберите соединение, которое вы хотите изменить.

3) Выберите вкладку «DNS».

4) Нажмите «+», чтобы заменить IP-адреса.

5) Введите общедоступные IP-адреса DNS.

Для IPV4:

8.8.8.8
8.8.8.4

Для IPV6:

2001: 4860: 4860 :: 8888
2001: 4860: 4860 :: 8844

6) Нажмите «Применить» >> «Ок».

192-168-0-1.info

Google Public DNS тихо включили поддержку DNS over TLS / Habr

Внезапно, без предварительного анонса, на 8.8.8.8 заработал DNS over TLS. Ранее Google анонсировал только поддержку DNS over HTTPS.

Публичный резолвер от компании CloudFlare с IP-адресом 1.1.1.1 поддерживает DNS over TLS с момента запуска проекта.

Зачем это нужно


При использовании классической схемы DNS, провайдеры могут лезть своими грязными лапами в ваши DNS-пакеты, просматривать, какие домены вы запрашиваете, и подменять ответы как угодно. Этим же занимаются мошенники, подменяя резолверы на взломанных роутерах, чтобы направить пользователя на поддельный сервер.

C DNS over TLS/HTTPS запросы посылаются внутри зашифрованного тоннеля так, что провайдер не может подменить или просмотреть запрос.

А с приходом шифрования имени домена в сертификатах X.509 (ESNI) станут невозможны блокировки через DPI по SNI (Server Name Indication, специальное поле, в котором передается имя домена в первом TLS-пакете), которые сейчас применяются у некоторых крупных провайдеров.

Как это работает


На порт TCP:853 выполняется TLS-подключение, при этом проверка сертификата резолвера происходит с использованием системных корневых сертификатов, точно так же, как HTTPS в браузере. Это избавляет от необходимости добавлять какие-либо ключи вручную. Внутри тоннеля выполняется обычный DNS-запрос. Это создает меньше накладных расходов по сравнению с DNS over HTTPS, который добавляет HTTP-заголовки к запросу и ответу.

К сожалению, на текущий момент только в Android 9 (Pie) поддержка DNS over TLS встроена в системный резолвер. Инструкция по настройке для Android 9.

Для остальных систем предлагается использовать сторонний демон, а системный резолвер направлять на localhost (127.0.0.1).

Настройка на macOS


Разберем настройку DNS over TLS на последней версии macOS, на примере резолвера knot

Установка
brew install knot-resolver

По умолчанию knot будет работать как обычный рекурсивный резолвер, подобно dnsmasq.
Редактируем конфиг
nano /usr/local/etc/kresd/config

И добавляем в конец файла:


policy.add(
        policy.all(
                policy.TLS_FORWARD({
                        {'8.8.8.8', hostname='8.8.8.8'},
                        {'8.8.4.4', hostname='8.8.4.4'}
                })))

В итоге мой конфиг выглядит так:
Раскрыть спойлер
-- Config file example useable for personal resolver.
-- The goal is to have a validating resolver with tiny memory footprint,
-- while actively tracking and refreshing frequent records to lower user latency.
-- Refer to manual: https://knot-resolver.readthedocs.io/en/latest/daemon.html#configuration

-- Listen on localhost (default)
-- net = { '127.0.0.1', '::1' }

-- Drop root privileges
-- user('knot-resolver', 'knot-resolver')

-- Auto-maintain root TA
trust_anchors.file = 'root.keys'

-- Load Useful modules
modules = {
        'policy',   -- Block queries to local zones/bad sites
        'hints',    -- Load /etc/hosts and allow custom root hints
        'stats',    -- Track internal statistics
        'predict',  -- Prefetch expiring/frequent records
}

-- Smaller cache size
cache.size = 10 * MB

policy.add(
        policy.all(
                policy.TLS_FORWARD({
                        {'8.8.8.8', hostname='8.8.8.8'},
                        {'8.8.4.4', hostname='8.8.4.4'}
                })))


Подробнее про hostname и проверку подлинности TLS-сертификатаПараметр hostname в данном случае — Common Name (CN) или Subject Alt Name (SAN) сертификата. То есть, доменное имя, для которого выпущен сертификат. По нему проверяется подлинность сертификата сервера.

Вот какие значения SAN у сертификата, который используется при подключении на 8.8.8.8:853

dns.google
8888.google
8.8.4.4
8.8.8.8 
2001:4860:4860:0:0:0:0:64 
2001:4860:4860:0:0:0:0:6464
2001:4860:4860:0:0:0:0:8844
2001:4860:4860:0:0:0:0:8888

Любое из этих значений можно использовать в качестве параметра hostname. Если же вы будете разворачивать собственный публичный рекурсивный резолвер, у вас вряд ли получится выпустить X.509-сертификат на IP-адрес, поэтому в параметре hostname придется указывать доменное имя.

Запуск демона
sudo brew services start knot-resolver

Проверить, успешно ли запустился демон, можно командой:
sudo lsof -i -P -n | grep kresd

процесс kresd должен слушать порт 53 на localhost.

Если что-то пошло не так, смотрим лог ошибок:

cat  /usr/local/var/log/kresd.log

Проверка работы резолвера
dig @127.0.0.1 habr.com

Проверяем, что локальный резолвер отвечает корректно.
Установка в качестве системного резолвера

Если все работает правильно, можно назначить системный резолвер в свойствах сетевого адаптера:

UPD

В чем разница между DNSCrypt, DNSSEC, DNS over TLS/HTTPS.


DNSCrypt может работать по UDP и TCP. Подключение на порт 443. Для шифрования используется собственный протокол, который отличается от HTTPS. Может быть легко выделен с помощью DPI. Это скорее черновик, который тестировали до внедрения DNS over TLS/HTTPS, так как он не имеет RFC, то есть не является официальным стандартом интернета. Вероятнее всего, в скором, времени он будет полностью вытеснен последними.

DNS over TLS (DoT) — TCP-подключение происходит на порт 853, внутри тоннеля передается обычный DNS-запрос. Провайдер видит, что это DNS запрос но не может в него вмешаться. При прочих равных, в DNS over TLS должно быть чуть меньше накладных расходов на каждый запрос, чем в over HTTPS.

DNS over HTTP (DoH) — TCP-подключение на порт 443, подобно обычному HTTPS. Внутри другой формат запроса, с HTTP-заголовками. Однако для провайдера такой запрос будет виден как обычное HTTPS-подключение. Полагаю, этот протокол был придуман на случай, когда DNS-запросы к чужим серверам будут заблокированы, чтобы маскировать под обычный веб трафик. А также, чтобы браузеры могли сами резолвить домены и не создавать при этом аномальный трафик.

По сути, DNS over HTTPS и over TLS — одно и то же, с немного отличающемся форматом запросов. Оба эти протокола приняты в качестве стандартов и имеют RFC. Вероятнее всего, в ближайшее время мы увидим массовое распространение их обоих.

DNSSEC — протокол цифровой подписи DNS-записей. Не имеет отношения к шифрованию, так как все запросы передаются в открытом виде. Может работать как по старому классическому протоколу DNS, то есть UDP/TCP на порту 53, так и внутри DNS over TLS/HTTPS. Целью DNSSEC является подтверждение подлинности DNS-записи. Владелец домена может добавить публичный ключ на корневые сервера своей доменной зоны и подписывать все записи на мастер NS-серверах. По сути, к каждой DNS записи, например, A-записи или MX-записи, добавляется еще одна запись типа RRSIG, содержащая подпись. Процедура валидации DNSSEC на рекурсивном резолвере позволяет установить, действительно эта запись была создана владельцем домена.

Более подробное сравнение всех протоколов dnscrypt.info/faq (абзац Other protocols)

habr.com

Несколько мыcлей о Google DNS / Habr

Автор — технический директор OpenDNS David Ulevitch, один из основателей компании.

Сегодня, спустя почти четыре года после основания OpenDNS, Google запустил сервис DNS. Это не вызывает никакого удивления, так как было лишь вопросом времени, когда же один из интернет-гигантов осознает стратегическую важность DNS. Я получил много вопросов от блоггеров, журналистов, друзей и, самое главное, наших пользователям. И поэтому я хочу поделиться своими мыслями о том, что это означает для рекурсивного пространства DNS и что это означает для OpenDNS.

Во-первых, это не то же самое что OpenDNS. При использовании DNS сервиса от Google вы получаете опыт, который вам предписывают. При использовании OpenDNS вы получаете панель управления для управления вашим опытом, наиболее удобным для вас, вашей семьи или вашей организации образом. Люди используют OpenDNS, потому что мы являемся первопроходцами и новаторами, предлагающими самое безопасное DNS окружение. Мы располагаем крупнейшим DNS кэшем, самыми быстрыми резольверами, и мы предлагаем наибольшую гибкость в управлении вашим DNS опытом. Например, подкованные в ИТ люди хотят блокировать вредоносные сайты в DNS, родители иногда хотят заблокировать определенный контент от детей. Все это и многое другое возможно с помощью OpenDNS. Это невозможно с DNS от Google. Конечно, мы не навязываем это, мы лишь предлагаем эти возможности, которыми вы управляете как вам вздумается. Предоставление людям выбора является нашим основным предложением.

Во-вторых, это означает, что Google создаёт свой DNS сервис как важнейшую часть инфраструктуры Интернета. Это имеет стратегическое значение для того, чтобы помочь людям надежно и безопасно перемещаться по Интернету. Это то, с чем мы выступали с самого первого дня и всегда будем сохранять в качестве нашей главной задачи. Именно поэтому крупные предприниматели переходят на OpenDNS: не потому что бесплатно, а потому, что мы лучшие и мы повысим безопасность их сетей.

В-третьих, Google утверждает, что их сервис лучший, потому что на нем нет рекламы или перенаправлений. Но вы должны помнить, что Google также является крупнейшей рекламной компанией в Интернете. Думать, что Google DNS Service создан исключительно для пользы Интернету, было бы наивно. Они знают, как это полезно для контроля над Вашей историей посещений Интернет-ресурсов, и я бы ожидал от них изучения ее в полном объеме. И конечно, мы всегда защищаем конфиденциальность пользователей и никогда не продаем наши DNS данные. Читайте нашу политику конфиденциальности.

В-четвертых, это означает, что Google информируют широкую аудиторию, что есть выбор, и что пользователи не обязаны довольствоваться тем, что DNS предоставляет их провайдер. И мы считаем, что наличие выбора это хорошо. Так же, как пользователи Интернета имеют возможность реорганизовать свою электронную почту с использованием Gmail, Yahoo! Mail или Hotmail, на протяжении последних 3 лет множество людей переходило на OpenDNS, потому что мы лучше другого DNS.

В-пятых, не совсем очевидно, что Интернет-пользователи действительно хотят позволить Google сохранить контроль над всё большим и большим количеством их интернет-активности, чем уже есть: в цепочке из Chrome OS и поиска от Google, сервис DNS становится заключительным штрихом в инфраструктуре Google, крупнейшей рекламной компании в мире. Я предпочитаю гетерогенный Интернет с большим количеством сотрудничающих участников, которые поддерживают его работу, в противоположность Интернету в ведении одной крупной компании.

Как это повлияет на нас? Еще слишком рано говорить, но в основном я думаю, что для нас это хорошая вещь. DNS от Google в настоящий момент не предлагает ни выбора, ни гибкости, чего нельзя сказать о нашем сервисе. Он новый и еще не оттестирован. Сделав это, Google побуждает нас продолжать делать наш сервис лучше. И в конечном счете, это бизнес, который с тех пор как мы появились на рынке стал агрессивней, однако пока что мы победили в справедливой конкуренции. Это повышает уровень осведомленности о важности DNS и это побуждает нас продолжать предоставлять услуги мирового класса для глобальной аудитории и поддерживать инновации.

Мы будем продолжать делать свое дело, не отвлекаясь на вызовы Google или любых других игроков в области DNS и сетевой безопасности. Но мы приветствуем соседство с Google в этой области.

habr.com

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *