Проблема с dns – DNS-сервер не отвечает в Windows 10, 8, 7. Что делать и как исправить?

Содержание

Решения проблем DNS-сервера

Введение. Что такое DNS-сервер?

Прежде чем узнать, почему DNS-сервер не отвечает или недоступен, а также решение других проблем с ним, важно получить информацию о самом сервере или освежить память, если имели с этим дело раньше. DNS-сервер предназначен для обеспечения выдачи информации, общения между компьютерами в сети и других подобных операций. Сама аббревиатура DNS расшифровывается, как система доменных имён, что означает их совокупность. Для наглядности рассмотрим небольшой пример.

Настройки DNS-сервера в Windows 7

Иногда могут возникнуть проблемы с DNS-сервером, но их можно решить, если следовать всем инструкциям

Представим, что все компьютеры в сети являются людьми, которым приписывается номер при рождении (для ПК в сети таковым является IP-адрес). Для ещё большого понимания будем считать, что рассматриваемый адрес принадлежит какому-либо сайту. Так вот, чтобы люди не путались в цифрах, они дают друг другу имена. В нашем случае этим будет служить имя сайта, то есть то, что вы набираете в адресной строке браузера. Но имена понятны людям, а машинам нужны цифры, вот почему существуют IP-адреса. Таким образом, для обеспечения этой работы обмена между буквенными и цифирными данными придумали доменную систему имён, которая хранит в своей памяти соответствие IP-адресов и имён сайтов. Если вы обращаетесь к www.google.ru, например, а DNS-сервер у вашего интернет-провайдера упал, то вы не перейдёте на сайт, а увидите предупреждение об ошибке. Теперь, если мы немного поняли о сути работы этого сервиса, то можем перейти к решению проблемы.

Не удаётся найти адрес

А что делать, если не удаётся найти адрес DNS-сервера? Эта проблема тоже является весьма распространённой, но причин её появления может быть достаточно много. Поэтому мы рассмотрим наиболее популярные:

  1. Во-первых, обязательно проверьте работу маршрутизатора (то есть, возможно, что имеется проблема с подключением, которое вы используете). Вы можете перезагрузить свой роутер Wi-Fi или проводной модем, после чего попробуйте зайти на сайт ещё раз.
  2. Во-вторых, у вас может произойти сбой с провайдерской стороны, тогда следует обратиться напрямую к нему. Это значительно сэкономит ваше время и нервы.
  3. Немаловажным является браузер, используемый для выхода в интернет, который также может быть причиной того, что не удаётся преобразовать DNS адрес сервера. Попробуйте использовать другую программу или приложение.
  4. Если же неполадки возникают только на одном из ваших девайсов, то следует непременно исправлять его настройки. Для начала можете попробовать проверить, запущена ли сама служба клиента. Запустите «Панель управления» на своём компьютере или ноутбуке. Откройте пункт «Администрирование», где, в свою очередь — запустите «Службы». Во вкладке «Общие» проверьте следующие параметры: тип запуска должен быть автоматическим, состояние «Выполняется». Если же она находится в выключенном состоянии, то нажмите кнопку «Запустить» в этом же окне.
  5. Если не удаётся найти адрес сервера только на одном или двух сайтах, то вполне вероятно, что ошибка кроется в самом сайте. Тогда достаточным будет подождать некоторое время, пока работы не будут восстановлены. Также стоит попробовать работу на нескольких устройствах. Если проблема возникает на всех, значит, обращаемся ко второму пункту выше.
  6. Если вышеописанные способы не помогают, попробуйте воспользоваться утилитой Microsoft FixIt, которую можно скачать бесплатно с официального сайта (http://support.microsoft.com/kb/299357/ru). Она также может помочь, если не удаётся преобразовать DNS адрес сервера.

Настройки DNS-сервера

DNS-сервер не отвечает

Итак, что делать, если DNS-сервер не отвечает? Сейчас мы с вами решим эту неприятную проблему. Обратите внимание, что это решение подходит также в том случае, если не удаётся преобразовать DNS адрес сервера. Мы рассмотрим несколько способов ликвидации этой проблемы, так как единого «спасательного круга», к сожалению, нет.

Переход на DNS от Гугл

  1. Для начала вам потребуется уточнить вопрос: запущен ли DNS клиент на вашем устройстве (на компьютере или ноутбуке)? Для этого в поисковой строке «Пуска» напишите «Выполнить» и запустите найденную утилиту. Уже в поле появившегося окна вводим services.msc. Теперь, в появившемся перечне служб найдите нужный нам клиент. Если у него стоит автоматический вариант запуска и рабочее состояние, то переходим к следующему пункту. В противном случае установите эти пункты согласно указанным критериям.
  2. Далее, вам нужно будет перейти на публичные системы доменных имён от поискового гиганта Google. Единственное, вам стоит обратить внимание, что при работе с некоторыми провайдерами, может не работать переадресация на страницу с уведомлением о заканчивающихся средствах на вашем лицевом счёте. Но если для вас это не является критичной проблемой, и корректная работа сервера для вас важнее, то опишем вам, как это сделать.
  3. Запустите «Центр управления сетями и общим доступом» в панели управления компьютера. Откройте вкладку «Изменение параметров адаптера», где нужно выбрать тот, от которого работает ваш интернет. Если у вас имеется и проводное соединение, и беспроводное, то настройте на всякий случай оба адаптера, чтобы избежать конфликтных ситуаций.
  4. Кликните по нему правой кнопкой мыши и в свойствах выберите пункт «Протокол интернета версии 4», где также нам понадобятся свойства.
  5. Во вкладке «Общие» введите следующие параметры:
  • Предпочитаемый DNS-сервер примет значение 8.8.8.8
  • Альтернативный же будет следующий: 8.8.4.4
  1. Нажмите кнопку ОК и закройте все настройки. Проверьте, устранена ли проблема. Обычно, в большинстве случаев, переход на DNS от Google помогает, когда DNS-сервер не отвечает или же не удаётся преобразовать DNS адрес сервера. Поэтому надеемся, что у вас тоже всё благополучно разрешилось.

Решение проблем по другим причинам

  1. Неполадки в сети. Вам нужно проверить, что у сервера есть активное разрешённое подключение: уточните настройки оборудования клиента, а также их исправность. Убедитесь в возможности связи с другими устройствами или модемами, находящимися в одной сети с DNS-сервером. Для этого вы вполне можете себе позволить воспользоваться командой ping.
  2. Если предыдущее решение не помогло, тогда нужно выполнить дополнительную проверку. Используя команду nslookup, уточните возможность вашего сервера давать ответ самим клиентам, если DNS-сервер не отвечает.
  3. Бывает, браузер пишет, что не удаётся найти адрес. Возможно, что интересующий вас IP-адрес просто-напросто нужно добавить в список ограниченных интерфейсов для сервера (разрешённые для обслуживания адреса). Такое решение поможет тем пользователям, у которых в сервере была настройка для ограничения IP-адресов, нуждающихся в ответе.
  4. Обязательно проверьте компьютер на наличие вирусных программ или вредоносных кодов с помощью специальной антивирусной утилиту. Очень часто проблемы с компьютером или с сетью возникают из-за проделок вирусов на вашем ПК или ноутбуке. Поэтому ни в коем случае не опускайте этот пункт и проведите глубокое сканирование и, при необходимости, очистку от заражённых файлов.

Настройка DNS-сервера

Заключение

Дорогие друзья, сегодня мы с вами узнали, как решить несколько проблем, а именно, что делать если: DNS-сервер не отвечает или недоступен, не удаётся найти адрес DNS-сервера или преобразовать DNS адрес сервера. Надеемся, что вы смогли решить этот вопрос, и он больше не мучает вас своим присутствием. Обратите внимание, что большинство способов подходят практически во всех случаях, поэтому пробуйте использовать сначала универсальные, а потом частные решения.

nastroyvse.ru

Как исправить ошибки DNS и восстановить доступ в интернет? |

Приходилось ли вам сталкиваться со странной ошибкой в браузере при попытке зайти на сайт? Это, как правило, ошибки DNS. Вы по-прежнему можете пользоваться сервисами вроде Skype, играть в онлайн-игры, но сайты отказываются загружаться. Бывает, что эта ошибка всплывает избирательно, только на некоторых сайтах. Так что же это за «ошибка DNS», почему из-за нее не открываются какие-то определенные или вообще все сайты и как ее можно устранить?

DNS расшифровывается как Domain Name System – «система доменных имен» и, как правило, ассоциируется с «DNS-сервером». Чтобы понять, как вообще загружается сайт, стоит разобраться, какова роль DNS в этом процессе.

DNS-сервер – это нечто вроде адресной книги в телефоне. Вы, конечно, можете каждый раз вручную набирать нужный номер, но ведь гораздо проще занести все номера в память и присвоить каждому имя – «Вова», например, чтобы, когда вы захотите позвонить Вове, можно было просто найти его имя в списке и нажать вызов.

DNS-сервер

DNS-сервер

То же самое и с вашим компьютером. Он не знает, что такое «Google», «Facebook» или «Twitter». Но он знает, что такое IP-адрес. Когда вы вводите адрес сайта – например, www.facebook.com, компьютер понимает, что это URL-адрес и отправляется в «адресную книгу» URL’ов, чтобы установить, где в сети находится этот Facebook. Вот этим и занимается DNS-сервер – он как адресная книга для URL-адресов.

Почему происходят ошибки DNS

Что  случится, если адресная книга на вашем телефоне будет повреждена или удалена? Вы вводите «Вова», но телефон не может найти его номер и дозвониться до него. Точно так же, если вы вводите URL в браузере, а DNS-сервер недоступен, ваш компьютер не может получить IP-адрес нужного сайта. И вы вместо загрузки сайта получаете сообщение об ошибке DNS.

Интересно к прочтению: Как узнать IP адрес, читаем здесь!

Самые умные читатели уже догадались, что если ввести IP-адрес желаемого сайта напрямую в адресную строку, то сайт откроется, и так вы технически сможете путешествовать по сети, даже если DNS-сервер недоступен. И хотя это возможно, не очень-то хочется запоминать все IP-адреса на случай следующего «падения» DNS-сервера. Куда лучше разобраться с проблемой.

Исправление ошибок DNS

О том, что такое DNS, теперь вы достаточно знаете. Посмотрим, что можно сделать в случае неполадок с DNS.

ошибки DNSошибки DNS

 

Почистите кэш DNS

Если вы часто посещаете одни и те же страницы, компьютеру удобнее запомнить их адреса, чтобы каждый раз не обращаться к DNS-серверу. Это хранилище адресов называется кэшем DNS. Бывает, что если этот кэш поврежден, компьютер, обратившись к нему за адресом, выдает ошибку.

Windows

Очистить кэш DNS в Windows очень просто. Нажмите клавишу Win и наберите cmd. Как очистить кэш в Mofilla FireFox или на Android телефоне, я уже писал.  Когда в результатах поиска появится командная строка, кликните на нее правой кнопкой и выберите «Запуск от имени администратора». Откроется окно командной строки, в котором вы можете вносить изменения на системном уровне.

Очистить кэш DNSОчистить кэш DNS

Чтобы очистить кэш DNS, введите команду:

ipconfig /flushdns

MacOS

Команды для очистки кэша DNS в операционных системах Apple, походе, зависят от направления ветра. Для каждой отдельной версии OS X есть не менее четырех разных команд. Так что здесь мы приводим только самые «новые».

Чтобы очистить кэш DNS в MacOS X, нужно запустить окно терминальных команд. Перейдите в «Приложения», найдите приложение под названием «Terminal» и запустите его. Далее введите следующую команду.

(OSX 10.10.4+)

dscacheutil -flushcache;

sudo killall -HUP mDNSResponder

(OSX 10.10-10.10.3)

sudo discoveryutil mdnsflushcache;

sudo discoveryutil udnsflushcaches

 

Linux

Если у вас Linux, откройте командное окно и введите:

/etc/init.d/nscd restart

Используйте публичный DNS-сервер

публичный DNS-серверпубличный DNS-сервер

Если описанный метод не помог, смените DNS-сервер, которым вы пользуетесь. Возможно, сервер, который вы используете по умолчанию, «упал», и вы не можете получить адреса. Хороший вариант на случай падения вашего DNS-сервера – публичный сервер Google. его местонахождение – «8.8.8.8» и «8.8.8.4». Можете изменить настройки своего адаптера, чтобы использовать его вместо своего DNS-сервера по умолчанию.

Отключите защиту (только временно!)

Отключать защитное ПО при выходе в интернет – не лучшая идея. Однако бывает, что чрезмерно подозрительная или неправильно работающая программа защиты блокирует исходящие DNS-запросы, и вы получаете ошибку DNS. Если у вас есть такая проблема и ничего из перечисленного не помогло, попробуйте отключить фаервол и другие средства защиты и посмотреть, сработает это или нет. Если не помогло – удалите и снова установите ПО или попробуйте ПО от другого разработчика. Если помогло – не забудьте включить всю защиту обратно!

Заключение

Ошибки DNS бывает непросто устранить, особенно когда не знаешь наверняка причину ошибки. Но, надеемся, теперь вы лучше понимаете, что вызывает такие ошибки и как их можно победить.

allerror.ru

Как спрятать DNS-запросы от любопытных глаз провайдера / Habr

Настройка 1.1.1.1 от Cloudflare и других DNS-сервисов по-прежнему требует навыков работы в командной строке



Шифрование трафика между вашим устройством и DNS-сервисом помешает посторонним лицам отслеживать трафик или подменить адрес

Смерть сетевого нейтралитета и ослабление правил для интернет-провайдеров по обработке сетевого трафика вызвали немало опасений по поводу конфиденциальности. У провайдеров (и других посторонних лиц, которые наблюдают за проходящим трафиком) уже давно есть инструмент, позволяющий легко отслеживать поведение людей в интернете: это их серверы доменных имен (DNS). Даже если они до сих пор не монетизировали эти данные (или не подменяли трафик), то наверняка скоро начнут.

DNS — это телефонный справочник Сети, выдающий фактический сетевой адрес IP, связанный с хостингом и доменными именами сайтов и других интернет-служб. Например, он превращает arstechnica.com в 50.31.169.131. Ваш интернет-провайдер предлагает DNS в пакете услуг, но он также может журналировать DNS-трафик — по сути, записывать историю ваших действий в интернете.

«Открытые» DNS-сервисы позволяют обходить сервисы провайдеров ради конфиденциальности и безопасности, а кое в каких странах — уклоняться от фильтрации контента, слежки и цензуры. 1 апреля (не шутка) компания Cloudflare запустила свой новый, бесплатный и высокопроизводительный DNS-сервис, предназначенный для повышения конфиденциальности пользователей в интернете. Он также обещает полностью скрыть DNS-трафик от посторонних глаз, используя шифрование.

Названный по своему IP-адресу, сервис 1.1.1.1 — это результат партнёрства с исследовательской группой APNIC, Азиатско-Тихоокеанским сетевым информационным центром, одним из пяти региональных интернет-регистраторов. Хотя он также доступен как «открытый» обычный DNS-резолвер (и очень быстрый), но Cloudflare ещё поддерживает два протокола шифрования DNS.

Хотя и разработанный с некоторыми уникальными «плюшками» от Cloudflare, но 1.1.1.1 — никак не первый DNS-сервис с шифрованием. Успешно работают Quad9, OpenDNS от Cisco, сервис 8.8.8.8 от Google и множество более мелких сервисов с поддержкой различных схем полного шифрования DNS-запросов. Но шифрование не обязательно означает, что ваш трафик невидим: некоторые службы DNS с шифрованием всё равно записывают ваши запросы в лог для различных целей.

Cloudflare пообещал не журналировать DNS-трафик и нанял стороннюю фирму для аудита. Джефф Хастон из APNIC сообщил, что APNIC собирается использовать данные в исследовательских целях: диапазоны 1.0.0.0/24 и 1.1.1.0/24 изначально были сконфигурированы как адреса для «чёрного» трафика. Но APNIC не получит доступ к зашифрованному трафику DNS.

Для пользователей подключить DNS-шифрование не так просто, как изменить адрес в настройках сети. В настоящее время ни одна ОС напрямую не поддерживает шифрование DNS без дополнительного программного обеспечения. И не все сервисы одинаковы с точки зрения софта и производительности.

Но учитывая важность вопроса — в последнее время во всех новостях говорят о превращении пользовательских данных в продукт — я решил посмотреть, как работает DNS-шифрование у Cloudflare. В итоге моя внутренняя лабораторная крыса победила — и я обнаружил, что тестирую и разбираю клиенты для нескольких провайдеров DNS через три протокола DNS-шифрования: DNSCrypt, DNS по TLS и DNS по HTTPS. Все они работоспособны, но предупреждаю: хотя процедура становится проще, но вряд ли вы сможете объяснить шифрование DNS родителям по телефону (если только они не опытные пользователи командной строки Linux).


Как работает DNS


Есть много причин для лучшей защиты DNS-трафика. Хотя веб-трафик и другие коммуникации могут быть защищены криптографическими протоколами, такими как Transport Layer Security (TLS), но почти весь трафик DNS передаётся незашифрованным. Это означает, что ваш провайдер (или кто-то другой между вами и интернетом) может регистрировать посещаемые сайты даже при работе через сторонний DNS — и использовать эти данных в своих интересах, включая фильтрацию контента и сбор данных в рекламных целях.


Как выглядит типичный обмен данными между устройством и DNS-резолвером

«У нас есть проблема “последней мили” в DNS, — говорил Крикет Лю, главный архитектор DNS в компании Infoblox, которая занимается информационной безопасностью. — Большинство наших механизмов безопасности решают вопросы коммуникаций между серверами. Но есть проблема с суррогатами резолверов на различных операционных системах. В реальности мы не можем их защитить». Проблема особенно заметна в странах, где власти более враждебно относятся к интернету.

В некоторой степени помогает использование DNS, который не ведёт логи. Но это всё равно не мешает злоумышленнику фильтровать запросы по контенту или перехватывать адреса методом пакетного перехвата или глубокой инспекции пакетов. Кроме пассивной прослушки есть угроза более активных атак на ваш DNS-трафик — спуфинг DNS-сервера со стороны провайдера или спецслужб с перенаправлением на собственный сервер для отслеживания или блокировки трафика. Что-то подобное (хотя, по-видимому, не злонамеренно), похоже, происходит со случайным перенаправлением трафика на адрес 1.1.1.1 из сети AT&T, судя по сообщениям на форумах DSLReports.

Наиболее очевидный способ уклонения от слежки — использование VPN. Но хотя VPN скрывают содержимое вашего трафика, для подключения к VPN может потребоваться запрос DNS. И в ходе VPN-сеанса запросы DNS тоже могут иногда направляться веб-браузерами или другим софтом за пределы VPN-тоннеля, создавая «утечки DNS», которые раскрывают посещённые сайты.

Вот где вступают в игру протоколы шифрования DNS: это DNSCrypt (среди прочих, его поддерживает OpenDNS от Cisco), DNS по TLS (поддерживается Сloudflare, Google, Quad9, OpenDNS) и DNS по HTTPS (поддерживается Сloudflare, Google и сервисом блокировки «взрослого» контента CleanBrowsing). Шифрование гарантирует, что трафик не просканируют и не изменят, и что запросы не получит и не обработает поддельный DNS-сервер. Это защищает от атак MiTM и шпионажа. DNS-прокси с одной из этих служб (непосредственно на устройстве или на «сервере» в локальной сети) поможет предотвратить DNS-утечки через VPN, поскольку прокси-сервер всегда будет самым быстрым DNS-сервером среди всех доступных.

Однако эта опция защиты недоступна массовому пользователю. Ни один из этих протоколов нативно не поддерживается ни одним DNS-резолвером, который идёт в комплекте с ОС. Все они требуют установки (и, вероятно, компиляции) клиентского приложения, которое действует как локальный «сервер» DNS, ретранслируя запросы, сделанные браузерами и другими приложениями вверх по течению к безопасному провайдеру DNS по вашему выбору. И хотя две из трёх данных технологий предлагаются на роль стандартов, ни один из проверенных нами вариантов пока не представлен в окончательном виде.

Поэтому если хотите погрузиться в шифрование DNS, то лучше взять для DNS-сервера в домашней сети Raspberry Pi или другое отдельное устройство. Потому что вы наверняка обнаружите, что настройка одного из перечисленных клиентов — это уже достаточно хакерства, чтобы не захотеть повторять процесс заново. Проще запросить настройки DHCP по локальной сети — и указать всем компьютерам на одну успешную установку DNS-сервера. Я много раз повторял себе это во время тестирования, наблюдая падение одного за другим клиентов под Windows и погружение в спячку клиентов под MacOS.


Сообщество DNSCrypt пыталось сделать доступный инструмент для тех, кто не обладает навыками работы в командной строке, выпустив программы DNSCloak (слева) под iOS и Simple DNSCrypt (справа) под Windows


Для полноты картины в исторической перспективе начнём обзор с самой первой технологии шифрования DNS — DNSCrypt. Впервые представленный в 2008 году на BSD Unix, инструмент DNSCrypt изначально предназначался для защиты не от прослушки, а от DNS-спуфинга. Тем не менее, его можно использовать как часть системы обеспечения конфиденциальности — особенно в сочетании с DNS-сервером без логов. Как отметил разработчик DNSCrypt Фрэнк Денис, гораздо больше серверов поддерживают DNSCrypt, чем любой другой вид шифрования DNS.

«DNSCrypt — это немного больше, чем просто протокол, — говорит Фрэнк Денис. — Сейчас сообщество и активные проекты характеризуют его гораздо лучше, чем мой изначальный протокол, разработанный в выходные». Сообщество DNSCrypt создало простые в использовании клиенты, такие как Simple DNSCrypt для Windows и клиент для Apple iOS под названием DNS Cloak, что делает шифрование DNS доступнее для нетехнических людей. Другие активисты подняли независимую сеть приватных DNS-серверов на основе протокола, помогающего пользователям уклониться от использования корпоративных DNS-систем.

«DNSCrypt — это не подключение к серверам конкретной компании, — сказал Денис. — Мы призываем всех поднимать собственные сервера. Сделать это очень дёшево и легко. Теперь, когда у нас есть безопасные резолверы, я пытаюсь решить задачу фильтрации контента с учётом конфиденциальности».

Для тех, кто хочет запустить DNS-сервер с поддержкой DNSCrypt для всей своей сети, лучшим клиентом будет DNSCrypt Proxy 2. Старая версия DNSCrypt Proxy по-прежнему доступна как пакет для большинства основных дистрибутивов Linux, но лучше загрузить бинарник новой версии непосредственно с официального репозитория на GitHub. Есть версии для Windows, MacOS, BSD и Android.

Опыт сообщества DNSCrypt по защите конфиденциальности воплощён в DNSCrypt Proxy. Программа легко настраивается, поддерживает ограничения по времени доступа, шаблоны для доменов и чёрный список IP-адресов, журнал запросов и другие функции довольно мощного локального DNS-сервера. Но для начала работы достаточно самой базовой конфигурации. Есть пример файла конфигурации в формате TOML (Tom's Obvious Minimal Language, созданный соучредителем GitHub Томом Престоном-Вернером). Можете просто переименовать его перед запуском DNSCrypt Proxy — и он станет рабочим файлом конфигурации.

По умолчанию прокси-сервер использует открытый DNS-резолвер Quad9 для поиска и получения с GitHub курируемого списка открытых DNS-сервисов. Затем подключается к серверу с самым быстрым откликом. При необходимости можно изменить конфигурацию и выбрать конкретный сервис. Информация о серверах в списке кодируется как «штамп сервера». Он содержит IP-адрес поставщика, открытый ключ, информацию, поддерживает ли сервер DNSSEC, хранит ли провайдер логи и блокирует ли какие-нибудь домены. (Если не хотите зависеть от удалённого файла при установке, то можно запустить «калькулятор штампов» на JavaScript — и сгенерировать собственный локальный статичный список серверов в этом формате).

Для своего тестирования DNSCrypt я использовал OpenDNS от Cisco в качестве удалённого DNS-сервиса. При первых запросах производительность DNSCrypt оказалась немного хуже, чем у обычного DNS, но затем DNSCrypt Proxy кэширует результаты. Самые медленные запросы обрабатывались в районе 200 мс, в то время как средние — примерно за 30 мс. (У вас результаты могут отличаться в зависимости от провайдера, рекурсии при поиске домена и других факторов). В целом, я не заметил замедления скорости при просмотре веб-страниц.

Основное преимущество DNSCrypt в том, что он похож на «обычный» DNS. Хорошо это или плохо, но он передаёт UDP-трафик по порту 443 — тот же порт используется для безопасных веб-соединений. Это даёт относительно быстрый резолвинг адресов и снижает вероятность блокировки на файрволе провайдера. Чтобы ещё больше снизить вероятность блокировки, можно изменить конфигурацию клиента и передавать запросы по TCP/IP (как показало тестирование, это минимально влияет на время отклика). Так шифрованный DNS-трафик для большинства сетевых фильтров похож на трафик HTTPS — по крайней мере, с виду.


Показан трафик DNSCrypt и локальный трафик DNSCrypt Proxy. Снифер Wireshark говорит, что это трафик HTTPS, потому что я форсировал использование TCP. Если пустить его по UDP, то Wireshark увидит трафик Chrome QUIC

С другой стороны, DNSCrypt для шифрования не полагается на доверенные центры сертификации — клиент должен доверять открытому ключу подписи, выданному провайдером. Этот ключ подписи используется для проверки сертификатов, которые извлекаются с помощью обычных (нешифрованных) DNS-запросов и используются для обмена ключами с использованием алгоритма обмена ключами X25519. В некоторых (более старых) реализациях DNSCrypt есть условие для сертификата на стороне клиента, который может использоваться в качестве схемы управления доступом. Это позволяет им журналировать ваш трафик независимо от того, с какой IP-адреса вы пришли, и связывать его с вашим аккаунтом. Такая схема не используется в DNSCrypt 2.

С точки зрения разработчика немного сложно работать с DNSCrypt. «DNSCrypt не особенно хорошо документирован, и не так много его реализаций», — говорит Крикет Лю из Infoblox. На самом деле мы смогли найти только единственный клиент в активной разработке — это DNSCrypt Proxy, а OpenDNS прекратил поддерживать его разработку.

Интересный выбор криптографии в DNSCrypt может напугать некоторых разработчиков. Протокол использует Curve25519 (RFC 8032), X25519 (RFC 8031) и Chacha20Poly1305 (RFC 7539). Одна реализация алгоритма X24419 в криптографических библиотеках Pyca Python помечена как «криптографически опасная», потому что с ней очень легко ошибиться в настройках. Но основной используемый криптографический алгоритм Curve25519, является «одной из самых простых эллиптических кривых для безопасного использования», — сказал Денис.

Разработчик говорит, что DNSCrypt никогда не считался стандартом IETF, потому что был создан добровольцами без корпоративной «крыши». Представление его в качестве стандарта «потребовало бы времени, а также защиты на заседаниях IETF», — сказал он. «Я не могу себе этого позволить, как и другие разработчики, которые работают над ним в свободное время. Практически все ратифицированные спецификации, связанные с DNS, фактически написаны людьми из одних и тех же нескольких компаний, из года в год. Если ваш бизнес не связан с DNS, то действительно тяжело получить право голоса».

Хотя несколько DNS-сервисов используют DNSCrypt (например, CleanBrowsing для блокировки «взрослого» контента и Cisco OpenDNS для блокировки вредоносных доменов), новые ориентированные на приватность DNS-провайдеры (в том числе Google, Cloudflare и Quad9) отказались от DNSCrypt и выбрали одну из других, одобренных группой IETF технологий: DNS по TLS и DNS по HTTPS. Сейчас DNSCrypt Proxy поддерживает DNS по HTTPS и указывает Cloudflare, Google и Quad9 в настройках по умолчанию.


TLS стал приоритетом для CloudFlare, когда понадобилось усилить шифрование веб-трафика для защиты от слежки


У DNS по TLS (Transport Layer Security) несколько преимуществ перед DNSCrypt. Во-первых, это предлагаемый стандарт IETF. Также он довольно просто работает по своей сути — принимает запросы стандартного формата DNS и инкапсулирует их в зашифрованный TCP-трафик. Кроме шифрования на основе TLS, это по существу то же самое, что и отправка DNS по TCP/IP вместо UDP.

Существует несколько рабочих клиентов для DNS по TLS. Самый лучший вариант, который я нашел, называется Stubby, он разработан в рамках проекта DNS Privacy Project. Stubby распространяется в составе пакета Linux, но есть также версия для MacOS (устанавливается с помощью Homebrew) и версия для Windows, хотя работа над последней ещё не завершена.

Хотя мне удалось стабильно запускать Stubby на Debian после сражения с некоторыми зависимостями, этот клиент регулярно падал в Windows 10 и имеет тенденцию зависать на MacOS. Если вы ищете хорошее руководство по установке Stubby на Linux, то лучшая найденная мной документация — это пост Фрэнка Сантосо на Reddit. Он также написал shell скрипт для установки на Raspberry Pi.

Положительный момент в том, что Stubby допускает конфигурации с использованием нескольких служб на основе DNS по TLS. Файл конфигурации на YAML позволяет настроить несколько служб IPv4 и IPv6 и включает в себя настройки для SURFNet, Quad9 и других сервисов. Однако реализация YAML, используемая Stubby, чувствительна к пробелам, поэтому будьте осторожны при добавлении новой службы (например, Cloudflare). Сначала я использовал табы — и всё поломал.

Клиенты DNS по TLS при подключении к серверу DNS осуществляют аутентификацию с помощью простой инфраструктуры открытых ключей (Simple Public Key Infrastructure, SPKI). SPKI использует локальный криптографический хэш сертификата провайдера, обычно на алгоритме SHA256. В Stubby этот хэш хранится как часть описания сервера в файле конфигурации YAML, как показано ниже:

upstream_recursive_servers:
#IPv4
#Cloudflare DNS over TLS server

- address_data: 1.1.1.1
  tls_auth_name: "cloudflare-dns.com"
  tls_pubkey_pinset:
  - digest: "sha256"
    value: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
- address_data: 1.0.0.1
  tls_auth_name: "cloudflare-dns.com"
  tls_pubkey_pinset:
  - digest: "sha256"
    value: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=

После установления TCP-соединения клиента с сервером через порт 853 сервер представляет свой сертификат, а клиент сверяет его с хэшем. Если всё в порядке, то клиент и сервер производят рукопожатие TLS, обмениваются ключами и запускают зашифрованный сеанс связи. С этого момента данные в зашифрованной сессии следуют тем же правилам, что и в DNS по TCP.

После успешного запуска Stubby я изменил сетевые настройки сети DNS, чтобы направлять запросы на 127.0.0.1 (localhost). Сниффер Wireshark хорошо показывает этот момент переключения, когда трафик DNS становится невидимым.


Переключаемся с обычного трафика DNS на шифрование TLS

Хотя DNS по TLS может работать как DNS по TCP, но шифрование TLS немного сказывается на производительности. Запросы dig к Cloudflare через Stubby у меня выполнялись в среднем около 50 миллисекунд (у вас результат может отличаться), в то время как простые DNS-запросы к Cloudflare получают ответ менее чем за 20 мс.

Частично замедление работы происходит на стороне сервера из-за лишнего использования TCP. Обычно DNS работает по быстрому протоколу UDP: отправил и забыл, в то время как сообщение TCP требует согласования соединения и проверки получения пакета. Основанная на UDP версия DNS по TLS под названием DNS over Datagram Transport Layer Security (DTLS) сейчас в экспериментальной разработке — она может увеличить производительность протокола.

Здесь тоже имеется проблема с управлением сертификатами. Если провайдер удалит сертификат и начнёт использовать новый, то в настоящее время нет чистого способа обновления данных SPKI на клиентах, кроме вырезания старого и вставки нового сертификата в файл конфигурации. Прежде чем с этим разберутся, было бы полезно использовать какую-то схему управления ключами. И поскольку сервис работает на редком порту 853, то с высокой вероятностью DNS по TLS могут заблокировать на файрволе.

Но это не проблема для лидера нашего хит-парада — DNS по HTTPS. Он проходит через большинство файрволов, словно тех не существует.


Google и Cloudflare, похоже, одинаково видят будущее зашифрованного DNS


И Google, и Cloudflare, кажется, видят протокол DNS по HTTPS, также известный как DoH, как самый перспективный вариант для шифрования DNS. Опубликованный в виде черновика стандарта IETF, протокол DoH инкапсулирует DNS-запросы в пакеты HTTPS, превращения их в обычный зашифрованный веб-трафик.

Запросы отправляются как HTTP POST или GET с телом в формате сообщения DNS (датаграммы из обычных DNS-запросов) или как запрос HTTP GET в формате JSON (если вы не против небольшого оверхеда). И здесь нет никаких проблем с управлением сертификатами. Как и при обычном веб-трафике HTTPS, для подключения через DoH не требуется аутентификация, а сертификат проверяется центром сертификации.


Фиксация DNS-транзакции через DoH. Видно только HTTPS, TLS и ничего больше

HTTPS — довольно громоздкий протокол для запросов DNS, особенно в формате JSON, поэтому придётся смириться с некоторым снижением производительности. Необходимые ресурсы на стороне сервера почти наверняка заставят прослезиться администратора обычного DNS-сервера. Но простота работы с хорошо понятными веб-протоколами делает разработку как клиентского, так и серверного кода для DoH намного более доступной для разработчиков, собаку съевших на веб-приложениях (всего несколько недель назад инженеры Facebook выпустили концепт сервера и клиента DoH на Python).

В результате, хотя на спецификациях RFC для DoH ещё не просохли чернила, уже готов к работе целый ряд клиентов DNS по HTTPS. Правда, некоторые из них заточены под конкретных провайдеров DNS. Потеря производительности во многом зависит от сервера и от качества конкретного клиента.

Например, возьмём клиент туннелирования Argo от Cloudflare (aka cloudflared). Это многофункциональный инструмент туннелирования, предназначенный в первую очередь для установления безопасного канала для связи веб-серверов с CDN-сетью Cloudflare. DNS по HTTPS — просто ещё одна служба, которую теперь поддерживает CDN.

По умолчанию, если запустить Argo из командной строки (в Linux и MacOS для этого нужны привилегии суперпользователя, а на Windows нужно запускать клиента из PowerShell от имени администратора), то он направляет DNS-запросы на https://cloudflare-dns.com/dns-query. Если не настроен обычный DNS, то возможна небольшая проблемка, потому что данный адрес должен резолвиться в 1.1.1.1, иначе Argo не запустится.

Это можно исправить одним из трёх способов. Первый вариант: установить устройство с локальным хостом (127.0.0.1 для IPv4 и ::1 для IPv6) как основной DNS-сервер в сетевой конфигурации, а затем добавить 1.1.1.1 в качестве дополнительного резолвера. Это рабочий вариант, но он не идеален с точки зрения приватности и производительности. Лучше добавить URL сервера из командной строки при загрузке:

$ sudo cloudflared proxy-dns --upstream https://1.0.0.1/dns-query

Если вы уверены, что хотите перейти на DNS-сервер от Cloudflare, что даёт преимущество автоматического обновления, — то можете настроить его в качестве службы в Linux, используя YAML-файл конфигурации, содержащий адреса IPv4 и IPv6 службы DNS от Cloudflare:
proxy-dns: true
proxy-dns-upstream:
- https://1.1.1.1/dns-query
- https://1.0.0.1/dns-query

При настройке с правильной восходящей адресацией производительность dig-запросов через Argo широко варьируется: от 12 мс для популярных доменов аж до 131 мс. Страницы с большим количеством межсайтового контента загружаются… немного дольше обычного. Опять же, ваш результат может быть другим — вероятно, он зависит от вашего местоположения и связности. Но это примерно то, чего я ожидал от мрачного протокол DoH.


Как Cloudflare, мы считаем, что туннели иллюстрируют операцию «Арго» лучше, чем Бен Аффлек

Дабы убедиться, что проблема именно в протоколе DoH, а не в программистах Cloudflare, я испытал два других инструмента. Во-первых, прокси-сервер от Google под названием Dingo. Его написал Павел Форемски, интернет-исследователь из Института теоретической и прикладной информатики Академии наук Польши. Dingo работает только с реализацией DoH от Google, но его можно настроить на ближайшую службу Google DNS. Это хорошо, потому что без такой оптимизации Dingo сожрал всю производительность DNS. Запросы dig в среднем выполнялись более 100 миллисекунд.

Во время проверки обработки стандартных запросов службой dns.google.com я наткнулся на альтернативу дефолтному адресу 8.8.8.8 от Google (172.217.8.14, если знаете). Я добавил его в Dingo из командной строки:

$ sudo ./dingo-linux-amd64 -port=53 -gdns:server=172.216.8.14

Это сократило время отклика примерно на 20%, то есть примерно до того показателя, как у Argo.

А оптимальную производительность DoH неожиданно показал DNSCrypt Proxy 2. После недавнего добавления DoH Cloudflare в курируемый список публичных DNS-сервисов DNSCrypt Proxy почти всегда по умолчанию подключается к Cloudflare из-за низкой задержки этого сервера. Чтобы убедиться, я даже вручную сконфигурировал его под резолвер Cloudflare для DoH, прежде чем запустить батарею dig-запросов.

Все запросы обрабатывались менее чем за 45 миллисекунд — это быстрее, чем собственный клиент Cloudflare, причём с большим отрывом. С сервисом DoH от Google производительность оказалась похуже: запросы обрабатывались в среднем около 80 миллисекунд. Это показатель без оптимизации на ближайший DNS-сервер от Google.

В целом производительность DNSCrypt Proxy по DoH практически неотличима от резолвера DNS по TLS, который я проверял ранее. На самом деле он даже быстрее. Я не уверен, то ли это из-за какой-то особой реализации DoH — может быть, из-за использования стандартного формата сообщений DNS, инкапсулированных в HTTPS, вместо формата JSON — то ли связано с тем, как Cloudflare обрабатывает два разных протокола.


Я не Бэтмен, но моя модель угроз всё равно немного сложнее, чем у большинства людей


Я профессиональный параноик. Моя модель угроз отличается от вашей, и я предпочел бы сохранить в безопасности как можно больше своих действий в онлайне. Но учитывая количество нынешних угроз приватности и безопасности из-за манипуляций с трафиком DNS, у многих людей есть веские основания использовать какую-либо форму шифрования DNS. Я с удовольствием обнаружил, что некоторые реализации всех трёх протоколов не оказывают сильно негативного влияния на скорость передачи трафика.

Тем не менее, важно отметить, что одно лишь шифрование DNS не скроет ваши действия в интернете. Если на сервере хостятся несколько сайтов, то расширение TLS под названием Server Name Indicator (SNI), используемое в соединениях HTTPS, всё равно может показать открытым текстом название сайта, на который вы зашли. Для полной конфиденциальности всё равно нужно использовать VPN (или Tor) для такой инкапсуляции трафика, чтобы провайдер или какая-либо другая шпионящая сторона не могла вытянуть метаданные из пакетов. Но ни один из перечисленных сервисов не работает с Tor. И если против вас работает правительственное агентство, то ни в чём нельзя быть уверенным.

Другая проблема в том, что, хотя прекрасные ребята из сообщества DNSCrypt проделали большую работу, но такая приватность по-прежнему слишком сложна для обычных людей. Хотя некоторые из этих DNS-клиентов для шифрования оказалось относительно легко настроить, но ни один из них нельзя назвать гарантированно простым для нормальных пользователей. Чтобы эти услуги стали действительно полезными, их следует плотнее интегрировать в железо и софт, который покупают люди — домашние маршрутизаторы, операционные системы для персональных компьютеров и мобильных устройств.

Интернет-провайдеры наверняка постараются активнее монетизировать обычный DNS-трафик, и никуда не исчезнут государственные агентства и преступники, которые стремятся использовать его во вред пользователю. Но маловероятно, что крупные разработчики ОС стремятся надёжно защитить DNS доступным для большинства людей способом, потому что они часто заинтересованы в монетизации, как и интернет-провайдеры. Кроме того, эти разработчики могут столкнуться с сопротивлением изменениям со стороны некоторых правительств, которые хотят сохранить возможности мониторинга DNS.

Так что в ближайшее время эти протоколы останутся инструментом для тех немногих людей, кто реально заботится о конфиденциальности своих данных и готов для этого немного потрудиться. Надеюсь, сообщество вокруг DNSCrypt продолжит свою активность и продвинет ситуацию вперёд.

habr.com

Проблемы с DNS или восстановление настроек сети

Случается, что после лечения вирусов, или ошибок в реестре перестает работать доступ к Интернету. Вернее физически соединение на компьютере присутствует и ping по внешним ip-адресам проходят замечательно. Но на этом счастье и заканчивается... странички в браузерах не открываются ни при каком раскладе.

пинг

Обычно разбираться времени не хватало - нужно сделать машину быстрее, поэтому в основном использовался откат к тому времени, когда машина ещё работала или переустановка Windows.

Принесли ещё один комп с подобными симптомами и я решил таки докопаться до сути - перепровано было всё:

  • первым делом перенастройка IP адреса и DNS для сетевушки;
  • далее полная переустановка драйвера сетевой карты;
  • перезапуск DNS службы;
  • сброс DNS кеша ipconfig /flushdns
  • cброс настроек протокола TCP/IP и Winsock netsh winsock reset
  • проверял и заменял файл c:/windows/system32/drivers/etc/hosts

Ничего так и не помогло, а вот нервов потрепал достаточно. Команда nslookup по прежнему выдавала DNS request timed out. И тут в сети наткнулся на программку WinSockFix (скачать последнюю версию WinSockFix можно отсюда). И произошло чудо - браузер с радостью продемонстрировал мне домашнюю страничку пользователя.

Что же делает данная програма?

  • Проверяет файл HOSTS на правильность указателя localhost (обязан ссылаться на адрес 127.0.0.1)
  • Cоздает backup текущих системных установок (по желанию пользователя)
  • Отключает все сетевые адаптеры
  • Из реестра удаляются ключи Winsock и Winsock2, заменяя нужные параметры исходными значениями согласно “чистой” установке XP, чтобы запустить повторное построение службы Winsock, включая создание таблиц маршрутизации командой Netsh int ip reset resetlog.txt
  • Разрешает работу сетевых адаптеров

Сразу хочу предупредить - ПРОГРАММА НЕ СОХРАНЯЕТ СТАРЫЕ СЕТЕВЫЕ НАСТРОЙКИ, все настройки сбрасываются к стандартным и потребуется заново настроить сетевое подключение.

Подписывайтесь на канал Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

mdex-nn.ru

Не удается найти DNS адрес сервера: как исправить, что делать

Столкнуться с неполадками интернет-соединения неприятно, но порой этого не избежать. Один из распространенных сбоев происходит, когда не удается найти DNS адрес сервера. Рассмотрим, что представляет собой данная проблема, и каким путем её устранить.

Содержание:

  1. Описание ошибки
  2. Действия для устранения неисправности
    1. Решение проблемы на уровне ПК
      1. Смена адреса DNS-сервера
      2. Альтернативный DNS сервер
      3. Установка Google DNS
      4. Особенности Google Public DNS
      5. Неисправность антивируса
    2. Проверка маршрутизатора
    3. В остальных случаях

Описание ошибки

DNS (Domain Name System — система доменных имён) является мостом между восприятием человека и компьютера в том смысле, что позволяет преобразовать удобное для пользователя буквенное доменное имя (то, что пишется в адресной строке вида «www.google.com») в числовой эквивалент (IP-адрес узла), удобный для машины.

DNS ошибка (она же «Ошибка 105», ERR_NAME_NOT_RESOLVED) происходит, если веб-браузер не может провести преобразование, тогда доступ к сайту не будет получен.

Действия для устранения неисправности

В первую очередь необходимо выяснить, на каком уровне произошел сбой.

Возможные варианты с признаками:

  • неполадки на уровне сайта — ошибка выдается при загрузке только одного сайта, другие открываются;
  • проблемы на уровне провайдера — ни одно устройство в данной локальной сети не загружает страницы, везде ошибка, при подключении того же устройства к другой сети соединение работает корректно;
  • сбой на уровне маршрутизатора — признаки такие же, как в предыдущем случае;
  • ошибка на уровне компьютера — на других устройствах, подключенных к той же сети, не обнаруживаются неполадки с интернетом.

Решение проблемы на уровне ПК

Первым делом убедитесь, что DNS служба работает и перезапустите её:

  1. Откройте «Панель управления» → «Администрирование» → «Службы».

  2. Найдите «Клиент DNS» и нажмите «Перезапустить».

Не помогло? Следующий шаг - очистка кэша DNS.

  1. Откройте «Выполнить», введите «сmd» (или найдите командную строку во встроенном поиске).

  2. В появившемся окне терминала введите: Ipconfig/flushdns

  3. Проверьте после перезагрузки, устранена ли ошибка.

Смена адреса DNS-сервера

Далее можно попробовать поменять значение DNS address от провайдера:

  1. Войдите в «Сетевые подключения». Один из путей: нажать Win+R и прописать «ncpa.cpl».

  2. Нажмите на текущее подключение, TCP/IPv4.

  3. Если у вас не было включено автоматическое получение адреса DNS-сервера, включите.

Альтернативный DNS сервер

Если предыдущие действия не привели к нужному результату, можно подключиться к другому DNS-серверу. В этом случае DNS-запросы будут адресованы вместо сервера провайдера на тот, который вы укажете. Этот метод также можно использовать для обхода ограничений, которые провайдеры могут накладывать на сайты.

Обратите внимание на следующий момент: смена адреса DNS-сервера на один из лежащих в открытом доступе подвергает риску ваши данные. В целях безопасности пользуйтесь серверами с хорошей репутацией, например, Google Public DNS, OpenDNS, Яндекс.DNS.

Установка Google DNS

Войдите в «Сетевые подключения», выберете подключение к вашей сети, TCP/IPv4. Отметьте «Использовать следующие адреса DNS-серверов» и пропишите IP-адреса Google: 8.8.8.8 и 8.8.4.4.

Адреса других серверов прописываются аналогичным образом.

Особенности Google Public DNS

При использовании серверов от Google обработка запроса может происходить медленнее, чем при работе с локальными серверами провайдеров. Причина этого явления — удаленная географическая расположенность, вследствие которой запросу необходимо преодолеть большее расстояние.

В противовес возможной задержке Google использует собственные технологии сканирования интернета и кеширования информации, что идет на пользу производительности.

Возможной причиной ошибки при загрузке конкретного сайта является его переезд на другой IP-адрес в то время, как обновление информации на локальном DNS-сервере еще не произошло. Поскольку Google сканирует сеть постоянно, информация на его серверах более актуальна, и подключение к ним может решить проблему.

Неисправность антивируса

Неполадки с интернет-соединением может вызывать неисправный антивирус. Чтобы узнать, ваш ли это случай, переведите компьютер в безопасный режим.

Для Windows 10 переключение осуществляется следующим способом:

  1. Откройте «Выполнить» (Win+R) и напишите «msconfig».

  2. В опции «Загрузка» выберите «Безопасный режим» и «Сеть».

  3. Перезапустите компьютер.

В безопасном режиме антивирусное ПО не включается, если сайты загружаются нормально, антивирус — источник проблемы, нужно его переустановить.

Проверка маршрутизатора

Неполадки на уровне Wi-Fi роутера по «симптомам» не отличаются от сбоя на уровне провайдера, но есть способ их отличить.

Отсоедините от роутера Ethernet-кабель и вставьте его в разъем компьютера.

Таким образом установится Ethernet-соединение. Если при подключении напрямую проблемы с интернетом устранились, дело в роутере, и его нужно перезагрузить.

Для перезагрузки выключите маршрутизатор, подождите 10-30 секунд и включите снова.

В остальных случаях

Если вы попробовали все вышеописанные методы, но устранить проблему не удалось (ни одна страница не загружается), обратитесь к своему провайдеру.

Если ошибку выдает один определенный сайт, причина сбоя на стороне его владельцев или хостинга. В таком случае придется ждать. Иногда информативным может быть поисковый запрос вида «почему сайт xxx.yyy.com не работает», который может пролить свет на источник проблем.

vr4you.net

Отправить ответ

avatar
  Подписаться  
Уведомление о