Лучшие DNS-серверы | Losst

В разговорах об обеспечении безопасности подключения к интернету или доступа к заблокированному контенту в вашей географической области, вы, наверное, слышали о DNS. Несмотря на то, что все провайдеры поставляют свой DNS-сервер по умолчанию, вы можете использовать альтернативный.

Служба DNS используется для определения IP-адресов сайтов по их домену. Всё очень просто — на самом деле в интернете не существует никаких буквенных адресов вроде losst.ru, все связи и сообщения между компьютерами осуществляются по IP-адресу. Вот для его определения по доменному имени и используются сервера DNS, в которых хранится огромная таблица соответствия доменных имён и IP-адресов.

Использование альтернативного DNS-сервера предоставляет несколько преимуществ:

• Чем ближе вы находитесь к DNS-серверу, тем быстрее будет выполняться определение имён.
• Если DNS провайдера не очень надёжны, альтернативный DNS улучшит стабильность.
• Вы избавитесь от ограничений доступа к контенту на основе географического положения.

Если эти причины, или хотя бы одна из них заинтересовали вас, пришло время настроить DNS-сервер в своей системе. В этой статье мы поговорим о том, как настроить DNS-сервер в Linux, как узнать его скорость работы, а также рассмотрим лучшие DNS-серверы. Вы можете выбрать лучший в зависимости от ваших потребностей.

Содержание статьи:

Настройка DNS в Linux

Поскольку сайт наш всё-таки о Linux, рассмотрим, как настроить DNS-серверы Linux. Настройки DNS-сервера в любом Linux-дистрибутиве находятся в файле /etc/resolv.conf. Адрес DNS-сервера указывается в следующем формате:

nameserver 192.168.137.1

Здесь 192.168.137.1 — это адрес DNS-сервера. Но настройка в этом файле будет работать только до перезагрузки, поскольку этот файл перегенерируется при каждой загрузке системы. Чтобы настройки работали и после перезагрузки, надо настраивать DNS с помощью NetworkManager или Systemd. Об этом смотрите статью Настройка DNS в Ubuntu.

Протестировать скорость работы DNS-сервера можно с помощью утилиты nsloockup. Например:

time nslookup losst.ru 208.67.222.222
time nslookup losst.ru 8.8.8.8

Первый параметр — адрес сайта, который будем измерять, второй — адрес DNS-сервера. Команда time замеряет время выполнения nslookup в миллисекундах. Как видите, первый DNS сервер от гугла медленнее по сравнению с вторым. А теперь перейдём непосредственно к списку «хорошие DNS-серверы».

Лучшие DNS-серверы

1. Google Public DNS

Первый DNS сервер в нашем списке — сервер от Google — Google Public DNS. Он работает с декабря 2009 и его цель — сделать работу пользователей в интернете быстрее, безопаснее и удобнее. В настоящее время это крупнейшая государственная DNS-структура в мире. Для использования Google Public DNS достаточно использовать IP-адрес DNS сервера 8.8.8.8 или 8.8.4.4.

При переходе на Google Public DNS повышается безопасность и оптимизируется скорость работы, поскольку Google действительно использует Anycast-маршрутизацию для нахождения ближайшего сервера. Кроме того, он устойчив к атакам DNS Cache, а также DoS.

2. OpenDNS

Если вы ищете не просто замену обычному DNS, а расширенную версию, которая даст вам больше контроля, попробуйте OpenDNS. Как говорится в сообщении этой компании, вы сделаете ещё один шаг на пути к безопасности путем внедрения этой службы. Есть два варианта OpenDNS — домашний и корпоративный. Домашняя версия поставляется с родительским контролем, защитой от фишинга и улучшенной скоростью. Корпоративная версия OpenDNS имеет полную функциональность для защиты сети предприятия. Для домашнего использования вы можете получить OpenDNS бесплатно. Чтобы настроить   DNS-серверы Linux просто установите следующие адреса DNS: 208.67.222.222 и 208.67.220.220. OpenDNS также поддерживает Anycast.

3. DNS.WATCH

DNS.WATCH — это минималистичная служба DNS, которая позволяет вам иметь быстрый доступ в интернет без цензуры. Поскольку эта служба построена по принципам свободы, вы можете быть уверены ,что ваш запрос достигнет цели и не будет использовано никаких перенаправлений. Сервер работает быстро и стабильно. Если вы живете в стране с цензурой, это будет отличным решением. Сервера DNS-службы: 82.200.69.80 и 84.200.70.40.

4. Norton ConnectSafe

Norton ConnectSafe — ещё одна служба DNS, предназначенная для усиленной защиты вашего интернета. Следует отметить, что Norton занимается аспектами безопасности многих устройств в течение длительного времени. Поэтому вы можете быть уверены в качестве Norton ConnectSafe. Сервис предлагает три различных варианта защиты: защита от вредоносных программ, фишинга и жульничества, защита от порнографии и других угроз. Для каждого вида используются разные IP-адреса. Для защиты всей домашней сети достаточно просто настроить маршрутизатор.

5. Level3 DNS

Level3 DNS — это отличная служба DNS, если вы ищете надежный DNS-сервер с отличной производительностью. Хотя и Level3 не такой большой, как Google, у него впечатляющая инфраструктура. Вы можете быть уверенны, что скорость будет на высшем уровне. IP-адреса DNS сервера: 209.244.0.3, 209.244.0.4 , 4.2.2.1, 4.2.2.2 , 4.2.2.3 и 4.2.2.4.

6. Comodo Secure DNS

Comodo Secure DNS — ещё одна служба, сочетающая в себе скорость, надёжность и безопасность. Comodo использует огромную сеть, которая включает в себя большое количество DNS-серверов. Скорость будет оптимизирована путём выбора сервера в зависимости от вашего местоположения. Кроме того, Comodo заботится о безопасности, поставляя список опасных сайтов, а служба DNS убедится, что вы не посещаете ни один из них. IP-адреса Comodo Secure DNS: 8.26.56.26 и 8.20.247.20.

7. OpenNIC DNS

Хотя OpenNIC DNS находится последним в списке, он будет отличным решением, если вам нужен свободный доступ в интернет без цензуры, налагаемой властями. У OpenNIC DNS очень большая инфраструктура сети, и поэтому, скорее всего, будет найден DNS-сервер, находящийся недалеко от вашего физического местоположения. Просто выберите нужный сервер из списка.

8. Яндекс DNS

Не только у Google есть свои DNS серверы. У Яндекса тоже есть бесплатный сервис DNS, которые вы можете использовать. Сервера яндекса могут быть ближе для некоторых районов России, чем сервера Европы, поэтому такой DNS может быть более предпочтительным. У яндекса есть три вида DNS — обычные, без фишинговых и мошеннических сайтов, и третий тип — без сайтов для взрослых. Адреса обычного DNS от яндекса — 77.88.8.8 и 77.88.8.1.

Выводы

Как видите, одни из этих серверов обеспечивают обычный DNS в обход запретов провайдера, другие же имеют дополнительные возможности — защиту от атак, фишинга и опасных программ. Все они — лучшие DNS-серверы, и вы можете выбрать один из них в зависимости от ваших потребностей.

Топ-10 лучших публичных DNS-серверов, которые вы должны знать

Что такое DNS-сервер?

DNS (или также известная как Система доменных имен) — это система, которая сопоставляет доменные имена, такие как Google.com или Yandex.ru, с правильными IP-адресами. Эта система представляет собой базу данных доменных имен и IP-адресов. Он используется для ведения каталога доменных имен и помогает преобразовать эти доменные имена в правильные IP-адреса.

Доменные имена — это удобочитаемые адреса, которые мы используем каждый день. Например, доменное имя Yandex — yandes.ru. Если вы хотите посетить веб-сайт Яндекс, просто введите yandex.ru в адресную строку веб-браузера.

Но ваш компьютер не знает, где находится «yandex.ru». За кулисами ваш компьютер свяжется с DNS-серверами и спросит, какой IP-адрес связан с yandex.ru.

После этого он подключится к этому веб-серверу, загрузит содержимое и отобразит в вашем веб-браузере.

В этом случае yandex.ru находится по IP-адресу 77.88.55.70 в Интернете. Вы можете ввести этот IP-адрес в своем веб-браузере, чтобы посетить веб-сайт Yandex. Однако вместо 77.88.55.70 мы используем «yandex.ru», потому что его легче запомнить.

Без DNS весь интернет не будет доступен. Мы вернемся к тому времени, когда Интернет еще не родился. И ваш компьютер может использовать только для создания документов или играть в автономные игры.

Конечно, это просто простое объяснение, на самом деле, это немного сложно. Для получения дополнительной информации, я бы порекомендовал вам прочитать эту статью или посмотреть видео ниже.

Разные интернет-провайдеры (ISP) используют разные DNS-серверы. По умолчанию, если вы не настроили определенные DNS-серверы на своем компьютере (или маршрутизаторе), будут использоваться DNS-серверы по умолчанию от вашего интернет-провайдера.

Если эти DNS-серверы нестабильны, возможно, у вас возникли некоторые проблемы при использовании Интернета на вашем компьютере. Например, не может загрузить веб-сайты полностью или не имеет доступа к Интернету. Чтобы избежать нежелательных ошибок DNS, переключитесь на общедоступные DNS-серверы, такие как Google DNS и OpenDNS.

Вот несколько распространенных ошибок, связанных с DNS, которые вы можете посмотреть:

• Исправлена ​​ошибка поиска DNS в Google Chrome
• Как исправить ошибку Err_Connection_Timed_Out
• Как исправить ошибку Err_Connection_Refused
• Исправить Dns_Probe_Finished_Nxdomain Ошибка
• Исправить DNS-сервер не отвечает на Windows

Вы можете исправить эти ошибки, перейдя на сторонние DNS-серверы в списке ниже.

Преимущества использования публичных DNS-серверов

Вы можете спросить, есть ли у вашего интернет-провайдера DNS-серверы по умолчанию, зачем вам эти публичные DNS-серверы? Вот причины, почему вы должны использовать эти альтернативные DNS-серверы:

• Некоторые DNS-серверы по умолчанию не достаточно быстрые, а иногда их время истекло. При этом ваше интернет-соединение не стабильно. Переключение на эти самые быстрые DNS-серверы поможет повысить скорость вашего интернета.
• Использование этих общедоступных DNS-серверов поможет улучшить стабильность.
• Некоторые сторонние DNS-серверы имеют функции защиты и фильтрации. Эти функции помогут вам защитить ваш компьютер от фишинговых атак.
• Это поможет вам пройти через ограничения по содержанию географии и веб-инспекций. Например, вы можете легко смотреть видео на YouTube, когда на нем написано: «Это видео недоступно в вашей стране».

Список 10 лучших публичных DNS-серверов

После прочтения объяснения того, что такое DNS-сервер, полезны сторонние DNS-серверы, ознакомьтесь со списком ниже. Это список топ-10 лучших сторонних DNS-серверов:

1. Публичный DNS-сервер Google

Это один из самых быстрых DNS-серверов, которые многие пользователи используют на своих компьютерах. Используя DNS-серверы Google, вы получите более высокий уровень безопасности и удобство работы на своем компьютере.

Чтобы использовать общедоступные DNS-серверы Google, настройте параметры сети со следующими IP-адресами:

8.8.8.8 в качестве предпочитаемого DNS-сервера

8.8.4.4 в качестве вашего альтернативного DNS-сервера

2. OpenDNS

Помимо DNS-серверов Google, OpenDNS является одним из лучших облачных DNS-серверов. Это поможет защитить ваш компьютер от вредоносных атак.

Чтобы использовать OpenDNS, давайте настроим параметры вашей сети со следующими IP-адресами:

208.67.222.222

208.67.222.220

OpenDNS также предлагает два бесплатных решения для частных клиентов: OpenDNS Family Shield и OpenDNS Home.

Семейство OpenDNS Shield поставляется с предварительно настроенным для блокировки контента для взрослых. Чтобы использовать его, в настройках сети необходимо настроить разные DNS-серверы со следующими IP-адресами.

Предпочитаемый DNS-сервер: 208.67.222.123

Альтернативный DNS-сервер: 208.67.220.123

Между тем, OpenDNS Home поставляется с настраиваемой защитой от кражи и фишинга.

3. Norton ConnectSafe

Norton предлагает не только антивирусные программы и программы для обеспечения безопасности в Интернете. Он также предлагает услугу DNS-сервера под названием Norton ConnectSafe. Этот облачный DNS-сервис поможет защитить ваш компьютер от фишинговых сайтов.

Norton ConnectSafe поставляется с тремя заранее определенными политиками фильтрации содержимого. Это безопасность, безопасность + Порнография и безопасность + Порнография + прочее.

Вы можете взглянуть на изображение ниже для получения дополнительной информации о каждой заранее определенной политике. Посетите dns.norton.com для получения дополнительной информации.

4. Comodo Secure DNS

Comodo Secure DNS — это служба сервера доменных имен, которая разрешает ваши DNS-запросы через множество глобальных DNS-серверов. Он обеспечивает гораздо более быстрый и лучший опыт работы в Интернете, чем использование стандартных DNS-серверов, предоставляемых вашим Интернет-провайдером.

Если вы хотите использовать Comodo Secure DNS, вам не нужно устанавливать какое-либо оборудование или программное обеспечение. Просто измените ваш основной и дополнительный DNS-серверы на 8.26.56.26 и 8.20.247.20.

5. Уровень 3

Level3 — следующая бесплатная служба DNS в этом списке. Он работает на уровне 3 связи. Чтобы воспользоваться этой бесплатной услугой, просто настройте параметры сети с помощью следующих IP-адресов DNS:

209.244.0.3

208.244.0.4

Посетите level3.com для более подробной информации.

6. Преимущество DNS

Это один из самых быстрых DNS-серверов, обеспечивающих наилучшую производительность при работе в Интернете. Это поможет вам загружать сайты быстрее и безопаснее. Чтобы использовать DNS Advantage, настройте предпочтительные / альтернативные DNS-серверы со следующими подробностями:

156.154.70.1

156.154.71.1

7. OpenNIC

Как и многие другие DNS-серверы выше, OpenNIC является хорошей альтернативой для замены ваших DNS-серверов по умолчанию. Это защитит ваш компьютер от правительства и сохранит вашу конфиденциальность. Чтобы использовать эту службу DNS, настройте предпочтительные и альтернативные DNS-серверы следующим образом:

46.151.208.154

128.199.248.105

Посетите веб-сайт OpenNIC, чтобы найти более надежные DNS-серверы.

8. Дин

Dyn — следующий лучший бесплатный сторонний DNS-сервер в списке. Он обеспечивает удивительный опыт работы в Интернете и защищает вашу информацию от большинства фишинговых атак. Настройте параметры сети с указанными ниже IP-адресами DNS, чтобы использовать DNS-сервер Dyn.

216.146.35.35

216.146.36.36

Посетите www.dyn.com, чтобы прочитать более подробную информацию о Dyn DNS, а также узнать, как начать работу.

9. SafeDNS

SafeDNS — это еще одна служба DNS, основанная на облаке. Это поможет вам защитить ваш компьютер, а также обеспечить лучший опыт просмотра веб-страниц. Чтобы использовать SafeDNS, используйте следующую информацию DNS ниже:

195.46.39.39

195.46.39.40

Узнайте больше о бесплатных и премиальных услугах DNS от SafeDNS.

10. DNS.Watch

DNS.Watch является последней бесплатной общедоступной службой DNS в этом списке. Это обеспечивает цензуру, быстрый и надежный опыт просмотра веб-сайтов бесплатно. Чтобы настроить свой ПК или маршрутизатор с помощью «DNS.Watch», используйте два IP-адреса DNS ниже:

84.200.69.80

84.200.70.40

Посетите здесь, чтобы прочитать более подробную информацию о DNS.Watch.

Иногда, если вы не можете правильно просматривать веб-страницы, вы можете попробовать изменить DNS-серверы по умолчанию на вашем компьютере или маршрутизатор на эти DNS-серверы. Это обеспечит вам лучший опыт просмотра веб-страниц, а также защитит вас от возможных атак.

Если вы используете любые другие DNS-серверы, которые вам нравятся, не стесняйтесь поделиться с нами, и мы обновим список.

Не знаете, как изменить DNS-серверы на Windows, Mac или Android? Просто прочитайте эту статью .

UPD от нашего подписчика DNS сервера для России:

77.88.8.8, 77.88.8.1 — Без фильтрации (Базовые)

77.88.8.88, 77.88.8.2 — Без мошеннических сайтов и вирусов (Безопасные)

77.88.8.7, 77.88.8.3 — Без сайтов для взрослых (Семейные)

Устранение неполадок DNS-серверов | Microsoft Docs

• 8/8/2019
• Чтение занимает 3 мин

В этой статье

В этой статье описывается, как устранять неполадки на DNS-серверах.

Проверка IP-конфигурации

1. Выполните ipconfig /all команду из командной строки и проверьте IP-адрес, маску подсети и шлюз по умолчанию.

2. Проверьте, является ли DNS-сервер полномочным для имени, которое ищется. Если это так, см. раздел Проверка на наличие проблем с достоверными данными.

3. Выполните следующую команду.

   nslookup <name> <IP address of the DNS server>
   

   Например:

   nslookup app1 10.0.0.1
    

   Если вы получаете ответ об ошибке или истечении времени ожидания, см. раздел Проверка проблем с рекурсией.

4. Очистка кэша сопоставителя. Для этого выполните следующую команду в окне командной строки с правами администратора:

   dnscmd /clearcache
   

   Или в окне администрирования PowerShell выполните следующий командлет:

   Clear-DnsServerCache
   

5. Повторите шаг 3.

Проверка неполадок DNS-сервера

Журнал событий

Проверьте следующие журналы, чтобы узнать, есть ли записанные ошибки:

• Приложение

• Система

• DNS-сервер

Тестирование с помощью запроса nslookup

Выполните следующую команду и проверьте, доступен ли DNS-сервер с клиентских компьютеров.

nslookup <client name> <server IP address>

• Если сопоставитель возвращает IP-адрес клиента, у сервера нет проблем.

• Если сопоставитель возвращает ответ «сбой сервера» или «Запрос отклонен», зона может быть приостановлена или сервер может быть перегружен. Чтобы узнать, приостановлен ли он, перейдите на вкладку Общие окна свойств зоны в консоли DNS.

Если сопоставитель возвращает ответ «запрос на превышение времени ожидания сервера» или «нет ответа от сервера», возможно, служба DNS не запущена. Попробуйте перезапустить службу DNS-сервера, введя следующую команду в командной строке на сервере:

net start DNS

Если проблема возникает при запуске службы, сервер может не прослушивать IP-адрес, который использовался в запросе nslookup. На вкладке интерфейсы страницы свойств сервера консоли DNS администраторы могут ограничить DNS-сервер прослушиванием только выбранных адресов. Если DNS-сервер настроен для ограничения службы указанным списком настроенных IP-адресов, то возможно, что IP-адрес, используемый для связи с DNS-сервером, отсутствует в списке. Можно попробовать использовать другой IP-адрес в списке или добавить IP-адрес в список.

В редких случаях DNS-сервер может иметь расширенную конфигурацию безопасности или брандмауэра. Если сервер расположен в другой сети, доступной только через промежуточный узел (например, маршрутизатор фильтрации пакетов или прокси-сервер), DNS-сервер может использовать нестандартный порт для прослушивания и получения клиентских запросов. По умолчанию программа nslookup отправляет запросы на DNS-серверы через порт UDP 53. Поэтому, если DNS-сервер использует любой другой порт, запросы nslookup завершатся ошибкой. Если вы считаете, что это может быть проблема, проверьте, используется ли промежуточный фильтр для блокировки трафика на хорошо известных портах DNS. Если это не так, попробуйте изменить фильтры пакетов или правила портов в брандмауэре, чтобы разрешить трафик через порт UDP/TCP 53.

Проверка на наличие проблем с достоверными данными

Проверьте, является ли сервер, который возвращает неверный ответ, основным сервером для зоны (основным сервером-источником для зоны или сервером, который использует интеграцию Active Directory для загрузки зоны) или сервер, на котором размещена дополнительная копия зоны.

Если сервер является сервером-источником

Проблема может быть вызвана ошибкой пользователя при вводе пользователем данных в зону. Кроме того, это может быть вызвано проблемой, которая влияет на Active Directory репликацию или динамическое обновление.

Если на сервере размещается дополнительная копия зоны

1. Изучите зону на сервере-источнике (сервере, с которого этот сервер извлекает зоны).

   Примечание

   Вы можете определить, какой сервер является сервером-источником, проверив свойства дополнительной зоны в консоли DNS.

   Если на сервере-источнике указано неправильное имя, перейдите к шагу 4.

2. Если на сервере-источнике указано правильное имя, убедитесь, что серийный номер на сервере-источнике меньше или равен серийному номеру на сервере-получателе. Если это так, измените либо сервер-источник, либо сервер-получатель, чтобы серийный номер на сервере-источнике был больше, чем серийный номер на сервере-получателе.

3. На сервере-получателе выполните принудительную пересылку зоны с помощью консоли DNS или выполните следующую команду:

   dnscmd /zonerefresh <zone name>
   

   Например, если зона — corp.contoso.com, введите: dnscmd /zonerefresh corp.contoso.com .

4. Изучите сервер-получатель еще раз, чтобы узнать, правильно ли передана зона. В противном случае у вас, вероятно, возникает проблема с переносом зоны. Дополнительные сведения см. в статье проблемы зонных передач.

5. Если зона была передана правильно, проверьте, правильно ли указаны данные. В противном случае данные в основной зоне неверны. Проблема может быть вызвана ошибкой пользователя при вводе пользователем данных в зону. Кроме того, это может быть вызвано проблемой, которая влияет на Active Directory репликацию или динамическое обновление.

Проверка проблем с рекурсией

Чтобы рекурсия работала успешно, все DNS-серверы, используемые в пути рекурсивного запроса, должны иметь возможность отвечать и пересылать правильные данные. Если это не так, рекурсивный запрос может завершиться ошибкой по одной из следующих причин:

• Время ожидания запроса истекло, прежде чем его можно будет завершить.

• Сервер, используемый во время запроса, не отвечает.

• Сервер, используемый во время запроса, предоставляет неверные данные.

Начните устранение неполадок на сервере, который использовался в исходном запросе. Проверьте, пересылает ли этот сервер запросы на другой сервер, изучив вкладку серверы пересылки в свойствах сервера в консоли DNS. Если флажок включить серверы пересылки установлен и в списке присутствует один или несколько серверов, этот сервер перенаправляет запросы.

Если этот сервер пересылает запросы на другой сервер, проверьте наличие проблем, влияющих на сервер, на который сервер пересылает запросы. Чтобы проверить наличие проблем, см. раздел Проверка неполадок DNS-сервера. Когда этот раздел предписывает выполнить задачу на клиенте, выполните его на сервере.

Если сервер находится в работоспособном состоянии и может пересылать запросы, повторите этот шаг и проверьте сервер, на который сервер пересылает запросы.

Если этот сервер не перенаправляет запросы на другой сервер, проверьте, может ли этот сервер запрашивать корневой сервер. Для этого выполните следующую команду:

nslookup
server <IP address of server being examined>
set q=NS

• Если сопоставитель возвращает IP-адрес корневого сервера, возможно, имеется разорванное делегирование между корневым сервером и именем или IP-адресом, который вы пытаетесь разрешить. Следуйте инструкциям по тестированию неработающей процедуры делегирования , чтобы определить, где находится неработающее делегирование.

• Если сопоставитель возвращает ответ «запрос на превышение времени ожидания сервера», проверьте, указывает ли корневые ссылки на работоспособность корневых серверов. Для этого используйте для просмотра текущей процедуры корневых ссылок . Если корневые ссылки указывают на работающие корневые серверы, возможно, возникла проблема с сетью или сервер может использовать расширенную конфигурацию брандмауэра, которая не позволяет арбитру конфликтов запрашивать сервер, как описано в разделе Проверка проблем DNS-сервера . Также возможно, что рекурсивное время ожидания по умолчанию слишком мало.

Тестирование неработающего делегирования

Начните тесты в следующей процедуре, запросив допустимый корневой сервер. Этот тест позволяет выполнить запрос всех DNS-серверов из корня к серверу, который тестируется для неработающего делегирования.

1. В командной строке на тестируемом сервере введите следующее:

   nslookup
   server <server IP address>
   set norecursion
   set querytype= <resource record type>
   <FQDN>
   

   Примечание

   Тип записи ресурса — это тип записи ресурса, для которой был выполнен запрос в исходном запросе, а полное доменное имя — полное доменное имя, для которого выполнялись запросы (заканчивающиеся точкой).

2. Если ответ содержит список записей ресурсов «NS» и «A» для делегированных серверов, повторите шаг 1 для каждого сервера и используйте IP-адрес из записей ресурсов «A» в качестве IP-адреса сервера.

   • Если ответ не содержит запись ресурса NS, делегирование будет разорвано.

   • Если ответ содержит записи ресурсов «NS», но нет записей ресурсов «A», введите » задать рекурсию» и выполните запрос по отдельности для записей ресурсов «a» серверов, перечисленных в записях NS. Если вы не нашли по меньшей мере один допустимый IP-адрес записи ресурса «A» для каждой записи ресурса NS в зоне, то у вас есть неработающее делегирование.

3. Если вы определили, что вы используете неработающее делегирование, исправьте его, добавив или обновив запись ресурса «A» в родительской зоне, используя допустимый IP-адрес для соответствующего DNS-сервера для делегированной зоны.

Просмотр текущих корневых ссылок

1. Запустите консоль DNS.

2. Добавьте или подключитесь к DNS-серверу, который не прошел рекурсивный запрос.

3. Щелкните правой кнопкой мыши сервер и выберите пункт Свойства.

4. Щелкните корневые ссылки.

Проверьте наличие базовых подключений к корневым серверам.

• Если правильно настроены корневые ссылки, убедитесь, что DNS-сервер, используемый в разрешении имен с ошибками, может проверить связь с корневыми серверами по IP-адресу.

• Если корневые серверы не отвечают на проверку связи по IP-адресу, IP-адреса для корневых серверов могли измениться. Однако нередко можно увидеть перенастройку корневых серверов.

Проблемы с зонными ошибками

Выполните следующие проверки:

• Проверьте Просмотр событий как для основного, так и для дополнительного DNS-сервера.

• Проверьте сервер источника, чтобы узнать, не отправит ли он передачу данных для безопасности.

• Проверьте вкладку зонные передачи свойств зоны в консоли DNS. Если сервер ограничит передачу зоны на список серверов, например на вкладке серверы имен в свойствах зоны, убедитесь, что сервер-получатель находится в этом списке. Убедитесь, что сервер настроен на отправку зонных передач.

• Проверьте наличие проблем на основном сервере, выполнив действия, описанные в разделе Проверка проблем DNS-сервера . Когда появится запрос на выполнение задачи на клиенте, выполните задачу на сервере-получателе.

• Проверьте, не работает ли на сервере-получателе другая реализация сервера DNS, например BIND. Если это так, проблема может быть вызвана одной из следующих причин:

  • Основной сервер Windows может быть настроен для отправки быстрых зонных передач, но сервер-получатель стороннего производителя может не поддерживать быструю передачу зоны. В этом случае отключите передачу данных с помощью быстрой зоны на сервере-источнике из консоли DNS, установив флажок включить вторичные базы данных-получатели на вкладке Дополнительно свойств сервера.

  • Если зона прямого просмотра в Windows Server содержит тип записи (например, запись SRV), которую сервер-получатель не поддерживает, то на сервере-получателе могут возникнуть проблемы с извлечением зоны.

Проверьте, запущена ли на сервере-источнике другая реализация сервера DNS, например BIND. Если да, то возможно, что зона на сервере источника включает несовместимые записи ресурсов, которые Windows не распознает.

Если на главном или вторичном сервере используется другая реализация DNS-сервера, проверьте оба сервера, чтобы убедиться, что они поддерживают одни и те же функции. Можно проверить Windows Server на консоли DNS на вкладке Дополнительно страницы Свойства сервера. В дополнение к полю включить вторичные получатели привязок на этой странице содержится раскрывающийся список Проверка имен . Это позволяет выбрать принудительное соответствие требованиям RFC для символов в DNS-именах.

Яндекс.DNS

Технические подробности

Яндекс.DNS — это бесплатный рекурсивный DNS-сервис. Сервера Яндекс.DNS находятся в России, странах СНГ и Западной Европе. Запросы пользователя обрабатывает ближайший дата-центр, что обеспечивает высокую скорость соединения.

Скорость работы Яндекс.DNS во всех трёх режимах одинакова. В «Базовом» режиме не предусмотрена какая-либо фильтрация трафика. В «Безопасном» режиме обеспечивается защита от заражённых и мошеннических сайтов. «Семейный» режим включает защиту от опасных сайтов и блокировку сайтов для взрослых.

Защита от заражённых сайтов

Яндекс ежедневно проверяет десятки миллионов страниц на наличие вредоносного кода, выявляя тысячи зараженных сайтов. Для этого применяются сигнатурная технология Sophos и собственный антивирус Яндекса, построенный на анализе поведения исследуемых сайтов. При обнаружении подозрительной активности страница отмечается как опасная, а вредоносный код добавляется в базу вирусных сигнатур. Данные о заражённых сайтах обновляются несколько раз в сутки.

Защита от мошеннических сайтов

Яндекс также выявляет сайты, обладающие признаками мошеннических. К ним относятся, например, страницы, созданные с целью выманить номер телефона пользователя или вынуждающие его отправить сообщение на короткий номер, потеряв деньги. В «Безопасном» и «Семейном» режимах, Яндекс.DNS блокирует такие сайты — при попытке зайти на них, пользователь увидит предупреждение.

Защита от ботнетов

Попавший в ботнет заражённый компьютер обычно управляется централизованно, через специальный C&C-сервер (от англ. command-and-control — «командование и контроль»). Адрес управляющего сервера меняется динамически, чтобы затруднить его обнаружение и блокировку. Поэтому боту на заражённом компьютере известно только доменное имя сервера — IP-адрес он запрашивает с помощью системного DNS. Яндекс.DNS в «Безопасном» и «Семейном» режимах блокирует запросы IP-адресов всех известных C&C-серверов. Из-за этого программа-бот вынуждена бездействовать, а злоумышленник теряет удалённый доступ к компьютеру пользователя. Постоянно обновляемый список ботнетов и управляющих серверов Яндекс получает от системы Virus Tracker.

Блокировка сайтов для взрослых

Алгоритмы Яндекса умеют определять эротический и порнографический контент в проиндексированных страницах. Анализируется как текст и картинки в документе, так и другие факторы — например, ссылочное окружение. Данные о сайтах с такими страницами обновляются 2-3 раза в неделю.

Блокировка рекламы для взрослых

В «Семейном» режиме Яндекс.DNS блокируется реклама эротического и порнографического характера на всех сайтах. Для хоста такой рекламной сети запрещается получение правильного IP-адреса, поэтому сами объявления и баннеры не могут быть загружены.

Яндекс.DNS в роутере

Яндекс.DNS доступен в роутерах Asus, D-Link, TP-Link и ZyXEL. Для популярных моделей этих производителей выпущены специальные версии прошивки с интегрированным Яндекс.DNS.

Особенности Яндекс.DNS в роутере:

1. Возможность в один клик выставить режим по умолчанию, в том числе для вновь подключаемых устройств.
2. Для каждого устройства можно выбрать свой режим Яндекс.DNS. Устройства идентифицируются по MAC-адресу.
3. В «Безопасном» и «Семейном» режимах все запросы к другим DNS-сервисам обрабатывает Яндекс.DNS.

dns server — Russian translation – Linguee

Пример конфигурации «PIX/ASA: выполнение DNS Doctoring с командой static и тремя NAT интерфейсами»

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Родственные продукты
      Условные обозначения
Общие сведения
Сценарий: Два интерфейса NAT (внутренний, внешний)
      Топология
      Проблема: Клиент не может получить доступ к серверу WWW
      Решение: Ключевое слово «dns»
      Альтернативное решение: Прикрепление
Настройка проверки DNS
Настройка раздельных DNS
Проверка
      Захват трафика DNS
Устранение неполадок
      Перезапись DNS не выполняется
      Создание преобразования не выполняется
      Сброс отклика UDP DNS
Дополнительные сведения

В этом документе приведен пример конфигурации для исправления системы доменных имен (DNS) на устройстве адаптивной безопасности серии ASA 5500 или устройстве безопасности серии PIX 500 с помощью утверждений статической таблицы преобразования сетевых адресов (NAT). Исправление DNS позволяет устройству безопасности перезаписывать A-записи DNS.

Перезапись DNS выполняет две функции:

• Преобразует публичный адрес (маршрутизируемый или сопоставляемый адрес) в отклик DNS на частный адрес (реальный адрес), когда клиент DNS находится на частном интерфейсе.

• Преобразует частный адрес в публичный адрес, когда клиент DNS находится на публичном интерфейсе.

Примечание. Конфигурация в этом документе содержит два интерфейса NAT: внутренний и внешний. Пример исправления DNS со статикой и тремя интерфейсами NAT (внутренним, внешним и dmz) см. в разделе PIX/ASA: Пример исправления DNS с помощью статической команды и трех интерфейсов NAT.

Дополнительные сведения об использовании NAT на устройстве безопасности см. в разделах Утверждения PIX/ASA 7.x NAT и PAT и Использование команд nat, global, static, conduit и access-list, а также перенаправление портов (пересылка) на PIX.

Требования

Чтобы выполнить исправление DNS, на устройстве безопасности должна быть включена проверка DNS. Проверка DNS по умолчанию включена. Если она была отключена, обратитесь к параграфу Настройка проверки DNS далее в этом разделе, чтобы снова включить ее. Когда проверка DNS включена, устройство безопасности выполняет следующие задачи:

• Преобразует запись DNS на основании конфигурации, выполненной с помощью команд static и nat (перезапись DNS). Преобразование применяется только к А-записи в отклике DNS. Поэтому обратные поиски, запрашивающие запись PTR, не затрагиваются перезаписью DNS.

  Примечание. Перезапись DNS несовместима с преобразованием адресов портов (PAT), так как к каждой А-записи применимы несколько правил PAT и использование правила PAT неоднозначно.

• Задает максимальную длину сообщения DNS (по умолчанию 512 байт, максимум 65535 байт). Сборка выполняется при необходимости проверить, что длина пакета меньше, чем заданная максимальная длина. Пакет сбрасывается, если его длина превышает максимальную.

  Примечание. Если выполнить команду inspect dns без парметра maximum-length, размер пакета DNS не проверяется.

• Задает длину доменного имени в 255 байт и длину метки в 63 байта.

• Проверяет целостность доменного имени, на которое ссылается указатель, если в сообщении DNS встречаются указатели сжатия.

• Проверяет наличие петли указателя сжатия.

Используемые компоненты

Сведения, содержащиеся в данном документе, относятся к устройству безопасности серии ASA 5500, версия 7.2(1).

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Родственные продукты

Эта конфигурация также может быть использована с устройством безопасности серии Cisco PIX 500 версии 6.2 или более поздней.

Примечание. Конфигурация диспетчера устройств адаптивной безопасности Cisco (ASDM) применима только к версии 7.x.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

При обычном обмене DNS клиент отправляет URL или имя узла на DNS-сервер, чтобы определить IP-адрес этого узла. DNS-сервер получает запрос, ищет сопоставление имя — IP-адрес для данного узла и предоставляет А-запись с IP-адресом клиенту. Хотя эта процедура хорошо работает во многих ситуациях, могут возникать и проблемы. Проблемы могут возникнуть, когда клиент и узел, который клиент пытается достичь, находятся в одной частной сети за NAT, а DNS-сервер, используемый клиентом, находится в другой публичной сети.

Топология

В этом сценарии клиент и сервер WWW, который клиент пытается достичь, находятся на внутреннем интерфейсе ASA. Динамический PAT настроен на разрешение клиенту доступа в Интернет. Статический NAT со списком доступа настроен на разрешение серверу доступа в Интернет, а также на разрешение узлам Интернета доступа к серверу WWW.

Эта схема является примером данной ситуации: В этом случае клиент с адресом 192.168.100.2 пытается использовать URL server.example.com для доступа к серверу WWW по адресу 192.168.100.10. Службы DNS для клиента предоставлены внешним DNS-сервером по адресу 172.22.1.161. Так как DNS-сервер расположен в другой публичной сети, ему неизвестен частный IP-адрес сервера WWW. Вместо этого он располагает адресом сопоставления сервера WWW 172.20.1.10. Таким образом, DNS-сервер содержит сопоставление имя — IP-адрес в виде server.example.com — 172.20.1.10.

Проблема: Клиент не может получить доступ к серверу WWW

Без исправления DNS или другого решения, пригодного в данной ситуации, если клиент отправит DNS-запрос IP-адреса для имени server.example.com, он не сможет получить доступ к серверу WWW. Это произойдет потому, что клиент получит А-запись, содержащую сопоставленный публичный адрес: 172.20.1.10 сервера WWW. Когда клиент попытается обратиться к этому IP-адресу, устройство безопасности сбросит пакеты, так как оно не разрешает перенаправление пакетов на тот же интерфейс. Вот как выглядит область NAT в конфигурации, когда исправление DNS не включено:

ciscoasa(config)#show running-config
: Saved
:
ASA Version 7.2(1)
!
hostname ciscoasa


!--- Output suppressed.

access-list OUTSIDE extended permit tcp any host 172.20.1.10 eq www


!--- Output suppressed.

global (outside) 1 interface
nat (inside) 1 192.168.100.0 255.255.255.0
static (inside,outside) 172.20.1.10 192.168.100.10 netmask 255.255.255.255
access-group OUTSIDE in interface outside 


!--- Output suppressed.

Вот как выглядит конфигурация в ASDM, когда исправление DNS не включено:

Вот захват пакета событий, когда исправление DNS не включено:

1. Клиент отправляет запрос DNS.

   No.     Time      Source          Destination       Protocol Info
   1       0.000000  192.168.100.2   172.22.1.161      DNS      Standard query 
                                                                A server.example.com
   
   Frame 1 (78 bytes on wire, 78 bytes captured)
   Ethernet II, Src: Cisco_c8:e4:00 (00:04:c0:c8:e4:00), Dst: Cisco_9c:c6:1f 
   (00:0a:b8:9c:c6:1f)
   Internet Protocol, Src: 192.168.100.2 (192.168.100.2), Dst: 172.22.1.161 
   (172.22.1.161)
   User Datagram Protocol, Src Port: 50879 (50879), Dst Port: domain (53)
   Domain Name System (query)
       [Response In: 2]
       Transaction ID: 0x0004
       Flags: 0x0100 (Standard query)
       Questions: 1
       Answer RRs: 0
       Authority RRs: 0
       Additional RRs: 0
       Queries
           server.example.com: type A, class IN
               Name: server.example.com
               Type: A (Host address)
               Class: IN (0x0001)
   

2. ASA выполняет PAT для DNS-запроса и запрос пересылается. Заметьте, что исходный адрес пакета изменился на внешний интерфейс ASA.

   No.     Time      Source           Destination         Protocol Info
   1       0.000000  172.20.1.2       172.22.1.161        DNS      Standard query 
                                                                   A server.example.com
   
   Frame 1 (78 bytes on wire, 78 bytes captured)
   Ethernet II, Src: Cisco_9c:c6:1e (00:0a:b8:9c:c6:1e), Dst: Cisco_01:f1:22 
   (00:30:94:01:f1:22)
   Internet Protocol, Src: 172.20.1.2 (172.20.1.2), Dst: 172.22.1.161 
   (172.22.1.161)
   User Datagram Protocol, Src Port: 1044 (1044), Dst Port: domain (53)
   Domain Name System (query)
       [Response In: 2]
       Transaction ID: 0x0004
       Flags: 0x0100 (Standard query)
       Questions: 1
       Answer RRs: 0
       Authority RRs: 0
       Additional RRs: 0
       Queries
           server.example.com: type A, class IN
               Name: server.example.com
               Type: A (Host address)
               Class: IN (0x0001)

3. DNS-сервер отвечает сопоставленным адресом сервера WWW.

   No.     Time      Source          Destination       Protocol Info
   2       0.005005  172.22.1.161    172.20.1.2        DNS      Standard query response 
                                                                A 172.20.1.10
   
   Frame 2 (94 bytes on wire, 94 bytes captured)
   Ethernet II, Src: Cisco_01:f1:22 (00:30:94:01:f1:22), Dst: Cisco_9c:c6:1e 
   (00:0a:b8:9c:c6:1e)
   Internet Protocol, Src: 172.22.1.161 (172.22.1.161), Dst: 172.20.1.2 
   (172.20.1.2)
   User Datagram Protocol, Src Port: domain (53), Dst Port: 1044 (1044)
   Domain Name System (response)
       [Request In: 1]
       [Time: 0.005005000 seconds]
       Transaction ID: 0x0004
       Flags: 0x8580 (Standard query response, No error)
       Questions: 1
       Answer RRs: 1
       Authority RRs: 0
       Additional RRs: 0
       Queries
           server.example.com: type A, class IN
               Name: server.example.com
               Type: A (Host address)
               Class: IN (0x0001)
       Answers
           server.example.com: type A, class IN, addr 172.20.1.10
               Name: server.example.com
               Type: A (Host address)
               Class: IN (0x0001)
               Time to live: 1 hour
               Data length: 4
               Addr: 172.20.1.10
   

4. ASA отменяет преобразование адреса назначения ответа DNS и пересылает пакет клиенту. Заметьте, что при отключенном исправлении DNS запись Addr в ответе все еще является сопоставленным адресом сервера WWW.

   No.     Time      Source         Destination         Protocol Info
   2       0.005264  172.22.1.161   192.168.100.2       DNS      Standard query response
                                                                 A 172.20.1.10
   
   Frame 2 (94 bytes on wire, 94 bytes captured)
   Ethernet II, Src: Cisco_9c:c6:1f (00:0a:b8:9c:c6:1f), Dst: Cisco_c8:e4:00 
   (00:04:c0:c8:e4:00)
   Internet Protocol, Src: 172.22.1.161 (172.22.1.161), Dst: 192.168.100.2 
   (192.168.100.2)
   User Datagram Protocol, Src Port: domain (53), Dst Port: 50879 (50879)
   Domain Name System (response)
       [Request In: 1]
       [Time: 0.005264000 seconds]
       Transaction ID: 0x0004
       Flags: 0x8580 (Standard query response, No error)
       Questions: 1
       Answer RRs: 1
       Authority RRs: 0
       Additional RRs: 0
       Queries
           server.example.com: type A, class IN
               Name: server.example.com
               Type: A (Host address)
               Class: IN (0x0001)
       Answers
           server.example.com: type A, class IN, addr 172.20.1.10
               Name: server.example.com
               Type: A (Host address)
               Class: IN (0x0001)
               Time to live: 1 hour
               Data length: 4
               Addr: 172.20.1.10
   

5. На этом этапе клиент пытается обратиться к серверу WWW по адресу 172.20.1.10. ASA создает запись соединения для этого обмена данными. Однако, так как ASA не разрешает прохождение трафика с внутреннего интерфейса на внешний и обратно, соединение простаивает. Записи журнала ASA выглядят следующим образом:

   %ASA-6-302013: Built outbound TCP connection 54175 for 
   outside:172.20.1.10/80 (172.20.1.10/80) to inside:192.168.100.2/11001 
   (172.20.1.2/1024)
   
   %ASA-6-302014: Teardown TCP connection 54175 for outside:172.20.1.10/80 to 
   inside:192.168.100.2/11001 duration 0:00:30 bytes 0 SYN Timeout
   

Решение: Ключевое слово «dns»

Исправление DNS с помощью ключевого слова «dns»

Исправление DNS с помощью ключевого слова dns дает устройству безопасности возможность перехватывать и перезаписывать содержимое ответов DNS-сервера клиенту. При правильной настройке устройство безопасности может изменить А-запись, чтобы разрешить клиенту соединение в сценарии, который рассматривался в разделе Проблема: Клиент не может получить доступ к серверу WWW. В этой ситуации, если исправление DNS включено, устройство безопасности перезаписывает А-запись, чтобы направить клиента на адрес 192.168.100.10 вместо 172.20.1.10. Исправление DNS включается, если добавить ключевое слово dns в утверждение NAT static. Вот как выглядит область NAT в конфигурации, когда исправление DNS включено:

ciscoasa(config)#show run
: Saved
:
ASA Version 7.2(1)
!
hostname ciscoasa


!--- Output suppressed.

access-list OUTSIDE extended permit tcp any host 172.20.1.10 eq www


!--- Output suppressed.

global (outside) 1 interface
nat (inside) 1 192.168.100.0 255.255.255.0
static (inside,outside) 172.20.1.10 192.168.100.10 netmask 255.255.255.255 dns

!--- The "dns" keyword is added to instruct the security appliance to modify !--- DNS records related to this entry.

access-group OUTSIDE in interface outside


!--- Output suppressed.

Чтобы настроить исправление DNS в ASDM, выполните следующие действия:

1. Перейдите в Configuration > NAT и выберите статическое правило NAT для изменения. Нажмите Edit.

2. Нажмите NAT Options….

3. Установите флажок Translate DNS replies that match the translation rule.

4. Нажмите OK, чтобы покинуть окно «NAT Options» (Параметры NAT). Нажмите OK, чтобы покинуть окно «Edit Static NAT Rule» (Изменение статического правила NAT). Нажмите Apply, чтобы отправить конфигурацию на устройство безопасности.

Вот захват пакета событий, когда исправление DNS включено:

1. Клиент отправляет запрос DNS.

   No.     Time      Source           Destination        Protocol Info
   1       0.000000  192.168.100.2    172.22.1.161       DNS      Standard query 
                                                         A server.example.com
   
   Frame 1 (78 bytes on wire, 78 bytes captured)
   Ethernet II, Src: Cisco_c8:e4:00 (00:04:c0:c8:e4:00), Dst: Cisco_9c:c6:1f 
   (00:0a:b8:9c:c6:1f)
   Internet Protocol, Src: 192.168.100.2 (192.168.100.2), Dst: 172.22.1.161 
   (172.22.1.161)
   User Datagram Protocol, Src Port: 52985 (52985), Dst Port: domain (53)
   Domain Name System (query)
       [Response In: 2]
       Transaction ID: 0x000c
       Flags: 0x0100 (Standard query)
       Questions: 1
       Answer RRs: 0
       Authority RRs: 0
       Additional RRs: 0
       Queries
           server.example.com: type A, class IN
               Name: server.example.com
               Type: A (Host address)
               Class: IN (0x0001)
   

2. ASA выполняет PAT для DNS-запроса и запрос пересылается. Заметьте, что исходный адрес пакета изменился на внешний интерфейс ASA.

   No.     Time      Source           Destination         Protocol Info
   1       0.000000  172.20.1.2       172.22.1.161        DNS      Standard query 
                                                                   A server.example.com
   
   Frame 1 (78 bytes on wire, 78 bytes captured)
   Ethernet II, Src: Cisco_9c:c6:1e (00:0a:b8:9c:c6:1e), Dst: Cisco_01:f1:22 
   (00:30:94:01:f1:22)
   Internet Protocol, Src: 172.20.1.2 (172.20.1.2), Dst: 172.22.1.161 
   (172.22.1.161)
   User Datagram Protocol, Src Port: 1035 (1035), Dst Port: domain (53)
   Domain Name System (query)
       [Response In: 2]
       Transaction ID: 0x000c
       Flags: 0x0100 (Standard query)
       Questions: 1
       Answer RRs: 0
       Authority RRs: 0
       Additional RRs: 0
       Queries
           server.example.com: type A, class IN
               Name: server.example.com
               Type: A (Host address)
               Class: IN (0x0001)

3. DNS-сервер отвечает сопоставленным адресом сервера WWW.

   No.     Time      Source          Destination       Protocol Info
   2       0.000992  172.22.1.161    172.20.1.2        DNS      Standard query response 
                                                                A 172.20.1.10
   
   Frame 2 (94 bytes on wire, 94 bytes captured)
   Ethernet II, Src: Cisco_01:f1:22 (00:30:94:01:f1:22), Dst: Cisco_9c:c6:1e 
   (00:0a:b8:9c:c6:1e)
   Internet Protocol, Src: 172.22.1.161 (172.22.1.161), Dst: 172.20.1.2 
   (172.20.1.2)
   User Datagram Protocol, Src Port: domain (53), Dst Port: 1035 (1035)
   Domain Name System (response)
       [Request In: 1]
       [Time: 0.000992000 seconds]
       Transaction ID: 0x000c
       Flags: 0x8580 (Standard query response, No error)
       Questions: 1
       Answer RRs: 1
       Authority RRs: 0
       Additional RRs: 0
       Queries
           server.example.com: type A, class IN
               Name: server.example.com
               Type: A (Host address)
               Class: IN (0x0001)
       Answers
           server.example.com: type A, class IN, addr 172.20.1.10
               Name: server.example.com
               Type: A (Host address)
               Class: IN (0x0001)
               Time to live: 1 hour
               Data length: 4
               Addr: 172.20.1.10
   

4. ASA отменяет преобразование адреса назначения ответа DNS и пересылает пакет клиенту. Заметьте, что при включенном исправлении DNS запись Addr в ответе перезаписана реальным адресом сервера WWW.

   No.     Time      Source          Destination        Protocol Info
   2       0.001251  172.22.1.161    192.168.100.2      DNS      Standard query response 
                                                                 A 192.168.100.10
   
   Frame 2 (94 bytes on wire, 94 bytes captured)
   Ethernet II, Src: Cisco_9c:c6:1f (00:0a:b8:9c:c6:1f), Dst: Cisco_c8:e4:00 
   (00:04:c0:c8:e4:00)
   Internet Protocol, Src: 172.22.1.161 (172.22.1.161), Dst: 192.168.100.2 
   (192.168.100.2)
   User Datagram Protocol, Src Port: domain (53), Dst Port: 52985 (52985)
   Domain Name System (response)
       [Request In: 1]
       [Time: 0.001251000 seconds]
       Transaction ID: 0x000c
       Flags: 0x8580 (Standard query response, No error)
       Questions: 1
       Answer RRs: 1
       Authority RRs: 0
       Additional RRs: 0
       Queries
           server.example.com: type A, class IN
               Name: server.example.com
               Type: A (Host address)
               Class: IN (0x0001)
       Answers
           server.example.com: type A, class IN, addr 192.168.100.10
               Name: server.example.com
               Type: A (Host address)
               Class: IN (0x0001)
               Time to live: 1 hour
               Data length: 4
               Addr: 192.168.100.10
   
   !--- 172.20.1.10 has been rewritten to be 192.168.100.10.
   
   

5. На этом этапе клиент пытается обратиться к серверу WWW по адресу 192.168.100.10. Соединение устанавливается. Трафик не перехватывается в ASA, так как клиент и сервер находятся в одной подсети.

Окончательная конфигурация с ключевым словом «dns»

Это окончательная конфигурация ASA для выполнения исправления DNS с ключевым словом dns и двумя интерфейсами NAT.

ciscoasa(config)#show running-config
: Saved
:
ASA Version 7.2(1)
!
hostname ciscoasa
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.20.1.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.100.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

access-list OUTSIDE extended permit tcp any host 172.20.1.10 eq www

!--- Simple access-list that permits HTTP access to the mapped !--- address of the WWW server.

pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
asdm image disk0:/asdm512-k8.bin
no asdm history enable
arp timeout 14400

global (outside) 1 interface
nat (inside) 1 192.168.100.0 255.255.255.0
static (inside,outside) 172.20.1.10 192.168.100.10 netmask 255.255.255.255 dns

!--- PAT and static NAT configuration. The DNS keyword instructs !--- the security appliance to rewrite DNS records related to this entry.

access-group OUTSIDE in interface outside

!--- The Access Control List (ACL) that permits HTTP access !--- to the WWW server is applied to the outside interface.

route outside 0.0.0.0 0.0.0.0 172.20.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h423 0:05:00 h325 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username cisco password ffIRPGpDSOJh9YLq encrypted
http server enable
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns MY_DNS_INSPECT_MAP
 parameters
  message-length maximum 512

!--- DNS inspection map.

policy-map global_policy
 class inspection_default
  inspect ftp
  inspect h423 h325
  inspect h423 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect dns MY_DNS_INSPECT_MAP

!--- DNS inspection is enabled using the configured map.

  inspect icmp
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:a4a38088109887c3ceb481efab3dcf32
: end

Альтернативное решение: Прикрепление

Прикрепление со статическим NAT

Внимание: Прикрепление со статическим NAT предусматривает отправку всего трафика между клиентом и сервером WWW через устройство безопасности. Тщательно оцените ожидаемый объем трафика и возможности устройства безопасности, прежде чем применять это решение.

Прикрепление — это процесс, который отправляет трафик обратно на тот интерфейс, с которого он поступил. Эта функция была добавлена в ПО устройств безопасности версии 7.0. Для версий ниже 7.2(1) по крайней мере одна ветвь прикрепленного трафика (входящая или исходящая) обязательно должна быть зашифрована. Начиная с версии 7.2(1) это требование не действует. При использовании версии 7.2(1) обе ветви трафика могут быть незашифрованы.

Прикрепление в сочетании с утверждением NAT static можно использовать для достижения того же эффекта, что и исправление DNS. Этот метод не изменяет содержимое А-записи DNS, которая возвращается от DNS-сервера клиенту. Вместо этого, при использовании прикрепления, например в сценарии, рассматриваемом в этом документе, клиент может использовать для соединения адрес 172.20.1.10, возвращенный DNS-сервером.

Вот как выглядит соответствующая часть конфигурации при использовании прикрепления и статического NAT для достижения эффекта исправления DNS. Команды, выделенные полужирным шрифтом, объясняются более подробно в конце этих выходных данных:

ciscoasa(config)#show run
: Saved
:
ASA Version 7.2(1)
!
hostname ciscoasa

!--- Output suppressed.

same-security-traffic permit intra-interface

!--- Enable hairpinning.

global (outside) 1 interface

!--- Global statement for client access to the Internet.

global (inside) 1 interface

!--- Global statment for hairpinned client access through !--- the security appliance.

nat (inside) 1 192.168.100.0 255.255.255.0

!--- The NAT statement defines which traffic should be natted. !--- The whole inside subnet in this case.

static (inside,outside) 172.20.1.10 192.168.100.10 netmask 255.255.255.255

!--- Static NAT statement mapping the WWW server's real address to a !--- public address on the outside interface.

static (inside,inside) 172.20.1.10 192.168.100.10 netmask 255.255.255.255

!--- Static NAT statment mapping requests for the public IP address of !--- the WWW server that appear on the inside interface to the WWW server's !--- real address of 192.168.100.10.

• same-security-traffic—Эта команда позволяет трафику того же уровня безопасности проходить через устройство безопасности. Ключевые слова permit intra-interface позволяют трафику одного уровня безопасности поступать и исходить с одного и того же интерфейса, таким образом включая прикрепление.

  Примечание. Дополнительные сведения о прикреплении и о команде same-security-traffic см. в разделе трафик одного уровня безопасности.

• global (inside) 1 interface—Весь трафик, проходящий через устройство безопасности, должен пройти через NAT. Эта команда использует адрес внутреннего интерфейса устройства безопасности, чтобы позволить трафику, поступающему на внутренний интерфейс, пройти через PAT, как бы прикрепляя его снаружи внутреннего интерфейса.

• static (inside,inside) 172.20.1.10 192.168.100.10 netmask 255.255.255.255—Эта статическая запись NAT создает второе сопоставление для публичного IP-адреса сервера WWW. Однако, в отличие от первой статической записи NAT, на этот раз адрес 172.20.1.10 сопоставляется внутреннему интерфейсу устройства безопасности. Это позволяет устройству безопасности отвечать на запросы, которые оно получает для этого адреса на внутренний интерфейс. Затем устройство безопасности перенаправляет эти запросы на реальный адрес сервера WWW через себя.

Чтобы настроить прикрепление со статическим NAT в ASDM, выполните следующие действия:

1. Перейдите на Configuration > Interfaces.

2. В нижней части окна установите флажок Enable traffic between two or more hosts connected to the same interface.

3. Нажмите кнопку Apply.

4. Перейдите на Configuration > NAT и выберите Add > Add Static NAT Rule….

5. Введите данные конфигурации для нового статического преобразования.

   1. Заполните область Real Address данными сервера WWW.

   2. Заполните область Static Translation данными адреса и интерфейса, которые необходимо сопоставить серверу WWW.

   В этом случае внутренний интерфейс выбирается так, чтобы разрешить узлам на внутреннем интерфейсе обращаться к серверу WWW через сопоставленный адрес 172.20.1.10.

6. Нажмите OK, чтобы покинуть окно «Add Static NAT Rule» (Добавление статического правила NAT).

7. Выберите существующее динамическое преобразование PAT и нажмите Edit.

8. Выберите inside из выпадающего меню Interface (Интерфейс).

9. Нажмите Add.

10. Выберите переключатель Port Address Translation (PAT) using IP address of the interface. Нажмите Add.

11. Нажмите OK, чтобы покинуть окно «Add Global Address Pool» (Добавление глобального пула адресов). Нажмите OK, чтобы покинуть окно «Edit Dynamic NAT Rule» (Изменение динамического правила NAT). Нажмите Apply, чтобы отправить конфигурацию на устройство безопасности.

Вот последовательность событий, которые происходят, когда настроено прикрепление. Предположим, что клиент уже запросил DNS-сервер и получил ответ в виде адреса 172.20.1.10 для сервера WWW:

1. Клиент пытается обратиться к серверу WWW по адресу 172.20.1.10.

   %ASA-7-609001: Built local-host inside:192.168.100.2

2. Устройство безопасности принимает запрос и определяет, что сервер WWW находится по адресу 192.168.100.10.

   %ASA-7-609001: Built local-host inside:192.168.100.10

3. Устройство безопасности создает динамическое преобразование PAT для клиента. Источником клиентского трафика теперь является внутренний интерфейс устройства безопасности: 192.168.100.1.

   %ASA-6-305011: Built dynamic TCP translation from inside:192.168.100.2/11012 to 
   inside:192.168.100.1/1026
   

4. Устройство безопасности создает TCP-соединение между клиентом и сервером WWW через себя. Обратите внимание на сопоставленные адреса узлов в скобках.

   %ASA-6-302013: Built inbound TCP connection 67399 for inside:192.168.100.2/11012 
   (192.168.100.1/1026) to inside:192.168.100.10/80 (172.20.1.10/80)
   

5. Команда show xlate на устройстве безопасности проверяет, что клиентский трафик преобразуется через устройство безопасности.

   ciscoasa(config)#show xlate
   3 in use, 9 most used
   Global 172.20.1.10 Local 192.168.100.10
   Global 172.20.1.10 Local 192.168.100.10
   PAT Global 192.168.100.1(1027) Local 192.168.100.2(11013)
   

6. Команда show conn на устройстве безопасности проверяет, что соединение между устройством безопасности и сервером WWW установлено от имени клиента. Обратите внимание на реальный адрес клиента в скобках.

   ciscoasa#show conn
   TCP out 192.168.100.1(192.168.100.2):11019 in 192.168.100.10:80 
   idle 0:00:03 bytes 1120 flags UIOB

Окончательная конфигурация с прикреплением и статическим NAT

Это окончательная конфигурация ASA, которая использует прикрепление и статический NAT для достижения эффекта исправления DNS с двумя интерфейсами NAT.

ciscoasa(config-if)#show running-config
: Saved
:
ASA Version 7.2(1)
!
hostname ciscoasa
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.20.1.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.100.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit intra-interface
access-list OUTSIDE extended permit tcp any host 172.20.1.10 eq www

!--- Simple access-list that permits HTTP access to the mapped !--- address of the WWW server.

pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
asdm image disk0:/asdm512-k8.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface

!--- Global statement for client access to the Internet.

global (inside) 1 interface

!--- Global statment for hairpinned client access through !--- the security appliance.

nat (inside) 1 192.168.100.0 255.255.255.0

!--- The NAT statement defines which traffic should be natted. !--- The whole inside subnet in this case.

static (inside,outside) 172.20.1.10 192.168.100.10 netmask 255.255.255.255

!--- Static NAT statement mapping the WWW server's real address to a public !--- address on the outside interface.

static (inside,inside) 172.20.1.10 192.168.100.10 netmask 255.255.255.255

!--- Static NAT statement mapping requests for the public IP address of the !--- WWW server that appear on the inside interface to the WWW server's real address !--- of 192.168.100.10.

access-group OUTSIDE in interface outside

!--- The ACL that permits HTTP access to the WWW server is applied !--- to the outside interface.

route outside 0.0.0.0 0.0.0.0 172.20.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h423 0:05:00 h325 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username cisco password ffIRPGpDSOJh9YLq encrypted
http server enable
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns MY_DNS_INSPECT_MAP
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect ftp
  inspect h423 h325
  inspect h423 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect dns MY_DNS_INSPECT_MAP
  inspect icmp
policy-map type inspect dns migrated_dns_map_1
 parameters
  message-length maximum 512
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:7c9b4e3aff085ba90ee194e079111e1d
: end

Чтобы включить проверку DNS (если она была отключена ранее), выполните следующие действия. В этом примере проверка DNS добавляется в глобальную политику проверки по умолчанию, которая применяется глобально командой service-policy, как при начале работы ASA с конфигурацией по умолчанию. Дополнительные сведения о служебных политиках и проверке см. в разделе Использование модульной системы политик.

1. Создайте карту политик проверки для DNS.

   ciscoasa(config)#policy-map type inspect dns MY_DNS_INSPECT_MAP
   

2. Из режима настройки карты политик войдите в режим настройки параметров, чтобы задать параметры для механизма проверки.

   ciscoasa(config-pmap)#parameters
   

3. В режиме настройки параметров карты политик задайте для максимальной длины сообщения DNS значение 512.

   ciscoasa(config-pmap-p)#message-length maximum 512
   

4. Выйдите из режима настройки параметров карты политик и из режима настройки карты политик.

   ciscoasa(config-pmap-p)#exit
   ciscoasa(config-pmap)#exit
   

5. Подтвердите создание карты политик проверки.

   ciscoasa(config)#show run policy-map type inspect dns
   !
   policy-map type inspect dns MY_DNS_INSPECT_MAP
    parameters
     message-length maximum 512
   !

6. Войдите в режим настройки карты политик для global_policy.

   ciscoasa(config)#policy-map global_policy
   ciscoasa(config-pmap)#

7. В режиме настройки карты политик задайте карту класса уровней 3/4 по умолчанию, inspection_default.

   ciscoasa(config-pmap)#class inspection_default
   ciscoasa(config-pmap-c)#

8. В режиме настройки класса карты политик укажите, что DNS должен проверяться с помощью карты политик проверки, созданной на шагах 1-3.

   ciscoasa(config-pmap-c)#inspect dns MY_DNS_INSPECT_MAP
   

9. Выйдите из режима настройки класса карты политик и из режима настройки карты политик.

   ciscoasa(config-pmap-c)#exit
   ciscoasa(config-pmap)#exit
   

10. Убедитесь, что карта политик global_policy настроена как требуется.

    ciscoasa(config)#show run policy-map
    !
    
    !--- The configured DNS inspection policy map.
    
    policy-map type inspect dns MY_DNS_INSPECT_MAP
     parameters
      message-length maximum 512
    policy-map global_policy
     class inspection_default
      inspect ftp
      inspect h423 h325
      inspect h423 ras
      inspect rsh
      inspect rtsp
      inspect esmtp
      inspect sqlnet
      inspect skinny
      inspect sunrpc
      inspect xdmcp
      inspect sip
      inspect netbios
      inspect tftp
      inspect dns MY_DNS_INSPECT_MAP
    
    !--- DNS application inspection enabled.
    
    !

11. Убедитесь, что политика global_policy применяется глобально служебной политикой.

    ciscoasa(config)#show run service-policy
    service-policy global_policy global

Выполните команду split-dns в режиме настройки групповой политики, чтобы ввести список доменов, разрешающихся через раздельные туннели. Используйте форму no этой команды, чтобы удалить список.

Если списки доменов раздельного туннелирования отсутствуют, пользователи наследуют списки, существующие в групповой политике по умолчанию. Выполните команду split-dns none, чтобы предотвратить наследование списков доменов раздельного туннелирования.

Для разделения записей в списке доменов используйте одиночные пробелы. Число записей не ограничено, но длина всей строки не может превышать 255 символов. Можно использовать только алфавитно-цифровые символы, дефисы (-) и точки (.). Команда no split-dns, при использовании без аргументов, удаляет все текущие значения, включая нулевые значения, созданные при выполнении команды split-dns none.

В этом примере показано, как настроить домены Domain1, Domain2, Domain3 и Domain4, чтобы они разрешались через раздельное туннелирование для групповой политики с именем FirstGroup:

hostname(config)#group-policy FirstGroup attributes
hostname(config-group-policy)#split-dns value Domain1 Domain2 Domain3 Domain4

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Интерпретатор выходных данных – OIT (только для зарегистрированных пользователей) поддерживает ряд команд show. Посредством OIT можно анализировать выходные данные команд show.

Захват трафика DNS

Одним из методов проверки правильной перезаписи записей DNS устройством безопасности является захват соответствующих пакетов, как рассматривалось в предыдущем примере. Для захвата трафика на ASA выполните следующие действия:

1. Создайте список доступа для каждого экземпляра захвата, который планируется создать.

   ACL должен задавать трафик, который планируется захватывать. В этом примере создаются два ACL.

2. Создайте экземпляры захвата:

   ciscoasa#capture DNSOUTSIDE access-list DNSOUTCAP interface outside
   
   !--- This capture collects traffic on the outside interface that matches !--- the ACL DNSOUTCAP.
   
   ciscoasa#capture DNSINSIDE access-list DNSINCAP interface inside
   
   !--- This capture collects traffic on the inside interface that matches !--- the ACL DNSINCAP.
   
   

3. Просмотрите захваты.

   Вот как должны выглядеть примеры захватов после прохождения DNS-трафика:

   ciscoasa#show capture DNSOUTSIDE
   2 packets captured
      1: 14:07:21.347195 172.20.1.2.1025 > 172.22.1.161.53:  udp 36
      2: 14:07:21.352093 172.22.1.161.53 > 172.20.1.2.1025:  udp 93
   2 packets shown
   ciscoasa#show capture DNSINSIDE
   2 packets captured
      1: 14:07:21.346951 192.168.100.2.57225 > 172.22.1.161.53:  udp 36
      2: 14:07:21.352124 172.22.1.161.53 > 192.168.100.2.57225:  udp 93
   2 packets shown

4. (Необязательно) Скопируйте захваты на сервер TFTP в формате pcap для анализа в другом приложении.

   Приложения, которые могут анализировать формат pcap, могут показывать дополнительные данные, например имя и IP-адрес в А-записях DNS.

   ciscoasa#copy /pcap capture:DNSINSIDE tftp
   ...
   ciscoasa#copy /pcap capture:DNSOUTSIDE tftp
   

В этом разделе описывается процесс устранения неполадок конфигурации.

Перезапись DNS не выполняется

Убедитесь, что на сутройстве безопасности настроена проверка DNS. См. раздел Настройка проверки DNS.

Создание преобразования не выполняется

Причиной невозможности создания соединения между клиентом и сервером WWW может быть неправильная конфигурация NAT. Проверьте журналы устройства безопасности на предмет сообщений, показывающих, что протокол не может создать преобразование через устройство безопасности. При наличии таких сообщений убедитесь, что NAT настроен на требуемый трафик и все адреса правильные.

%ASA-3-305006: portmap translation creation failed for tcp src 
inside:192.168.100.2/11000 dst dmz:10.10.10.10/23

Сброс отклика UDP DNS

При сбросе пакета DNS возможно получение следующего сообщения об ошибке:

 %PIX|ASA-4-410001: UDP DNS request from source_interface:source_address/source_port 
to dest_interface:dest_address/dest_port; (label length | domain-name length) 
52 bytes exceeds remaining packet length of 44 bytes.

Чтобы решить эту проблему, увеличьте длину пакета DNS в диапазоне 512-65535.

Пример:

ciscoasa(config)#policy-map type inspect dns MY_DNS_INSPECT_MAP 
ciscoasa(config-pmap)#parameters 
ciscoasa(config-pmap-p)#message-length maximum <512-65535>

Список лучших бесплатных публичных DNS с результатами тестирования

В этой статье список известных мне бесплатных публичных DNS. Полезная информация для тех кто не любит использовать DNS серверы от провайдера. Адреса IPv4.

Бесплатные DNS от Cloudflare

Компания Cloudflare недавно представила бесплатные публичные DNS:

1. Первичный — 1.1.1.1
2. Вторичный — 1.0.0.1

Обещают, что они очень быстрые и частенько обгоняют классику от Google.

Бесплатные DNS от Google

Эти адреса должен знать наизусть каждый:

1. Первичный — 8.8.8.8
2. Вторичный — 8.8.4.4

Бесплатные DNS от Яндекс

В России DNS серверы от Яндекс у многих пользователей работают быстрее чем Google DNS:

1. Первичный — 77.88.8.8
2. Вторичный — 77.88.8.1

Бесплатные OpenDNS от Cisco

OpenDNS теперь часть мирового лидера по производству маршрутизаторов CISCO:

1. Первичный — 208.67.222.222
2. Вторичный — 208.67.220.220

Бесплатные и безопасные DNS от Quad9

Quad9-это бесплатная, рекурсивная, платформа DNS, которая обеспечивает конечным пользователям надежную защиту безопасности, высокую производительность и конфиденциальность:

1. Первичный — 9.9.9.9
2. Вторичный — 149.112.112.112

Бесплатные и безопасные DNS от Neustar

Бесплатная Рекурсивная служба DNS, которая позволяет пользователям получать более надежный, быстрый и безопасный доступ в интернет:

1. Первичный — 156.154.70.5
2. Вторичный — 156.154.71.5

Бесплатные и безопасные DNS от Norton

Известная софтверная компания предлагает свои безопасные DNS:

1. Первичный — 199.85.126.10
2. Вторичный — 199.85.127.10

Бесплатные DNS от Verisign

Сервис работает под девизом: бесплатные DNS, которые уважают вашу конфиденциальность:

1. Первичный — 64.6.64.6
2. Вторичный — 64.6.65.6

Бесплатные DNS от Comodo

Еще один софтверный гигант предлагает бесплатные DNS:

1. Первичный — 8.26.56.26
2. Вторичный — 8.20.247.20

Какой DNS сервер самый лучший

Лучший тот, который быстрый. Абсолютного лидера нет. В каждой точке на планете свой чемпион. Не будем полагаться на всякого рода предположения и замерим скорость работы описанных в статье бесплатных DNS сервисов с помощью специального ПО Domain Name Speed Benchmark — https://www.grc.com/DNS/benchmark.htm.

Результаты для Волгограда и провайдера Билайн выглядят так:

И в подтверждение ручная проверка:

Величина ping Google DNS

ping 8.8.8.8

Обмен пакетами с 8.8.8.8 по с 32 байтами данных:
Ответ от 8.8.8.8: число байт=32 время=29мс TTL=54
Ответ от 8.8.8.8: число байт=32 время=28мс TTL=54
Ответ от 8.8.8.8: число байт=32 время=30мс TTL=54
Ответ от 8.8.8.8: число байт=32 время=28мс TTL=54

Статистика Ping для 8.8.8.8:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 28мсек, Максимальное = 30 мсек, Среднее = 28 мсек

Значение ping Yandex DNS

ping 77.88.8.8

Обмен пакетами с 77.88.8.8 по с 32 байтами данных:
Ответ от 77.88.8.8: число байт=32 время=36мс TTL=50
Ответ от 77.88.8.8: число байт=32 время=38мс TTL=50
Ответ от 77.88.8.8: число байт=32 время=37мс TTL=50
Ответ от 77.88.8.8: число байт=32 время=37мс TTL=50

Статистика Ping для 77.88.8.8:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 36мсек, Максимальное = 38 мсек, Среднее = 37 мсек

Какой DNS сервер выбрать

У меня DNS от Google оказался самым быстрым. На втором почетном месте DNS от Яндекса. Про остальные в моем случае знать следует, но использовать нецелесообразно.

Но вам, конечно, нужно провести собственное исследование, а не опираться на мои данные.

Как настроить компьютер на использование стороннего DNS

Ранее я писал о безопасном интернете для детей https://moonback.ru/page/secure-dns#newdnsonpc. В той статье отличная инструкция как настроить компьютер для использования альтернативных DNS серверов.

Благодарности

При написании статьи были использованы следующие источники:

1. https://habrahabr.ru/post/352654/
2. 1.1.1.1 — the Internet`s Fastest, Privacy-First DNS Resolver
3. https://developers.google.com/speed/public-dns/
4. https://dns.yandex.ru/
5. https://www.opendns.com/setupguide/
6. https://www.quad9.net/microsoft/
7. https://www.security.neustar/dns-services/free-recursive-dns-service
8. https://connectsafe.norton.com/configurePC.html
9. http://www.verisign.com/en_US/security-services/public-dns/index.xhtml
10. https://www.comodo.com/secure-dns/

DNS-серверы в РФ

[решено] Очень подозрительный трафик с внутренних серверов в Россию — IT Security

Сначала немного информации о нашей среде

• VMware 5.5 с 3 хостами и внутренним SAN — Все Dell
• Все серверы под управлением Server 2008R2 исправлены с помощью WSUS
• Брандмауэр SonicWALL NSA 250

Проходя свой ежемесячный обзор всего трафика, я обнаружил в своих журналах очень подозрительную активность, которую я просто не могу понять.У нас есть несколько серверов, которые пытаются отправлять данные в Россию. Затем я более внимательно посмотрел на каждый из серверов и заметил некоторые вещи, которые указывают на какое-то заражение.

• Использование ЦП VMWare резко увеличилось без каких-либо серьезных изменений на сервере.

• SonicWALL обнаруживает трафик на / с нескольких серверов в / из России. IP-адрес меняется, но всегда кажется, что это одна и та же группа адресов.Я добавил правило блокировки для всего трафика в Россию, но это не решает проблему.

• Wireshark обнаруживает трафик как запрос DNS для определенных записей A. Похоже, что запросы исходят от ОС, а не от какого-либо мошеннического приложения.

• Начались сбои автоматических обновлений — наши ежемесячные исправления перестают работать на большинстве серверов, отправляющих трафик. Я нашел код ошибки (извините, не могу вспомнить, что это было), и он чаще всего ассоциируется с компьютерным вирусом.

Что-то определенно происходит в моем окружении, но до сих пор обычные шаги по исправлению ситуации не принесли никаких результатов.

• Антивирусное сканирование — мы используем Trend Worry Free, и он не обнаружил ничего странного, исходящего с сервера. Выполнено полное сканирование системы без результатов
• Combofix — ничего не обнаружено
• Malwarebytes & Root kit — ничего не обнаружено
• Проверенные запущенные процессы — все системные процессы проверяются с помощью Process Explorer.VirusTotal и проверенная подпись подходят.
• Netstat -bo — я не вижу каких-либо странных незаконных соединений.

Если бы это был рабочий стол, моим следующим шагом было бы загрузить его с помощью Kaspersky и выполнить сканирование. Я немного не решаюсь сделать это, поскольку один из серверов, демонстрирующих признаки заражения, — это наш сервер Exchange.

Будет ли у кого-нибудь еще какие-нибудь предметы, которые я могу попробовать, или места, где я могу поискать, были бы очень признательны.

Хабанеро

OP

Если сервер обмена настроен на обратный DNS-поиск входящих сообщений или проверку любых черных списков URL-адресов — я бы ожидал, что он будет делать некоторые DNS-запросы к российским NS-серверам.Обратите внимание, что поисковые запросы на вашем снимке экрана wirehark относятся ко всем NS-серверам, а не к отдельным зарегистрированным доменам, заканчивающимся на .ru, что может быть более показательным для активности шпионского / вредоносного ПО / вирусов.

Я думаю, это могло бы быть безобидно. Хотя, если вы американская компания, у которой мало / нет деловых отношений с Россией, стоит посмотреть, почему вы получаете так много спама с российских IP-адресов или со ссылками на российские сайты — вы можете рассматривать блокировку geoIP как правило брандмауэра Windows. , Просто чтобы ограничить входящий трафик на ваш SMTP-сервер (порт 25).

Я думаю, что это не вирус / вредоносная программа на машине, но ваша машина просто усерднее работает, чтобы отфильтровать поток входящих сообщений.

Лично я бы проверил, что все ваши серверы используют только ваши внутренние серверы AD для DNS и перенаправляют их на заведомо исправный DNS-сервер (либо ваш интернет-провайдер, либо Google DNS).

Отличная идея — заблокировать UDP / TCP 53 и 5353 (исходящие, все они для DNS) от всего, кроме ваших внутренних DNS-серверов AD.Затем вы можете также подумать о создании фиктивной зоны для .ru, чтобы ничего не разрешалось для этого TLD.

Что такое DNS? Определение и принцип работы DNS

FortiGate можно настроить как DNS-сервер, что дает пользователям значительные преимущества. Например, если в организации есть веб-сервер в своих внешних сервисах, к которому имеют доступ сотрудники и пользователи за пределами компании, FortiGate можно использовать для кэширования запросов. Когда пользователи внутри компании переходят на веб-сайт, их запросы к сайту отправляются на DNS-сервер в Интернете.Затем этот сервер отправляет обратно либо IP-адрес, либо виртуальный IP-адрес. После того, как компания настроит внутренний DNS-сервер с помощью FortiGate, этот запрос будет разрешен внутри с использованием внутреннего IP-адреса веб-сервера. Таким образом, уменьшается как входящий, так и исходящий трафик, а это значит, что на то, чтобы добраться до сайта, требуется меньше времени.

FortiGate также может выступать в качестве вторичного DNS-сервера. Для этого FortiGate связывается с внешним источником и использует его для получения информации об URL-адресе и IP-адресе.Если крупная компания с несколькими вспомогательными офисами хочет оптимизировать производительность своей сети, они могут использовать FortiGate таким образом. Основной сервер компании может использоваться для ведения списка доступных сайтов. Дополнительные офисы могут использовать FortiGate в качестве вторичного сервера для подключения к первичному DNS-серверу и получения необходимых IP-адресов.

FortiGate также предлагает защиту от DNS-туннелирования — типа кибератак, когда данные других программ или протоколов кодируются в DNS-запросах и ответах.Это дает злоумышленникам возможность передавать украденную информацию или вставлять вредоносное ПО в запросы DNS. DNS-туннелирование также может использоваться для скрытого общения и проскальзывания через брандмауэры. Решение FortiGate DNS защищает организацию от киберпреступников, стремящихся использовать DNS-туннелирование в своих интересах.

Система доменных имен (DNS) превращает доменные имена в IP-адреса, которые позволяют браузерам получать доступ к веб-сайтам и другим интернет-ресурсам. У каждого устройства в Интернете есть IP-адрес, который другие устройства могут использовать для поиска устройства.Вместо того, чтобы запоминать длинный список IP-адресов, люди могут просто ввести имя веб-сайта, и DNS получит для них IP-адрес.

Примером DNS является тот, который предоставляется Google. Адрес основного DNS-сервера Google — 8.8.8.8.

На компьютере с Windows вы можете найти свой DNS, перейдя в командную строку, набрав «ipconfig / all» и нажав Enter.

Существует четыре типа DNS: рекурсивные преобразователи, корневые серверы имен, серверы имен TLD и полномочные серверы имен.

Да, смена DNS не представляет никаких опасностей.

Да, частный DNS может предложить вам повышенную безопасность по сравнению с другими вариантами DNS.

известных DNS-провайдеров | База знаний AdGuard

Пользователи AdGuard могут настроить любой DNS-сервер, который будет использоваться вместо системного сервера по умолчанию, предоставляемого маршрутизатором или интернет-провайдером. В этой статье вы найдете список популярных DNS-провайдеров.

AdGuard DNS

AdGuard DNS — альтернативное решение для блокировки рекламы, защиты конфиденциальности и родительского контроля.Он предоставляет ряд необходимых функций защиты от онлайн-рекламы, трекеров и фишинга, независимо от того, какую платформу и устройство вы используете.

По умолчанию

Эти серверы обеспечивают блокировку рекламы, отслеживание и фишинг.

Защита семьи

Эти серверы предоставляют функции по умолчанию + Блокировка веб-сайтов для взрослых + Безопасный поиск

Без фильтрации

Эти серверы обеспечивают безопасное и надежное соединение, но они не фильтруют ничего вроде серверов «По умолчанию» и «Семейной защиты».

Яндекс DNS

Яндекс.DNS — бесплатный рекурсивный DNS-сервис. Серверы Яндекс.DNS расположены в России, странах СНГ и Западной Европы. Запросы пользователей обрабатываются ближайшим дата-центром, который обеспечивает высокую скорость соединения.

Базовый

В режиме «Базовый» нет фильтрации трафика.

Сейф

В «Безопасном» режиме предусмотрена защита от зараженных и мошеннических сайтов.

Семья

В режиме «Семейный» предусмотрена защита от зараженных, мошеннических и взрослых сайтов.

Очистить

Cleanbrowsing — это служба DNS, которая обеспечивает настраиваемую фильтрацию.Эта служба предлагает безопасный способ просмотра веб-страниц без неприемлемого содержания.

Семейный фильтр

Блокирует доступ ко всем сайтам для взрослых, порнографическим и откровенным сайтам, включая прокси и VPN-домены, а также сайты со смешанным содержанием.

Фильтр для взрослых

Менее строгий, чем семейный фильтр, он блокирует доступ только к контенту для взрослых, а также к вредоносным и фишинговым доменам.

Защитный фильтр

Блокирует фишинг, спам и вредоносные домены

Comodo Secure DNS

Comodo Secure DNS — это служба разрешения доменных имен, которая разрешает ваши DNS-запросы через всемирную сеть DNS-серверов.Удаляет лишнюю рекламу и защищает от фишинга и шпионского ПО.

Рекурсивный DNS Neustar

Neustar Recursive DNS — это бесплатная облачная рекурсивная служба DNS, которая обеспечивает быстрый и надежный доступ к сайтам и онлайн-приложениям со встроенными функциями безопасности и анализа угроз.

Надежность и производительность 1

Эти серверы обеспечивают надежный и быстрый поиск DNS без блокировки каких-либо определенных категорий.

Надежность и производительность 2 *

Эти серверы обеспечивают надежный и быстрый поиск DNS без блокировки каких-либо определенных категорий, а также предотвращают перенаправление ответов NXDomain (несуществующий домен) на целевую страницу

Защита от угроз

Эти серверы обеспечивают защиту от вредоносных доменов, а также включают функции «Надежность и производительность».

Семейная безопасность

Эти серверы обеспечивают блокировку доступа к зрелому контенту, а также включают функции «Надежность и производительность» + «Защита от угроз».

Безопасность бизнеса

Эти серверы обеспечивают блокировку нежелательного и отнимающего много времени контента, а также включают функции «Надежность и производительность» + «Защита от угроз» + «Семейная безопасность».

Cisco OpenDNS

Cisco OpenDNS — это служба, расширяющая DNS за счет включения таких функций, как фильтрация содержимого и защита от фишинга с нулевым временем простоя.

Стандартный

DNS-серверы с настраиваемой фильтрацией, защищающей ваше устройство от вредоносных программ

FamilyShield

Серверы OpenDNS, обеспечивающие блокировку контента для взрослых

Google DNS

Google DNS — это бесплатная глобальная служба разрешения DNS, которую вы можете использовать в качестве альтернативы вашему текущему провайдеру DNS.

Cloudflare DNS

Cloudflare DNS — это бесплатная и быстрая служба DNS, которая функционирует как рекурсивный сервер имен, обеспечивающий разрешение доменных имен для любого хоста в Интернете.

Стандартный

Только блокировка вредоносных программ

Блокировка вредоносного ПО и контента для взрослых

Quad9 DNS

Quad9 DNS — это бесплатная рекурсивная платформа DNS с произвольным доступом, которая обеспечивает высокую производительность, конфиденциальность и защиту от фишинга и шпионского ПО. Серверы Quad9 не имеют компонента цензуры.

Стандартный

Обычные DNS-серверы, обеспечивающие защиту от фишинга и шпионского ПО. Он включает черный список, проверку DNSSEC и другие функции безопасности.

Необеспеченный

Небезопасные DNS-серверы не предоставляют черный список безопасности, нет DNSSEC, нет клиентской подсети EDNS

Поддержка ECS

Клиент-подсеть EDNS — это метод, который включает компоненты данных IP-адреса конечного пользователя в запросы, отправляемые на полномочные DNS-серверы. Он обеспечивает черный список безопасности, DNSSEC, клиент-подсеть EDNS.

Общедоступный DNS Verisign

Verisign Public DNS — это бесплатная служба DNS, которая предлагает улучшенную стабильность и безопасность DNS по сравнению с другими альтернативами. Verisign уважает конфиденциальность пользователей: она не продает общедоступные данные DNS третьим лицам и не перенаправляет запросы пользователей для показа им рекламы.

ПЕРЕКЛЮЧАТЕЛЬ DNS

SWITCH DNS — это общедоступная служба DNS в Швейцарии, предоставляемая switch.ch

Dyn DNS

Dyn DNS — это бесплатный альтернативный DNS-сервис от Dyn

DNS.ЧАСЫ

DNS.WATCH — это быстрый и бесплатный сервер без регистрации с функцией защиты конфиденциальности.

SkyDNS RU

Решения SkyDNS для фильтрации контента и интернет-безопасности.

Comss.ru DNS

Comss.one DNS — это быстрый и безопасный DNS-сервер с защитой от рекламы, отслеживания и фишинга.

Западный DNS-сервер (основной)

Восточный DNS-сервер (Сибирь и Дальний Восток)

Безопасный DNS

Safe DNS — это глобальная сеть Anycast, состоящая из серверов, расположенных по всему миру — в Северной и Южной Америке, Европе, Африке, Австралии и на Дальнем Востоке, чтобы обеспечить быстрое и надежное разрешение DNS из любой точки мира.

CIRA Канадский щит DNS

CIRA Shield DNS защищает от кражи личных и финансовых данных. Держите подальше от дома вирусы, программы-вымогатели и другие вредоносные программы.

Частный

В «частном» режиме только разрешение DNS.

Защищено

В «Защищенном» режиме защита от вредоносных программ и фишинга

Семья

В «Семейном» режиме: Защищенный + блокировка контента только для взрослых

OpenNIC DNS

OpenNIC DNS — это бесплатный альтернативный DNS-сервис от OpenNIC Project

BlahDNS

BlahDNS Небольшой проект DNS для хобби.Нет журналов, Ethereum Name Service, DNSSEC готовая и отфильтрованная реклама, трекеры, вредоносные программы

Финляндия DNS-сервер

DNS-сервер Японии

Германия DNS-сервер

Снопыта DNS

Snopyta DNS — это безопасный для конфиденциальности DNS-сервис, управляемый Ноа Зеефридом.

DNS для семьи

DNS for Family направлена ​​на блокировку веб-сайтов, которые считаются предназначенными для взрослых.Это помогает детям и всем безопасно пользоваться Интернетом, не беспокоясь о переходе на вредоносные веб-сайты.

CZ.Сетевая карта ODVR

CZ.NIC ODVR CZ.NIC ODVR — это открытые проверяющие решатели DNSSEC. CZ.NIC не собирает никаких личных данных и не собирает информацию на страницах, куда устройства отправляют личные данные.

Али DNS

Ali DNS — это бесплатная рекурсивная служба DNS, которая обеспечивает быстрое, стабильное и безопасное разрешение DNS для большинства пользователей Интернета. Он включает средство AliGuard для защиты пользователей от различных атак и угроз.

Общедоступный DNS CFIEC

Anycast DNS-сервис на основе IPv6 с мощными возможностями безопасности и защитой от шпионского ПО и вредоносных веб-сайтов.Он поддерживает DNS64, чтобы обеспечить разрешение доменных имен только для пользователей IPv6.

Nawala Защита от детей DNS

Nawala Childprotection DNS — это система фильтрации Интернета, которая защищает детей от неприемлемых веб-сайтов и оскорбительного содержания.

DNSCEPAT

DNSCEPAT DNS создан для обеспечения безопасности, конфиденциальности и быстрого подключения.

Азиатский DNS-сервер

DNS-сервер Eropa

360 Безопасный DNS

360 Secure DNS — это ведущая в отрасли рекурсивная служба DNS с расширенной защитой от угроз сетевой безопасности.

IIJ.JP DNS

IIJ.JP — это общедоступная служба DNS, управляемая японской интернет-инициативой. Он также блокирует материалы о жестоком обращении с детьми.

DNSPod Общедоступный DNS +

DNSPod Public DNS + — это провайдер DNS, обеспечивающий конфиденциальность, с многолетним опытом разработки сервисов разрешения доменных имен, он направлен на предоставление пользователям более быстрого, точного и стабильного сервиса рекурсивного разрешения.

114DNS

114DNS — это профессиональный высоконадежный DNS-сервис.

нормальный

Блокировать рекламу и надоедливые сайты

Сейф

Блокировать фишинговые, вредоносные и другие небезопасные веб-сайты

Семья

Эти серверы блокируют веб-сайты для взрослых и недопустимое содержимое.

Quad101

Quad101 — бесплатная альтернативная служба DNS без регистрации TWNIC (Тайваньский сетевой информационный центр)

OneDNS

OneDNS — это безопасный, быстрый и бесплатный нишевый DNS-сервис с функцией блокировки вредоносных доменов.

Чистое издание

Block Edition

DNS с приоритетом конфиденциальности

Privacy-First DNS блокирует более 140 000 объявлений, отслеживание рекламы, вредоносное ПО и домены для фишинга !.Без регистрации, без ECS, проверка DNSSEC, бесплатно!

Сингапурский DNS-сервер

DNS-сервер Японии

FreeDNS

FreeDNS — это открытая, бесплатная и общедоступная служба DNS, предоставляемая облачными службами Virtexxa. Без перенаправлений DNS, без регистрации.

Мир Freenom

Freenom World — это бесплатный анонимный DNS-преобразователь от Freenom World

OSZX DNS

OSZX DNS — это небольшой хобби-проект по блокировке рекламы DNS.

Сервер OSZX

Эти серверы обеспечивают блокировку рекламы, не ведут журналы и поддерживают DNSSEC.

Сервер PumpleX

Эти серверы не предоставляют блокирующую рекламу, не ведут журналы и поддерживают DNSSEC.

Прикладная конфиденциальность DNS

Applied Privacy DNS управляет службами конфиденциальности DNS, чтобы помочь защитить DNS-трафик и помочь разнообразить ландшафт DNS-преобразователей, предлагающих современные протоколы.

Strongarm DNS

Strongarm DNS — это служба DNS от Strongarm, которая предотвращает взаимодействие людей с вредоносным контентом.

SafeSurfer DNS

SafeSurfer DNS — это служба DNS от SafeSurfer, которая защищает ваше устройство от вредоносного содержимого и содержимого для взрослых.

DeCloudUs DNS

DeCloudUs DNS Безопасный, частный DNS-преобразователь с открытым исходным кодом без журналов, защиты от вредоносных программ и блокировки рекламы.Degoogle и Ungoogle на телефоне, планшете и компьютере.

Люкс DNS

Lelux.fi находится в ведении Элиаса Ояла. Финляндия.

Captnemo DNS

Captnemo DNS — это сервер, работающий в капле Digital Ocean в регионе BLR1. Поддержкой занимается Абхай Рана, он же Немо.

DNS.SB

DNS.SB предоставляет бесплатную службу DNS без ведения журнала, с включенным DNSSEC.

DNS Forge

DNS Forge — это резервный DNS-преобразователь с блокировщиком рекламы и без ведения журнала, предоставляемого adminforge.

Fondation Restena DNS

DNS-серверы Restena, предоставленные Restena Foundation

fvz DNS

fvz DNS — это общедоступный первичный DNS-преобразователь OpenNIC Tier2 Anycast от Fusl

FFMUC DNS

Бесплатные DNS-серверы FFMUC, предоставленные Freifunk München

Digitale Gesellschaft DNS

Digitale Gesellschaft — это общедоступный преобразователь, управляемый Digital Society.Хостинг в Цюрихе, Швейцария

LibreDNS

LibreDNS — это общедоступная зашифрованная DNS-служба, управляемая LibreOps.

ibksturm DNS

Серверы тестирования DNS ibksturm, предоставленные ibksturm. OPENNIC, DNSSEC, без фильтра, без регистрации

Конфиденциальность DNS

Совместный открытый проект по продвижению, внедрению и развертыванию конфиденциальности DNS.

DNS-серверы, запущенные разработчиками Stubby

Другие DNS-серверы с политикой «без ведения журнала»

DNS-серверы с минимальным ведением журнала / ограничениями.Эти серверы используют некоторые журналы, самозаверяющие сертификаты или не поддерживают строгий режим.

PI-DNS

PI-DNS Служба DNS с нулевым протоколированием и блокировкой рекламы, предоставляемая Фредриком Петтерссоном.

DNS-сервер Центральной Европы

DNS-сервер Северной Европы

DNS-сервер в западных США

DNS-сервер Востока США

DNS-сервер Восточной Австралии

DNS-сервер Восточной Азии

PI-DNS в настоящее время обеспечивает конечную точку DoH, доставляемую через CDN Cloudflare.Это можно использовать, если вы не хотите указывать какой-либо конкретный сервер для подключения. Перед использованием этой конечной точки убедитесь, что вы понимаете политику конфиденциальности Cloudflare.

Только эта конечная точка (doh.pi-dns.com) проходит через Cloudflare.

Себи DNS

Seby DNS — это служба DNS, ориентированная на конфиденциальность, предоставляемая Себастьяном Шмидтом.Без ведения журнала, проверка DNSSEC.

DNS-сервер 1

DNS-сервер 2

puntCAT DNS

puntCAT физически расположен недалеко от Барселоны, Испания. puntCAT предлагает бесплатную, безопасную, закрытую общедоступную службу DNS, уважающую вашу конфиденциальность.

DNSlify DNS

DNSlify DNS управляет общедоступными преобразователями DNS для ускорения запросов и увеличения избыточности. Услуга предоставляется Peerix

По умолчанию

Эти серверы обеспечивают восстановление DNS без фильтрации трафика.

Сейф

Безопасный режим защищает от зараженных, мошеннических или бот-сайтов.

Семья

Семейный режим обеспечивает фильтрацию, ориентированную на семью, предлагая защиту «безопасных» резолверов + блокировку сайтов для взрослых.

ДалееDNS

NextDNS предоставляет общедоступные нефильтрованные резолверы без регистрации в дополнение к настраиваемым фильтрующим резолверам freemium с дополнительным ведением журнала.

Нефильтрованное

Переосмысление DNS

RethinkDNS предоставляет службу DNS-over-HTTPS, работающую как Cloudflare Worker, с настраиваемыми черными списками.

Нефильтрованное

ControlD DNS

ControlD — это настраиваемая служба DNS, которую можно использовать для блокировки нежелательных категорий сайтов (например, рекламы или порно), популярных онлайн-сервисов, таких как Facebook или TikTok, или любого домена по вашему выбору.

Нефильтрованное

Блокировать вредоносное ПО

Блокировать вредоносное ПО + рекламу

Блокировать вредоносное ПО + рекламу + социальные сети

Мулвад

Mullvad предоставляет общедоступный DNS с минимизацией QNAME, конечные точки расположены в Австралии, Германии, Сингапуре, Швеции, Великобритании и США (Нью-Йорк и Лос-Анджелес).

Без фильтрации

Блокировка рекламы

Малые персональные преобразователи

В этом разделе мы перечисляем небольшие, в основном персональные преобразователи DNS.У них часто всего один или очень мало серверов, а время безотказной работы хуже, чем у «крупных» провайдеров. Мы не сможем должным образом отслеживать их доступность. Используйте их на свой страх и риск!

Арапураил

Arapurayil — это персональный DNS-сервис, расположенный в Мумбаи, Индия.

Без регистрации | Фильтрует рекламу, трекеры, фишинг и т. Д. | DNSSEC | QNAME Минимизация | Нет клиентской подсети EDNS.

Откройте для себя серверы VPN от CyberGhost VPN

Узнайте больше о нашей обширной сети, состоящей из более чем 7000 VPN-серверов , расположенных в 91 стране

Найдите лучшие VPN-серверы

Не нашли нужные VPN-серверы?
Расскажите нам об этом, и мы постараемся расширить нашу глобальную сеть , чтобы включить его.

Запросить VPN-серверы

Сервер, который вы ищете, еще не является частью нашей глобальной сети CyberGhost VPN.
Но вы можете рассказать нам об этом, и мы постараемся сделать это .

Запросить сервер

Вернуться ко всем VPN-серверам

Сделать запрос к серверу

Вернуться ко всем VPN-серверам

Спасибо! Мы получили ваш запрос.
Наша команда по инфраструктуре приступит к изучению этого вопроса.

Вернуться ко всем VPN-серверам

Узнайте о сети CyberGhost VPN от нашего ведущего архитектора

Все наши VPN-серверы поддерживают несколько протоколов

Не имеет значения, ищете ли вы соединение iKEv2, L2TP / IPsec или OpenVPN, все наши VPN-серверы оптимизированы для их обработки!

Добавьте к этому тот факт, что мы запечатываем ваши данные с помощью протокола шифрования 256-AES, и вы получите самый безопасный опыт работы с VPN.

Подключайтесь к любому из наших серверов VPN с любого устройства

Вы можете пользоваться всеми возможностями нашей глобальной сети VPN-серверов, независимо от того, используете ли вы Windows, macOS, iOS, Android, Smart TV, Linux или даже маршрутизаторы!

А поскольку мы даем вам неограниченное количество переключений между серверами, вы всегда можете скрыть свой IP-адрес и защитить свою цифровую конфиденциальность!

Будьте в безопасности с нашими VPN-серверами, предназначенными для торрентов

С подпиской CyberGhost VPN вы можете получить доступ к нашим VPN-серверам, оптимизированным для безопасных и анонимных операций P2P без ограничений по полосе пропускания.

Наша строгая политика отсутствия журналов гарантирует, что вы будете единственным, кто знает, что вы делаете в Интернете.

Разблокируйте потоковые сервисы с помощью наших специальных серверов VPN

Пришло время максимально эффективно использовать потоковые сервисы и обойти все географические ограничения! Наши современные серверы гарантируют вам доступ ко всем каталогам контента Netflix, BBC, HBO NOW и более 30 других потоковых сервисов!

Кроме того, вы можете использовать наши приложения VPN, чтобы разблокировать веб-сайты или транслировать спортивные передачи!

Выберите наши серверы NoSpy VPN для полной анонимности

Получите максимальную защиту данных с помощью наших независимо управляемых серверов VPN!

Только мы, команда CyberGhost, можем получить доступ, контролировать и управлять серверами NoSpy.Таким образом, мы всегда сможем поддерживать для вас высочайший уровень безопасности!

Получите лучший потоковый VPN: CyberGhost VPN

Есть вопросы?

Хотите больше информации о нашей инфраструктуре VPN-серверов? Ознакомьтесь с разделом часто задаваемых вопросов ниже. Для получения дополнительных указаний вы всегда можете ознакомиться с нашим специальным разделом руководств по настройке или обратиться в нашу службу поддержки клиентов через чат или по электронной почте. Они доступны круглосуточно и без выходных и могут ответить на ваши запросы на английском, французском, немецком или румынском языках.

При использовании CyberGhost в качестве службы VPN по умолчанию переключение между серверами настолько простое, насколько это возможно. Все, что вам нужно сделать, это выбрать нужный сервер из списка и коснуться его или дважды щелкнуть по нему — в зависимости от используемого устройства.

VPN скрывает и заменяет ваш реальный IP-адрес и шифрует весь ваш интернет-трафик. При подключении к VPN-серверу вся ваша активность скрыта от посторонних глаз.

В большинстве стран использование виртуальной частной сети на 100% законно.Однако диктаторские правительства, такие как Россия или Китай, запрещают использование VPN.

Совершенно верно. В эпоху онлайн-наблюдения и нулевой конфиденциальности VPN является важным инструментом, который позволяет вам сопротивляться и сохранять конфиденциальность ваших данных. Неважно, дома ли вы, в кафе или в аэропорту, использование VPN должно стать вашей привычкой, когда вы захотите выйти в Интернет.

VPN всегда должен быть включен. Однако, если вы хотите исключить определенные веб-сайты или службы из безопасного VPN-туннеля, CyberGhost позволяет это сделать, включив опцию раздельного туннелирования.

Выберите план, который вам подходит

* Все суммы указаны в российских рублях.