Что такое Private DNS? Как работает и как настроить

Что такое Private DNS?

Private DNS -- это функция, которая шифрует ваши DNS-запросы, не позволяя никому между вашим устройством и DNS-сервером видеть, какие сайты вы запрашиваете. Она использует протоколы DNS over TLS (DoT) или DNS over HTTPS (DoH), чтобы обернуть ваши запросы в зашифрованный туннель.

Без Private DNS каждое доменное имя, которое вы вводите в браузере, отправляется в открытом виде по интернету. Ваш провайдер, любой пользователь в вашей Wi-Fi-сети и любое промежуточное устройство на пути могут читать и даже изменять эти запросы. Private DNS предотвращает это, шифруя соединение между вашим устройством и DNS-резолвером.

Термин 'Private DNS' чаще всего ассоциируется с настройкой Android, появившейся в Android 9 Pie (2018), однако лежащая в основе технология -- зашифрованный DNS -- доступна на всех основных платформах, включая iOS, Windows, macOS и Linux.

Как работает обычный DNS (и почему это проблема)

Традиционный DNS отправляет запросы в открытом виде с 1987 года. Когда вы вводите доменное имя в браузере, ваше устройство отправляет DNS-запрос через UDP-порт 53 к DNS-резолверу (обычно серверу вашего провайдера). Резолвер отвечает IP-адресом -- все полностью без шифрования.

Это означает, что любой на пути вашего сетевого трафика может видеть каждый домен, который вы посещаете. Ваш провайдер может составить полный профиль просмотров. Злоумышленники в публичном Wi-Fi могут перехватывать ваши запросы. Некоторые провайдеры даже перехватывают DNS-ответы, перенаправляя вас на собственные страницы поиска или рекламы.

DNS также уязвим к атакам отравления кэша и подмены ответов, при которых злоумышленник отправляет поддельные ответы, перенаправляя вас на вредоносные сайты без вашего ведома. В традиционном DNS нет встроенного механизма проверки того, что ответ действительно пришел от настоящего DNS-сервера.

Как работает Private DNS

Private DNS оборачивает ваши DNS-запросы в зашифрованное соединение. Вместо отправки открытого запроса через UDP-порт 53 ваше устройство сначала устанавливает зашифрованную сессию с DNS-резолвером, а затем отправляет запрос через этот безопасный туннель.

DNS-резолвер расшифровывает ваш запрос, преобразует доменное имя в IP-адрес, шифрует ответ и отправляет его обратно. Весь обмен невидим для тех, кто мониторит сеть -- они могут видеть, что вы общаетесь с DNS-сервером, но не могут видеть, какие домены вы запрашиваете.

Сегодня используются три протокола зашифрованного DNS: DNS over TLS (DoT), DNS over HTTPS (DoH) и DNS over QUIC (DoQ). Каждый использует свой подход к шифрованию одних и тех же DNS-запросов.

DNS over TLS vs DNS over HTTPS vs DNS over QUIC

DoT -- наиболее распространённый протокол для системного Private DNS (Android, Linux). Он использует выделенный порт (853), что позволяет сетевым администраторам легко его обнаружить и заблокировать.

DoH предпочитают веб-браузеры, потому что он сливается с обычным HTTPS-трафиком на порту 443, что делает его практически невозможным для блокировки без нарушения работы всего веба. Chrome, Firefox и Edge поддерживают DoH нативно.

DoQ -- самый новый протокол (2022) и самый быстрый. Он использует транспорт QUIC со встроенным шифрованием TLS 1.3 и может устанавливать соединение без дополнительных циклов (0-RTT). Android 13+ поддерживает DoQ, а провайдеры вроде AdGuard планируют сделать его протоколом по умолчанию.

Как включить Private DNS на Android

Android поддерживает Private DNS с версии Android 9 Pie (2018). Функция использует DNS over TLS и работает на системном уровне для всех приложений.

• Шаг 1: Откройте Настройки > Сеть и Интернет (или Подключения на Samsung)

• Шаг 2: Нажмите Частный DNS (возможно, сначала нужно нажать 'Дополнительно' или 'Другие настройки подключения')

• Шаг 3: Выберите Имя хоста поставщика частного DNS

• Шаг 4: Введите имя хоста DoT. Примеры: 1dot1dot1dot1.cloudflare-dns.com (Cloudflare), dns.google (Google), dns.quad9.net (Quad9), dns.adguard-dns.com (AdGuard)

• Шаг 5: Нажмите Сохранить. Android проверит соединение -- если оно не установится, появится ошибка

Как включить Private DNS на iPhone и iPad

Apple не предоставляет простой переключатель, как в Android. Зашифрованный DNS на iOS требует установки конфигурационного профиля или использования специального приложения.

• Способ 1: DNS-приложение -- Установите приложение 1.1.1.1 (Cloudflare), NextDNS или AdGuard из App Store. Откройте приложение и включите зашифрованный DNS. Оно появится в Настройки > Основные > VPN, DNS и управление устройством.

• Способ 2: Конфигурационный профиль -- Скачайте файл .mobileconfig из проверенного источника (например, репозиторий paulmillr/encrypted-dns на GitHub). Перейдите в Настройки > Основные > VPN, DNS и управление устройством, выберите загруженный профиль и нажмите Установить.

• Способ 3: DNS для конкретной сети -- Перейдите в Настройки > Wi-Fi, нажмите (i) рядом с вашей сетью, нажмите Настроить DNS, выберите Вручную и добавьте IP-адреса DNS-серверов (например, 1.1.1.1, 1.0.0.1). Примечание: это НЕ шифрует DNS -- только меняет резолвер.

Как включить DNS over HTTPS в Windows 11

Windows 11 поддерживает DNS over HTTPS нативно. Система поставляется со списком распознанных DoH-провайдеров, включая Cloudflare, Google и Quad9.

• Шаг 1: Откройте Настройки > Сеть и Интернет > Wi-Fi (или Ethernet)

• Шаг 2: Нажмите Свойства оборудования для вашего подключения

• Шаг 3: Нажмите Изменить рядом с назначением DNS-сервера

• Шаг 4: Выберите Вручную, включите IPv4

• Шаг 5: Введите основной DNS-сервер (например, 1.1.1.1), установите DNS через HTTPS в значение Вкл. (автоматический шаблон)

• Шаг 6: Введите дополнительный DNS-сервер (например, 1.0.0.1), также установите DoH в значение Вкл.

• Шаг 7: Нажмите Сохранить. У записи DNS должна появиться пометка Зашифровано

# View pre-configured DoH providers in Windows 11
netsh dns show encryption

# Add a custom DoH provider via PowerShell
Add-DnsClientDohServerAddress -ServerAddress '1.1.1.1' -DohTemplate 'https://cloudflare-dns.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $True

Как включить Private DNS на macOS

macOS поддерживает зашифрованный DNS через конфигурационные профили (как и iOS) или через DNS-приложения.

• Способ 1: DNS-приложение -- Установите приложение Cloudflare 1.1.1.1 (или аналогичное) и включите его. Приложение настраивает DoH или DoT на системном уровне.

• Способ 2: Конфигурационный профиль -- Скачайте файл .mobileconfig, дважды кликните для установки, затем подтвердите в Системные настройки > Конфиденциальность и безопасность > Профили.

• Способ 3: Терминал (продвинутый) -- Используйте networksetup для смены DNS-серверов, но учтите, что изменение DNS через командную строку НЕ включает шифрование. Для зашифрованного DNS вам по-прежнему нужен профиль или приложение.

Лучшие провайдеры Private DNS (2026)

Cloudflare 1.1.1.1 -- самый быстрый публичный DNS-резолвер, поддерживающий все три зашифрованных протокола (DoT, DoH, DoQ). Он предлагает варианты для семьи: security.cloudflare-dns.com (блокировка вредоносных сайтов) и family.cloudflare-dns.com (блокировка вредоносных сайтов + контента для взрослых). Cloudflare обязуется не логировать ваш IP-адрес и ежегодно проходит аудит.

Google Public DNS -- наиболее широко используемый публичный резолвер. Он поддерживает DoT и DoH, но хранит временные данные в течение 24-48 часов перед анонимизацией. Если абсолютная конфиденциальность для вас приоритет, Cloudflare или Quad9 будут лучшим выбором.

Quad9 работает под юрисдикцией Швейцарии со строгой политикой запрета логирования IP-адресов. Он автоматически блокирует известные вредоносные домены, используя данные от более чем 25 компаний в области кибербезопасности, что делает его лучшим выбором для пользователей, ориентированных на безопасность.

AdGuard DNS блокирует рекламу и трекеры на уровне DNS, то есть реклама блокируется на всём устройстве без установки отдельного блокировщика. AdGuard одним из первых внедрил DNS over QUIC и планирует сделать DoQ протоколом по умолчанию.

NextDNS даёт максимальный контроль. Вы получаете персональное имя хоста, настраиваемые списки блокировки, аналитику по устройствам, родительский контроль и панель управления для просмотра всего, что блокируется. Бесплатный тариф включает 300 000 запросов в месяц.

Преимущества использования Private DNS

Включение Private DNS на ваших устройствах обеспечивает немедленное повышение безопасности и конфиденциальности.

• Защита от слежки провайдера -- Ваш провайдер больше не может видеть, какие домены вы запрашиваете, и составлять профиль просмотров из вашего DNS-трафика

• Предотвращение подмены DNS -- Аутентификация TLS подтверждает, что вы общаетесь с настоящим DNS-сервером, а не со злоумышленником

• Защита в публичном Wi-Fi -- Другие пользователи той же сети не могут перехватывать ваши DNS-запросы

• Блокировка перехвата DNS -- Ваши запросы не могут быть незаметно перенаправлены скомпрометированным маршрутизатором или вредоносной сетью

• Обход прозрачных DNS-прокси -- Некоторые провайдеры перехватывают DNS на порту 53, даже когда вы используете сторонние серверы. Зашифрованный DNS использует другие порты, обходя эти прокси

• Опциональная блокировка рекламы и вредоносных сайтов -- Провайдеры вроде AdGuard, NextDNS и Quad9 могут блокировать рекламу, трекеры и вредоносные домены на уровне DNS

• Работает на уровне всей системы -- После включения Private DNS защищает все приложения на вашем устройстве, а не только браузер

Возможные недостатки Private DNS

Private DNS не идеален. Вот компромиссы, о которых стоит знать.

• Небольшая задержка при первом запросе -- TLS-рукопожатие добавляет примерно 15-35 мс к первому DNS-запросу. После этого соединение переиспользуется, и последующие запросы выполняются так же быстро.

• Возможны проблемы с captive-порталами -- Сети Wi-Fi в гостиницах, аэропортах и кафе, требующие страницу входа, часто нуждаются в незашифрованном DNS для перенаправления. Private DNS может помешать загрузке этих порталов.

• Корпоративные сети могут блокировать -- IT-отделам нужна видимость DNS для мониторинга безопасности. Многие корпоративные сети намеренно блокируют зашифрованный DNS к внешним резолверам.

• Проблема централизации -- Зашифрованный DNS стимулирует использование нескольких крупных резолверов (Cloudflare, Google), концентрируя DNS-трафик в руках меньшего числа компаний.

• Шифруется не всё -- Private DNS шифрует запросы доменных имён, но ваш провайдер по-прежнему может видеть IP-адреса, к которым вы подключаетесь, через SNI в TLS-рукопожатии (если вы не используете ECH).

• Проблемы с split-horizon DNS -- В организациях, использующих разный внутренний и внешний DNS, могут возникнуть проблемы, когда устройства обходят внутренний резолвер.

'Эта сеть блокирует зашифрованный DNS-трафик' -- что это значит

Если вы видите это предупреждение на своём iPhone или Mac, это означает, что сеть, к которой вы подключены, не пропускает ваши зашифрованные DNS-запросы до места назначения. Ваши DNS-запросы отправляются в открытом виде, и любой в сети может видеть, какие домены вы посещаете.

Это предупреждение обычно появляется в корпоративных сетях, Wi-Fi учебных заведений, гостиничных и аэропортных сетях с captive-порталами и в сетях с устаревшей прошивкой маршрутизатора, не поддерживающей зашифрованный DNS.

• Перезагрузите устройство и маршрутизатор -- Это сбрасывает сетевые процессы и часто решает временные проблемы

• Забудьте сеть Wi-Fi и подключитесь заново -- Перейдите в настройки Wi-Fi, забудьте сеть, затем подключитесь снова

• Обновите прошивку маршрутизатора -- Устаревшая прошивка может некорректно обрабатывать зашифрованный DNS-трафик

• Используйте VPN -- VPN шифрует весь трафик, включая DNS, обходя любую блокировку DNS на уровне сети

• Примите это в управляемых сетях -- В корпоративных или учебных сетях блокировка зашифрованного DNS часто является намеренной мерой безопасности. Обойти её может быть невозможно

Как проверить, что Private DNS работает

После включения Private DNS стоит убедиться, что ваши запросы действительно шифруются и направляются через выбранный провайдер.

• Диагностическая страница Cloudflare -- Посетите 1.1.1.1/help, чтобы увидеть, используете ли вы DoH, DoT или незашифрованный DNS, и какой резолвер обрабатывает ваши запросы

• Тест на утечку DNS -- Посетите dnsleaktest.com и запустите расширенный тест. Если вы видите только серверы выбранного провайдера (а не провайдера интернета), ваш зашифрованный DNS работает корректно

• Наш инструмент DNS Lookup -- DNS Lookup от DNS Robot позволяет запрашивать конкретные DNS-серверы и убедиться, что они отвечают как ожидается

• Тест утечки в браузере -- Посетите browserleaks.com/dns, чтобы проверить, какие DNS-серверы использует ваш браузер

# Test DNS over TLS with kdig
kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com

# Check which resolver is responding
dig whoami.cloudflare.com TXT @1.1.1.1

# Test DNS over HTTPS with curl
curl -s -H 'accept: application/dns-json' \
  'https://cloudflare-dns.com/dns-query?name=example.com&type=A'