Как скрыть от провайдера посещенные сайты
С вами снова Mr. Whoer, и команда нашего блога продолжает цикл статей об анонимности в Интернете.
Нам очень часто задают вопрос, который вынесен в название статьи, и сегодня мы хотели бы на него ответить. Что же о вас известно провайдеру?
Видит ли провайдер посещаемые сайты?
Рассмотрим для начала простую ситуацию: Вы набираете в адресной строке, например vpnhook.com. С технической точки зрения данный адрес выглядит по-другому, вот так: http://vpnhook.com. Это нешифрованный протокол передачи данных. Отсюда первый вывод: провайдер видит полные адреса нешифрованных доменов, то есть знает, где конкретно вы «сидите» в Интернете. Более того, провайдер в состоянии узнать ваш пароль на сайт и прочитать каждое слово вашей нешифрованной переписки в социальных сетях, каждую запятую, которую вы отправляете своему другу. Также без шифрования идет скачивание через torrent – общение трекера с торрент-клиентом проходит по HTTP. Для провайдера все прозрачно: видны конкретные торренты (фильмы, игры) и вся статистика по ним (когда начато и завершено скачивание, когда и сколько вы «раздали»).
Если же вы заходите на сайт с шифрованием, например https://whoer.net (HTTPS, а не HTTP) (или в любой онлайн-чат или интернет-магазин), то провайдеру известен только IP-адрес сервера, время подключения к нему, объем трафика на него и больше ничего. Все остальные данные передаются от вашего устройства (компьютера, смартфона) в зашифрованном виде.
Так же следует запомнить, что провайдер не хранит у себя весь ваш трафик, а зеркалирует его в сервера СОРМ (технические средства оперативно-розыскных мероприятий), которые контролируются ФСБ и МВД. В связи с огромным объемом трафика, проходящего через провайдера Интернета, можно предположить (так как достоверной информации о СОРМ в открытом доступе нет) что срок хранения данных на этих серверах не столь большой.
Оператор связи только лишь обрабатывает ваш трафик, классифицирует его и ведет о нем логи. Например, провайдер знает, что 31 марта в 10:10 пользователь с логином mrwhoer включил компьютер, зашел в Интернет, соединился с узлом kremlin.ru, передал на него трафик объемом 2 Гб, а в 11:00 отключился. Энтропия контента при этом составила 99% (этот термин обозначает, что данные передавались в шифрованном виде). Указанные логи оператор обязан хранить в течение 3 лет и предоставлять органам ФСБ путем доступа к своим базам данных.
Как скрыть сайты и трафик от провайдера?
Рассмотрим более сложный случай: вы используете VPN. В этом варианте провайдер видит шифрованный трафик, отправленный на конкретный IP. По IP-адресу можно узнать многое, в том числе вычислить весь диапазон адресов, отданных под виртуальные сервера. Дальнейшее же направление передаваемых данных отследить на оборудовании провайдера невозможно, только если не устраивать целенаправленную слежку за абонентом, сопоставляя трафик пользователя с трафиком сервера. Однако, даже слежка требуется не всегда, так как операционная система может вас внезапно «подставить». Когда VPN произвольно отключается, интернет-трафик начинает идти «напрямую» в открытом виде, и тогда провайдер тут же видит ваш реальный IP. Во избежание этого рекомендуется использовать VPN-клиенты со встроенной функцией Kill Switch либо дополнительно настраивать прерывание интернет-соединения при потере связи с впн-сервером.
Все сказанное о виртуальных сетях относится в полной мере и к набирающим популярность расширениям для браузеров. Они могут использовать совершенно разные технологии, но команда нашего блога не исключает, что некоторые из них сделаны для слежения за анонимными пользователями. Будье особенно осторожны с бесплатными анонимайзерам.
Напоследок разберем еще один сложный вариант: вы используете TOR. В этом случае провайдер не увидит адрес сайта, на который вы заходите. Он получит лишь IP-адрес, с которого идут потоки данных, при чем этот адрес меняется на новый автоматически. На сегодня нет технологии расшифровки TOR-трафика, но уже существуют системы его точного обнаружения. Использование TOR само по себе считается подозрительным действием, и этот факт, зафиксированный у провайдера в логах, может стать основанием для более тщательного наблюдения за пользователем.
Не то чтобы мы рекомендовали вам поддаваться излишней паранойе: провайдер может следить за вами, но маловероятно, что он это сделает по своему желанию. Да, операторы сотрудничают с «органами», да, операторы записывают логи, но до того момента, пока вы действительно не совершите противоправные действия в Интернете, никто не будет за вами наблюдать. Это, как правило, никому не нужно, плюс требует больших денежных затрат. Из логов оперативно высчитывается только то, что для операторов коммерчески выгодно: например, данные о том, что вы часто заходите на сайт другого провайдера. Попробуйте это сделать, и, возможно, уже на следующий день ваш оператор связи позвонит и поинтересуется, довольны ли вы их сервисом.
Ну а чтобы быть абсолютно уверенным в том, что провайдер не узнает о вашем серфинге по Сети ровным счетом ничего, мы рекомендуем вам выходить в интернет только с впн-подключением. Включенный vpn-клиент надежно шифрует входящий и исходящий трафик, а соединение через впн-сервер скрывает от провайдера ресурсы, на которые вы заходили во время интернет-сессии.
Провайдер следит за тобой
Когда заходит вопрос о целесообразности использования ТОR для повседневных нужд, стоит вспомнить, что все мы находимся под колпаком и каждое наше действие в клирнете без анонимайзеров может быть отслежено и в случае чего использовано против нас.
Видит ли провайдер посещаемые сайты?
Рассмотрим для начала простую ситуацию: Вы набираете в адресной строке, например, vzlomzhopy.ru. С технической точки зрения данный адрес выглядит по-другому, вот так: http://vzlomzhopy.ru. Это нешифрованный протокол передачи данных. Отсюда первый вывод: провайдер видит полные адреса нешифрованных доменов, то есть знает, где конкретно Вы «сидите» в Интернете.
Более того, провайдер в состоянии узнать ваш пароль на сайт и прочитать каждое слово вашей нешифрованной переписки в социальных сетях, каждую запятую, которую Вы отправляете своему другу. Также без шифрования идет скачивание через torrent — общение трекера с торрент-клиентом проходит по HTTP. Для провайдера все прозрачно: видны конкретные торренты (фильмы, игры) и вся статистика по ним (когда начато и завершено скачивание, когда и сколько Вы «раздали»).
Если же Вы заходите на сайт с шифрованием, например, https://vzlomzhopy.ru (HTTPS, а не HTTP) (или в любой онлайн-чат или интернет-магазин), то провайдеру известен только IP-адрес сервера, время подключения к нему, объем трафика на него и больше ничего. Все остальные данные передаются от вашего устройства (компьютера, смартфона) в зашифрованном виде.
Так же следует запомнить, что провайдер не хранит у себя весь ваш трафик, а зеркалирует его в сервера СОРМ (технические средства оперативно-розыскных мероприятий), которые контролируются ФСБ и МВД. В связи с огромным объемом трафика, проходящего через провайдера Интернета, можно предположить (так как достоверной информации о СОРМ в открытом доступе нет), что срок хранения данных на этих серверах не столь большой.
Оператор связи только лишь обрабатывает ваш трафик, классифицирует его и ведет о нем логи. Например, провайдер знает, что 26 июня в 10:10 пользователь с логином “NoMyName” включил компьютер, зашел в Интернет, соединился с узлом vzlomzhopy.ru передал на него трафик объемом 2 Гб, а в 11:00 отключился. Энтропия контента при этом составила 99% (этот термин обозначает, что данные передавались в шифрованном виде). Указанные логи оператор обязан хранить в течение 3 лет и предоставлять органам ФСБ путем доступа к своим базам данных.
Как скрыть сайты и трафик от провайдера?
Рассмотрим более сложный случай: Вы используете VPN. В этом варианте провайдер видит шифрованный трафик, отправленный на конкретный IP. По IP-адресу можно узнать многое, в том числе вычислить весь диапазон адресов, отданных под виртуальные сервера. Дальнейшее же направление передаваемых данных отследить на оборудовании провайдера невозможно, только если не устраивать целенаправленную слежку за абонентом, сопоставляя трафик пользователя с трафиком сервера. Однако даже слежка требуется не всегда, так как операционная система может Вас внезапно «подставить». Когда VPN произвольно отключается, интернет-трафик начинает идти «напрямую» в открытом виде, и тогда провайдер тут же видит ваш реальный IP. Во избежание этого рекомендуется при использовании VPN дополнительно настраивать операционную систему. Об этих настройках мы расскажем в ближайшее время.
Все сказанное о виртуальных сетях относится в полной мере и к набирающим популярность расширениям для браузеров. Они могут использовать совершенно разные технологии, но не исключаю, что многие из них сделаны для слежения за анонимными пользователями.
Напоследок разберем самый сложный вариант: Вы используете TOR. В этом случае провайдер не увидит адрес сайта, на который Вы заходите. Он получит лишь IP-адрес, с которого идут потоки данных, при чем этот адрес меняется на новый автоматически. На сегодня нет технологии расшифровки TOR-трафика, но уже существуют системы его точного обнаружения. Использование TOR само по себе считается подозрительным действием, и этот факт, зафиксированный у провайдера в логах, может стать основанием для более тщательного наблюдения за пользователем.
В заключение, хочу снизить градус паранойи: провайдер может следить за Вами, но маловероятно, что он это сделает по своему желанию. Да, операторы сотрудничают с «органами», да, операторы записывают логи, но до того момента, пока Вы действительно не совершите противоправные действия в Интернете, никто не будет за Вами наблюдать. Это, как правило, никому не нужно, плюс требует больших денежных затрат. Из логов оперативно высчитывается только то, что для операторов коммерчески выгодно: например, данные о том, что Вы часто заходите на сайт другого провайдера. Попробуйте это сделать, и, возможно, уже на следующий день ваш оператор связи позвонит и поинтересуется, довольны ли Вы их сервисом.
Если нравится контент — поддержи канал: QIWI — 89118740017
Я никого ни к чему не призываю, статья написана в ознакомительных целях!
Как заблокировать интернет-провайдера от отслеживания каждого вашего движения [100% анонимность]
Привет, я Питер, заядлый технический энтузиаст и блоггер с большим опытом работы в VPN услуги, конфиденциальность в Интернете и кибербезопасность. В моих блогах можно найти ценную информацию и советы, которые помогут оптимизировать VPN испытайте и защитите свою деятельность в Интернете. Имею многочисленные сертификаты в VPN технологий, кибербезопасности, сетевой безопасности и конфиденциальности данных, помогая отдельным лицам и компаниям ориентироваться в запутанном мире конфиденциальности и безопасности в Интернете.
Не знаете, как запретить вашему провайдеру отслеживать все ваши действия?
Все, что вы делаете в Интернете, не является частным, и по умолчанию ваш поставщик услуг Интернета может видеть все, что вы делаете в Интернете. Если вы не знаете, я бы сказал, что каждая загрузка и загрузка будут проходить через собственную инфраструктуру.
Это заставляет их отслеживать все и каждое действие, которое вы выполняли онлайн. И возможно, что они даже отслеживали меня, когда я писал этот пост.
И как только они получат ваши данные, они могут продать их по самой высокой цене или передать властям по запросу.
Итак, как мы можем предотвратить нашу конфиденциальность от интернет-провайдера? И как заблокировать провайдера от отслеживания каждого нашего движения?
Ответ; Легко заблокировать интернет-провайдера от отслеживания каждого вашего движения, и мы можем предпринять несколько шагов, чтобы предотвратить их отслеживание и остаться анонимными в сети.
Итак, если вы цените свою конфиденциальность и не хотите, чтобы ее продавали за валюту, серьезно отнеситесь к конфиденциальности и прекратите блокировать каждый трек ISP, используя несколько простых шагов.
Даже я использую несколько простых трюков, чтобы заблокировать ISP от отслеживания моей активности. Но если вы живете в любой из стран альянса 5/9/14, вам следует серьезно отнестись к своей конфиденциальности и запретить интернет-провайдеру отслеживать вашу онлайн-активность.
Итак, теперь вопрос в том . что это
5 Глазные союзы и какие страны подпадают под это?
Термины «пять глаз», «девять глаз» и «четырнадцать глаз» часто встречаются в сообществе конфиденциальности, особенно когда мы обсуждаем вопросы конфиденциальности и VPNs.
Короче говоря, если мы обсудим их, это просто международные наблюдательные альянсы представляющих различные страны мира. Эти термины используются для описания коалиции стран, которые работают вместе для получения и обмена всеми видами данных.
Если вы живете в какой-либо из этих стран коалиции, вам следует знать, что ваше правительство могло бы рассказать о вас и ваших данных этим странам коалиции. Вы можете узнать больше о 5/9/14 глаз наблюдения здесь.
И какие округа попадают под наблюдение 5/9/14?
Вот список стран, которые попадают под наблюдение 5/9/14;
Агентства этих стран часто работают с интернет-провайдерами и другими крупными технологическими компаниями, чтобы задействовать ключевую инфраструктуру для наблюдения за данными.
К счастью, есть несколько простых решений для обеспечения безопасности ваших данных, о которых мы расскажем ниже.
Но прежде чем мы расскажем о методах предотвращения вашей конфиденциальности, сначала мы узнаем,
Что такое провайдер
ISP означает Интернет-провайдера. ISP — это компания, которая предоставляет доступ в интернет организациям и домашним пользователям.
Короче говоря, провайдер предоставляет вам доступ в интернет, очевидно, за плату. Без интернет-провайдера вы не сможете просматривать онлайн, публиковать фотографии в Facebook, Instagram и делать покупки в Интернете в популярных магазинах, таких как Amazon и Walmart.
Что мой провайдер видит и отслеживает
Являясь посредником в передаче ваших данных в Интернет или из Интернета, провайдер может отслеживать практически все, что касается вашего онлайн-путешествия. Он может включать мониторинг ваших личных данных, таких как имя, адрес, номер телефона, на веб-сайты, которые вы посещаете онлайн.
Но как они могут отслеживать вас?
Когда вы подключаетесь к Интернету с IP-адресом, они назначают IP-адрес на ваше устройство, и вы просматриваете Интернет, используя их инфраструктуру. Так что им легко отследить вас и отследить все данные о себе.
Вот несколько вещей, которые они могут отследить;
- Ваши персональные данные: Они могут легко отслеживать ваши личные данные. Он может включать ваше имя, адрес, номер, адрес электронной почты и т. Д.
- Веб-сайт, который вы посещаетеОни легко могут отслеживать загрузку и выгрузку веб-сайта и того, какой веб-сайт вы посещаете. Это может также включать отслеживание торрент сайт использует и многое другое.
- Содержание сайтаЕсли вы не подключены к веб-сайту, использующему SSL-сертификат или HTTPS, они могут даже отслеживать содержимое веб-сайта, а если вы отправите данные своей карты на сайты такого типа, они могут даже просмотреть информацию о вашей кредитной карте. , Это делает конфиденциальность более обеспокоенной.
- Ваше местонахождениеКаждый раз, когда вы посещаете какой-либо веб-сайт или подключаетесь к Интернету, они могут легко отслеживать ваше местоположение, откуда вы легко выходите в Интернет.
Помимо просмотра всей вышеперечисленной информации, ваш провайдер также может, конечно, привязать все к имени и адресу владельца учетной записи для интернет-услуг (которые могут быть или не быть вами).
Почему провайдер отслеживает меня
Так вы когда-нибудь задумывались, почему провайдер отслеживает всю эту информацию о вас?
Итак, вот ответ; Они отслеживают и контролируют вашу деятельность по разным причинам. Он может включать мониторинг ограничения полосы пропускания, продажу ваших личных данных, мониторинг P2P и т. Д.
Ниже мы обсудим эти темы на большом уровне;
1. Хранение данных
Во многих странах интернет-провайдеры обязаны хранить ваши данные в течение определенного периода. Эта информация в дальнейшем используется государственными органами и представляет ценность для правоохранительных органов для борьбы с терроризмом и розыска преступников.
Кроме того, откровения, сделанные Эдвард Сноудена показали, что отслеживание ISP может использоваться в качестве инструмента для массового наблюдения, где миллионы простых людей контролируются без веской причины.
2. Чтобы продать ваши личные данные
Определенные данные, хранящиеся у интернет-провайдера, о посещаемом вами веб-сайте и типе контента, который вы чаще всего просматриваете, полезны для различных рекламодателей. Таким образом, интернет-провайдер собирает ваши данные и продает их нескольким рекламодателям для получения огромной прибыли.
В некоторых странах, в том числе в США, интернет-провайдеры могут продавать ваши личные данные, которые они собирают, рекламодателям, которые затем анализируют ваши привычки просмотра и создают целевые рекламные кампании.
3. Регулирование пропускной способности
Некоторые интернет-провайдеры даже хитры, чтобы предложить вам соединение FUP для продажи большего количества подписок, а затем они ограничивают или замедляют вашу скорость. Мы знаем это как регулирование пропускной способности.
Это поможет им заработать больше денег. Например, они могут ограничить ваше подключение к определенным веб-сайтам, потому что вы транслируете видео, используете платформы P2P или выбираете контент своих конкурентов вместо их. Эти практики требуют, чтобы они контролировали ваш трафик.
4. P2P-мониторинг
В некоторых странах обмен Torrent и P2P запрещен. Они отслеживают ваши конфиденциальные данные и идентифицируют P2P-соединения, например, через торрент, а затем сообщают об этом государственным органам для получения дополнительных доходов.
Если это так, они обязаны отправить эти данные в агентства по авторскому праву, которые затем, по их согласию, могут нацелить пользователей на большие штрафы или судебные иски.
Знают ли интернет-провайдеры, какие сайты я просматриваю
Да, во всех случаях интернет-провайдер может определить, какой веб-сайт вы посетили, когда это произошло, и объем данных, которые вы с него извлекли.
Кроме того, если вы посещаете веб-сайт, на котором нет активного SSL или защищенной версии протокола HTTP, он может даже отслеживать всю информацию о странице. Если вы используете свою кредитную карту на этих веб-сайтах, она также может четко отслеживать информацию о вашей кредитной карте.
Но если вы посещаете веб-сайт с активным SSL или защищенной версией HTTP, то ваш провайдер может отслеживать только адрес веб-сайта, загруженные и загруженные данные, время, проведенное на определенном веб-сайте, а остальные данные зашифрованы и защищены.
Как скрыть интернет-активность от интернет-провайдеров
Вот несколько методов, с помощью которых вы можете заблокировать отслеживание провайдера. Я также использую эти методы, чтобы остановить отслеживание со стороны моего провайдера. Этим методам легко и просто следовать, и для этого не нужно никаких технических знаний.
Существует пять способов, с помощью которых вы можете предотвратить слежение за интернет-провайдером и скрыть свою интернет-активность. Они заключаются в следующем (упорядочены от наиболее до наименее эффективных)
1. Используйте VPN
Самый надежный способ заблокировать ISP (Internet Service Tracking) — это использовать VPN (Виртуальная частная сеть). Его может использовать любое из ваших устройств. Например, вы можете использовать его на своем мобильном устройстве, ноутбуке / настольном компьютере, Smart TV, а также на ваших роутерах чтобы предотвратить отслеживание ISP.
Вы можете использовать любой надежный и самый ценный VPN провайдер, чтобы предотвратить отслеживание провайдера, подключившись к их VPN сервер перед использованием интернет-соединения. У них также есть встроенный переключатель блокировки, чтобы закрыть подключение к Интернету, если вы используете VPN.
И провайдеру, если вы используете VPNони даже не знают, какой сайт вы посещаете или какие данные вы загружаете и загружаете. Это обеспечило самое безопасное и военное качество шифрования для защиты вашей конфиденциальности.
Но как можно VPN заблокировать отслеживание провайдера?
VPN делает вещи на шаг впереди; это фактически изменяет назначенный провайдером DNS-адрес с одним принадлежащим VPN сервер. Это означает, что если какой-либо веб-сайт, который вы посещаете или посещаете, не знает, что он на самом деле говорит с вами Они подумают, что вы находитесь в другом месте из-за VPN (который может быть в совершенно другой стране, а не там, где вы на самом деле).
Недостатком использование VPN в том, что вы перемещаете свою конфиденциальность с интернет-провайдера на VPN провайдеры. Это означает, что вы должны использовать надежный и безопасный VPN которые имеют нулевую политику регистрации и является одним из самый уважаемый VPN поставщики.
Так что выбирая надежных и обеспеченных VPN это одна из самых важных функций, и ниже я поделился несколькими лучшими VPNs, чтобы защитить вашу конфиденциальность. Я лично использую эти VPNs, чтобы защитить мою личность в Интернете и безопасно просматривать Интернет.
1. NordVPN
Итак, первый VPN Я лично предпочитаю использовать это NordVPN, Это один из лучших и наиболее используемых VPN на рынке сегодня, и когда дело доходит до производительности, никто не может победить NordVPN.
Эта медитация VPN самый используемый VPN мной, и это идет с военной степенью безопасности и функцией CyberSec, чтобы заблокировать нежелательную рекламу на веб-сайтах. Эта VPN является безопасным и предлагает вам зашифрованный туннель для трафика. В результате никто не сможет увидеть, что вы делаете в интернете.
Если вы ищете соотношение цены и качества, а также самых надежных VPNтогда не только я, но большинство профессионалов слепо доверяют NordVPN, Вы также можете получить скидку до 75% на NordVPN используя наш эксклюзивный nordvpn код купона.
2. ExpressVPN
Еще один самый мощный VPN что я предпочитаю использовать это ExpressVPN, Это стоит немного больше, чем NordVPNПоверьте мне, вы получите гораздо лучший пользовательский опыт и скорость. Это — один из лучших VPN разблокировать сайты, не прошедшие цензуру, и вы можете получить доступ к большему количеству географического местоположения Netflix, чем к любому другому VPN поставщик.
Эта медитация VPN может легко обойти ограничение любой страны и разрешить вам доступ к любому веб-сайту, который вы хотите. Кроме того, VPN Сервер защищает вас в Интернете. Он скрывает ваш IP-адрес и шифрует данные вашей сети. В результате никто не сможет увидеть, что вы делаете в Интернете.
Помимо этого, он также использует безопасность и шифрование военного уровня для повышения безопасности, а также имеет переключатель аварийного отключения. Даже самая лучшая часть этого сервиса, которая мне понравилась, — это то, что в нем есть приложения для разных платформ. Независимо от того, используете ли вы Mac, Windows, Linux, Android, iOS или любое другое устройство, вы получите Express VPN .
Я также рассмотрел ExpressVPN и NordVPN в моем блоге. Вы можете проверить это, чтобы узнать больше о том, какие VPN лучше для вас. Открыть проверить это.
2. Используйте Tor
Еще один отличный способ скрыть вашу конфиденциальность от интернет-провайдера — использовать браузер Tor. Браузер Tor является одним из самых безопасных браузеров, и он используется различными ИТ-экспертами, чтобы оставаться анонимным при доступе в Интернет.
Tor — это зашифрованный браузер, разработанный для предотвращения конфиденциальности пользователя. Он использует луковая маршрутизация Техника для создания случайного пути для ваших данных и прохождения их через несколько узлов (или серверов), расположенных в любой точке мира, прежде чем они достигнут своего конечного пункта назначения.
Аналогично VPN, все, и каждый веб-сайт, который вы посещаете, зашифрован. Таким образом, он не позволяет вашему интернет-провайдеру отслеживать вашу онлайн-активность. Но Tor только скрывает ваши онлайн-активности, когда вы используете их браузер, и не может помешать вам, когда вы используете другие приложения.
Другим недостатком использования Tor является то, что он замедляет ваш просмотр из-за тысяч узлов. Поэтому, если вам нужен лучший опыт, я всегда советую вам пойти с надежным VPN поставщик.
3. Используйте прокси
Другой очень полезный способ заблокировать отслеживание ISP — использование прокси-сервера. Это немного менее распространенный, но один из наиболее часто используемых способов блокирования нежелательного шпиона в вашей личной жизни.
Аналогично VPNпрокси маршрутизирует ваш трафик через различные серверы (он может быть внутри или за пределами вашей страны). Он не позволяет провайдеру определить, к каким данным или веб-сайту вы обращаетесь через Интернет. Но основная проблема с использованием прокси-сервера заключается в том, что он не использует шифрование и делает вас уязвимым для других атак и форм мониторинга.
Поэтому, даже если ваш интернет-провайдер не видит, к чему вы обращаетесь через Интернет, он все равно может проанализировать содержимое ваших данных. Например, если вы загружаете что-то, они узнают об этом.
Может ли прокси остановить меня от шпионажа?
Как я уже упоминал выше, если вы используете прокси-сеть, передаваемые данные не зашифрованы и уязвимы. Тем не менее, если вы используете прокси, ваш интернет-провайдер может отслеживать различные вещи, такие как загрузка и выгрузка, и это все равно оставляет вас уязвимым для другой формы атаки.
Поэтому для лучшей конфиденциальности и безопасности я всегда рекомендую надежных и надежных VPN поставщик. Они обеспечивают военную безопасность и предотвращают любую утечку данных.
4. Используйте HTTPS
Использование HTTPS-версии веб-сайта — это еще один способ, с помощью которого вы можете предотвратить различные виды нарушений конфиденциальности со стороны вашего интернет-провайдера. Но использование HTTPS или безопасной версии HTTP не будет скрывать посещаемый вами веб-сайт и объем данных, которые вы загружаете и загружаете с этого веб-сайта.
Даже этот веб-сайт использует безопасную версию HTTP, и если вы посетите этот веб-сайт, вы увидите значок блокировки перед URL-адресом в поле адреса. Он показал, что эта страница использует HTTPS-соединение.
Например;
Если вы посещаете веб-сайт, который использует безопасную версию HTTP (например, Amazon.com) и использует на нем свою кредитную карту, то интернет-провайдер может видеть только то, что вы посещаете веб-сайт Amazon.com, но он не отображает ваш кредит Детали карты.
Но в любом случае, вы посещаете веб-сайт только по протоколу HTTP, а затем ваш провайдер может даже увидеть данные кредитной карты. И чтобы избежать такого рода проблем, я всегда рекомендую вам использовать вашу карту на веб-сайте, который использует протокол HTTPS, и использовать VPN для дополнительной безопасности.
Подробнее о VPNОтслеживание S и ISP
До сих пор не убежден, почему использовать VPN предотвратить отслеживание провайдера?
Вот несколько часто задаваемых вопросов о VPNs. Это наверняка поможет в выборе идеального VPN чтобы предотвратить вашу конфиденциальность.
Что видит мой провайдер, когда я использую VPN
Если вы используете надежный и надежный VPN это обеспечивает лучшее шифрование и безопасность, тогда ваш провайдер буквально ничего не видит. Он не позволяет провайдеру отслеживать ваши действия в Интернете, посещаемые вами веб-сайты, а также данные, которые вы загружаете и загружаете с определенного веб-сайта.
Единственное, что ваш провайдер может видеть зашифрованные данные, которые передаются с вашего устройства в интернет. Проще говоря, он может видеть только бессмысленные данные, которые передаются с вашего устройства в неизвестное место в Интернете.
Будет ли мой провайдер знать, что я использую VPN
Если вы не предпримете особые шаги, чтобы скрыть использование VPNВаш провайдер может выяснить, используете ли вы его. Единственное, что они узнают, это IP-адрес вашего VPN и тогда нетрудно выяснить VPN провайдер из них.
VPN абсолютно законны в большинстве стран, включая США, Индию, Канаду и т. д. Но перед использованием VPNНе забудьте проверить, разрешено ли это в вашей стране.
Некоторые из VPN даже предложение запутанное VPN сервер. Это специальная технология, которая помогает предотвратить VPN обнаружение. Эти VPNможет включать в себя ExpressVPN, NordVPN, и т.д.
Могу ли я использовать бесплатный VPN прекратить мониторинг интернет-провайдера
Да, вы также можете использовать бесплатный VPN прекратить блокировку провайдера. Есть несколько приличных бесплатных VPNs, которые могут помочь в предотвращении слежения за провайдером, но я рекомендую держать расстояние в шесть футов от свободного VPNs.
Большинство из этих бесплатных VPNs регистрируют вашу личную информацию, и в большинстве случаев они даже передают эти данные властям и даже продают вашу конфиденциальность.
Завершение!
Ваш провайдер может видеть все и отслеживать всю информацию о вас, когда вы просматриваете Интернет и получаете доступ к любым онлайн-сервисам. Даже если вы используете свою кредитную карту на сайте, который не имеет защищенной версии HTTP, они могут даже увидеть данные вашей кредитной карты.
Конфиденциальность и анонимность отсутствуют. Но теперь вы знаете, как вы можете предотвратить нарушение конфиденциальности и данных со стороны интернет-провайдера.
В этом руководстве я рассказал о нескольких методах, которые помогут вам заблокировать отслеживание интернет-провайдерами, и теперь есть кое-что, что вы знаете о предотвращении ваших данных. Кроме того, дайте мне знать, какой метод вы используете для предотвращения отслеживания ISP.
TheVPNCoupon is designed to introduce you with the best VPNs currently available in the market and help you choose the safest and fastest VPN.
All the information which is published on our website is collected through independent testing and research and the data is being verified through consultation with reliable sources.
We constantly update the content on our website, keeping it fresh and relevant to our readers at all times.
Leave a Comment Cancel reply
Translate to…
We tested VPNs for:
- Better Security
- No-Logs Policies
- Fast Speed
- No Buffer Streaming
- Torrenting
- Censorship
Best VPNs by Category
The VPN Coupon
The VPN Coupon – is the most reliable VPN review website, that provide the real information about the VPN companies, their features, pros & cons, and coupons.
Как спрятать DNS-запросы от любопытных глаз провайдера
Шифрование трафика между вашим устройством и DNS-сервисом помешает посторонним лицам отслеживать трафик или подменить адрес
Смерть сетевого нейтралитета и ослабление правил для интернет-провайдеров по обработке сетевого трафика вызвали немало опасений по поводу конфиденциальности. У провайдеров (и других посторонних лиц, которые наблюдают за проходящим трафиком) уже давно есть инструмент, позволяющий легко отслеживать поведение людей в интернете: это их серверы доменных имен (DNS). Даже если они до сих пор не монетизировали эти данные (или не подменяли трафик), то наверняка скоро начнут.
DNS — это телефонный справочник Сети, выдающий фактический сетевой адрес IP, связанный с хостингом и доменными именами сайтов и других интернет-служб. Например, он превращает arstechnica.com в 50.31.169.131. Ваш интернет-провайдер предлагает DNS в пакете услуг, но он также может журналировать DNS-трафик — по сути, записывать историю ваших действий в интернете.
«Открытые» DNS-сервисы позволяют обходить сервисы провайдеров ради конфиденциальности и безопасности, а кое в каких странах — уклоняться от фильтрации контента, слежки и цензуры. 1 апреля (не шутка) компания Cloudflare запустила свой новый, бесплатный и высокопроизводительный DNS-сервис, предназначенный для повышения конфиденциальности пользователей в интернете. Он также обещает полностью скрыть DNS-трафик от посторонних глаз, используя шифрование.
Названный по своему IP-адресу, сервис 1.1.1.1 — это результат партнёрства с исследовательской группой APNIC, Азиатско-Тихоокеанским сетевым информационным центром, одним из пяти региональных интернет-регистраторов. Хотя он также доступен как «открытый» обычный DNS-резолвер (и очень быстрый), но Cloudflare ещё поддерживает два протокола шифрования DNS.
Хотя и разработанный с некоторыми уникальными «плюшками» от Cloudflare, но 1.1.1.1 — никак не первый DNS-сервис с шифрованием. Успешно работают Quad9, OpenDNS от Cisco, сервис 8.8.8.8 от Google и множество более мелких сервисов с поддержкой различных схем полного шифрования DNS-запросов. Но шифрование не обязательно означает, что ваш трафик невидим: некоторые службы DNS с шифрованием всё равно записывают ваши запросы в лог для различных целей.
Cloudflare пообещал не журналировать DNS-трафик и нанял стороннюю фирму для аудита. Джефф Хастон из APNIC сообщил, что APNIC собирается использовать данные в исследовательских целях: диапазоны 1.0.0.0/24 и 1.1.1.0/24 изначально были сконфигурированы как адреса для «чёрного» трафика. Но APNIC не получит доступ к зашифрованному трафику DNS.
Для пользователей подключить DNS-шифрование не так просто, как изменить адрес в настройках сети. В настоящее время ни одна ОС напрямую не поддерживает шифрование DNS без дополнительного программного обеспечения. И не все сервисы одинаковы с точки зрения софта и производительности.
Но учитывая важность вопроса — в последнее время во всех новостях говорят о превращении пользовательских данных в продукт — я решил посмотреть, как работает DNS-шифрование у Cloudflare. В итоге моя внутренняя лабораторная крыса победила — и я обнаружил, что тестирую и разбираю клиенты для нескольких провайдеров DNS через три протокола DNS-шифрования: DNSCrypt, DNS по TLS и DNS по HTTPS. Все они работоспособны, но предупреждаю: хотя процедура становится проще, но вряд ли вы сможете объяснить шифрование DNS родителям по телефону (если только они не опытные пользователи командной строки Linux).
Как работает DNS
Зачем мы это делаем?
Есть много причин для лучшей защиты DNS-трафика. Хотя веб-трафик и другие коммуникации могут быть защищены криптографическими протоколами, такими как Transport Layer Security (TLS), но почти весь трафик DNS передаётся незашифрованным. Это означает, что ваш провайдер (или кто-то другой между вами и интернетом) может регистрировать посещаемые сайты даже при работе через сторонний DNS — и использовать эти данных в своих интересах, включая фильтрацию контента и сбор данных в рекламных целях.
Как выглядит типичный обмен данными между устройством и DNS-резолвером
«У нас есть проблема “последней мили” в DNS, — говорил Крикет Лю, главный архитектор DNS в компании Infoblox, которая занимается информационной безопасностью. — Большинство наших механизмов безопасности решают вопросы коммуникаций между серверами. Но есть проблема с суррогатами резолверов на различных операционных системах. В реальности мы не можем их защитить». Проблема особенно заметна в странах, где власти более враждебно относятся к интернету.
В некоторой степени помогает использование DNS, который не ведёт логи. Но это всё равно не мешает злоумышленнику фильтровать запросы по контенту или перехватывать адреса методом пакетного перехвата или глубокой инспекции пакетов. Кроме пассивной прослушки есть угроза более активных атак на ваш DNS-трафик — спуфинг DNS-сервера со стороны провайдера или спецслужб с перенаправлением на собственный сервер для отслеживания или блокировки трафика. Что-то подобное (хотя, по-видимому, не злонамеренно), похоже, происходит со случайным перенаправлением трафика на адрес 1.1.1.1 из сети AT&T, судя по сообщениям на форумах DSLReports.
Наиболее очевидный способ уклонения от слежки — использование VPN. Но хотя VPN скрывают содержимое вашего трафика, для подключения к VPN может потребоваться запрос DNS. И в ходе VPN-сеанса запросы DNS тоже могут иногда направляться веб-браузерами или другим софтом за пределы VPN-тоннеля, создавая «утечки DNS», которые раскрывают посещённые сайты.
Вот где вступают в игру протоколы шифрования DNS: это DNSCrypt (среди прочих, его поддерживает OpenDNS от Cisco), DNS по TLS (поддерживается Сloudflare, Google, Quad9, OpenDNS) и DNS по HTTPS (поддерживается Сloudflare, Google и сервисом блокировки «взрослого» контента CleanBrowsing). Шифрование гарантирует, что трафик не просканируют и не изменят, и что запросы не получит и не обработает поддельный DNS-сервер. Это защищает от атак MiTM и шпионажа. DNS-прокси с одной из этих служб (непосредственно на устройстве или на «сервере» в локальной сети) поможет предотвратить DNS-утечки через VPN, поскольку прокси-сервер всегда будет самым быстрым DNS-сервером среди всех доступных.
Однако эта опция защиты недоступна массовому пользователю. Ни один из этих протоколов нативно не поддерживается ни одним DNS-резолвером, который идёт в комплекте с ОС. Все они требуют установки (и, вероятно, компиляции) клиентского приложения, которое действует как локальный «сервер» DNS, ретранслируя запросы, сделанные браузерами и другими приложениями вверх по течению к безопасному провайдеру DNS по вашему выбору. И хотя две из трёх данных технологий предлагаются на роль стандартов, ни один из проверенных нами вариантов пока не представлен в окончательном виде.
Поэтому если хотите погрузиться в шифрование DNS, то лучше взять для DNS-сервера в домашней сети Raspberry Pi или другое отдельное устройство. Потому что вы наверняка обнаружите, что настройка одного из перечисленных клиентов — это уже достаточно хакерства, чтобы не захотеть повторять процесс заново. Проще запросить настройки DHCP по локальной сети — и указать всем компьютерам на одну успешную установку DNS-сервера. Я много раз повторял себе это во время тестирования, наблюдая падение одного за другим клиентов под Windows и погружение в спячку клиентов под MacOS.
Сообщество DNSCrypt пыталось сделать доступный инструмент для тех, кто не обладает навыками работы в командной строке, выпустив программы DNSCloak (слева) под iOS и Simple DNSCrypt (справа) под Windows
Шифруемся
Для полноты картины в исторической перспективе начнём обзор с самой первой технологии шифрования DNS — DNSCrypt. Впервые представленный в 2008 году на BSD Unix, инструмент DNSCrypt изначально предназначался для защиты не от прослушки, а от DNS-спуфинга. Тем не менее, его можно использовать как часть системы обеспечения конфиденциальности — особенно в сочетании с DNS-сервером без логов. Как отметил разработчик DNSCrypt Фрэнк Денис, гораздо больше серверов поддерживают DNSCrypt, чем любой другой вид шифрования DNS.
«DNSCrypt — это немного больше, чем просто протокол, — говорит Фрэнк Денис. — Сейчас сообщество и активные проекты характеризуют его гораздо лучше, чем мой изначальный протокол, разработанный в выходные». Сообщество DNSCrypt создало простые в использовании клиенты, такие как Simple DNSCrypt для Windows и клиент для Apple iOS под названием DNS Cloak, что делает шифрование DNS доступнее для нетехнических людей. Другие активисты подняли независимую сеть приватных DNS-серверов на основе протокола, помогающего пользователям уклониться от использования корпоративных DNS-систем.
«DNSCrypt — это не подключение к серверам конкретной компании, — сказал Денис. — Мы призываем всех поднимать собственные сервера. Сделать это очень дёшево и легко. Теперь, когда у нас есть безопасные резолверы, я пытаюсь решить задачу фильтрации контента с учётом конфиденциальности».
Для тех, кто хочет запустить DNS-сервер с поддержкой DNSCrypt для всей своей сети, лучшим клиентом будет DNSCrypt Proxy 2. Старая версия DNSCrypt Proxy по-прежнему доступна как пакет для большинства основных дистрибутивов Linux, но лучше загрузить бинарник новой версии непосредственно с официального репозитория на GitHub. Есть версии для Windows, MacOS, BSD и Android.
Опыт сообщества DNSCrypt по защите конфиденциальности воплощён в DNSCrypt Proxy. Программа легко настраивается, поддерживает ограничения по времени доступа, шаблоны для доменов и чёрный список IP-адресов, журнал запросов и другие функции довольно мощного локального DNS-сервера. Но для начала работы достаточно самой базовой конфигурации. Есть пример файла конфигурации в формате TOML (Tom’s Obvious Minimal Language, созданный соучредителем GitHub Томом Престоном-Вернером). Можете просто переименовать его перед запуском DNSCrypt Proxy — и он станет рабочим файлом конфигурации.
По умолчанию прокси-сервер использует открытый DNS-резолвер Quad9 для поиска и получения с GitHub курируемого списка открытых DNS-сервисов. Затем подключается к серверу с самым быстрым откликом. При необходимости можно изменить конфигурацию и выбрать конкретный сервис. Информация о серверах в списке кодируется как «штамп сервера». Он содержит IP-адрес поставщика, открытый ключ, информацию, поддерживает ли сервер DNSSEC, хранит ли провайдер логи и блокирует ли какие-нибудь домены. (Если не хотите зависеть от удалённого файла при установке, то можно запустить «калькулятор штампов» на JavaScript — и сгенерировать собственный локальный статичный список серверов в этом формате).
Для своего тестирования DNSCrypt я использовал OpenDNS от Cisco в качестве удалённого DNS-сервиса. При первых запросах производительность DNSCrypt оказалась немного хуже, чем у обычного DNS, но затем DNSCrypt Proxy кэширует результаты. Самые медленные запросы обрабатывались в районе 200 мс, в то время как средние — примерно за 30 мс. (У вас результаты могут отличаться в зависимости от провайдера, рекурсии при поиске домена и других факторов). В целом, я не заметил замедления скорости при просмотре веб-страниц.
Основное преимущество DNSCrypt в том, что он похож на «обычный» DNS. Хорошо это или плохо, но он передаёт UDP-трафик по порту 443 — тот же порт используется для безопасных веб-соединений. Это даёт относительно быстрый резолвинг адресов и снижает вероятность блокировки на файрволе провайдера. Чтобы ещё больше снизить вероятность блокировки, можно изменить конфигурацию клиента и передавать запросы по TCP/IP (как показало тестирование, это минимально влияет на время отклика). Так шифрованный DNS-трафик для большинства сетевых фильтров похож на трафик HTTPS — по крайней мере, с виду.
Показан трафик DNSCrypt и локальный трафик DNSCrypt Proxy. Снифер Wireshark говорит, что это трафик HTTPS, потому что я форсировал использование TCP. Если пустить его по UDP, то Wireshark увидит трафик Chrome QUIC
С другой стороны, DNSCrypt для шифрования не полагается на доверенные центры сертификации — клиент должен доверять открытому ключу подписи, выданному провайдером. Этот ключ подписи используется для проверки сертификатов, которые извлекаются с помощью обычных (нешифрованных) DNS-запросов и используются для обмена ключами с использованием алгоритма обмена ключами X25519. В некоторых (более старых) реализациях DNSCrypt есть условие для сертификата на стороне клиента, который может использоваться в качестве схемы управления доступом. Это позволяет им журналировать ваш трафик независимо от того, с какой IP-адреса вы пришли, и связывать его с вашим аккаунтом. Такая схема не используется в DNSCrypt 2.
С точки зрения разработчика немного сложно работать с DNSCrypt. «DNSCrypt не особенно хорошо документирован, и не так много его реализаций», — говорит Крикет Лю из Infoblox. На самом деле мы смогли найти только единственный клиент в активной разработке — это DNSCrypt Proxy, а OpenDNS прекратил поддерживать его разработку.
Интересный выбор криптографии в DNSCrypt может напугать некоторых разработчиков. Протокол использует Curve25519 (RFC 8032), X25519 (RFC 8031) и Chacha20Poly1305 (RFC 7539). Одна реализация алгоритма X24419 в криптографических библиотеках Pyca Python помечена как «криптографически опасная», потому что с ней очень легко ошибиться в настройках. Но основной используемый криптографический алгоритм Curve25519, является «одной из самых простых эллиптических кривых для безопасного использования», — сказал Денис.
Разработчик говорит, что DNSCrypt никогда не считался стандартом IETF, потому что был создан добровольцами без корпоративной «крыши». Представление его в качестве стандарта «потребовало бы времени, а также защиты на заседаниях IETF», — сказал он. «Я не могу себе этого позволить, как и другие разработчики, которые работают над ним в свободное время. Практически все ратифицированные спецификации, связанные с DNS, фактически написаны людьми из одних и тех же нескольких компаний, из года в год. Если ваш бизнес не связан с DNS, то действительно тяжело получить право голоса».
Хотя несколько DNS-сервисов используют DNSCrypt (например, CleanBrowsing для блокировки «взрослого» контента и Cisco OpenDNS для блокировки вредоносных доменов), новые ориентированные на приватность DNS-провайдеры (в том числе Google, Cloudflare и Quad9) отказались от DNSCrypt и выбрали одну из других, одобренных группой IETF технологий: DNS по TLS и DNS по HTTPS. Сейчас DNSCrypt Proxy поддерживает DNS по HTTPS и указывает Cloudflare, Google и Quad9 в настройках по умолчанию.
TLS стал приоритетом для CloudFlare, когда понадобилось усилить шифрование веб-трафика для защиты от слежки
Скрещивание с TLS
У DNS по TLS (Transport Layer Security) несколько преимуществ перед DNSCrypt. Во-первых, это предлагаемый стандарт IETF. Также он довольно просто работает по своей сути — принимает запросы стандартного формата DNS и инкапсулирует их в зашифрованный TCP-трафик. Кроме шифрования на основе TLS, это по существу то же самое, что и отправка DNS по TCP/IP вместо UDP.
Существует несколько рабочих клиентов для DNS по TLS. Самый лучший вариант, который я нашел, называется Stubby, он разработан в рамках проекта DNS Privacy Project. Stubby распространяется в составе пакета Linux, но есть также версия для MacOS (устанавливается с помощью Homebrew) и версия для Windows, хотя работа над последней ещё не завершена.
Хотя мне удалось стабильно запускать Stubby на Debian после сражения с некоторыми зависимостями, этот клиент регулярно падал в Windows 10 и имеет тенденцию зависать на MacOS. Если вы ищете хорошее руководство по установке Stubby на Linux, то лучшая найденная мной документация — это пост Фрэнка Сантосо на Reddit. Он также написал shell скрипт для установки на Raspberry Pi.
Положительный момент в том, что Stubby допускает конфигурации с использованием нескольких служб на основе DNS по TLS. Файл конфигурации на YAML позволяет настроить несколько служб IPv4 и IPv6 и включает в себя настройки для SURFNet, Quad9 и других сервисов. Однако реализация YAML, используемая Stubby, чувствительна к пробелам, поэтому будьте осторожны при добавлении новой службы (например, Cloudflare). Сначала я использовал табы — и всё поломал.
Клиенты DNS по TLS при подключении к серверу DNS осуществляют аутентификацию с помощью простой инфраструктуры открытых ключей (Simple Public Key Infrastructure, SPKI). SPKI использует локальный криптографический хэш сертификата провайдера, обычно на алгоритме SHA256. В Stubby этот хэш хранится как часть описания сервера в файле конфигурации YAML, как показано ниже:
После установления TCP-соединения клиента с сервером через порт 853 сервер представляет свой сертификат, а клиент сверяет его с хэшем. Если всё в порядке, то клиент и сервер производят рукопожатие TLS, обмениваются ключами и запускают зашифрованный сеанс связи. С этого момента данные в зашифрованной сессии следуют тем же правилам, что и в DNS по TCP.
После успешного запуска Stubby я изменил сетевые настройки сети DNS, чтобы направлять запросы на 127.0.0.1 (localhost). Сниффер Wireshark хорошо показывает этот момент переключения, когда трафик DNS становится невидимым.
Переключаемся с обычного трафика DNS на шифрование TLS
Хотя DNS по TLS может работать как DNS по TCP, но шифрование TLS немного сказывается на производительности. Запросы dig к Cloudflare через Stubby у меня выполнялись в среднем около 50 миллисекунд (у вас результат может отличаться), в то время как простые DNS-запросы к Cloudflare получают ответ менее чем за 20 мс.
Частично замедление работы происходит на стороне сервера из-за лишнего использования TCP. Обычно DNS работает по быстрому протоколу UDP: отправил и забыл, в то время как сообщение TCP требует согласования соединения и проверки получения пакета. Основанная на UDP версия DNS по TLS под названием DNS over Datagram Transport Layer Security (DTLS) сейчас в экспериментальной разработке — она может увеличить производительность протокола.
Здесь тоже имеется проблема с управлением сертификатами. Если провайдер удалит сертификат и начнёт использовать новый, то в настоящее время нет чистого способа обновления данных SPKI на клиентах, кроме вырезания старого и вставки нового сертификата в файл конфигурации. Прежде чем с этим разберутся, было бы полезно использовать какую-то схему управления ключами. И поскольку сервис работает на редком порту 853, то с высокой вероятностью DNS по TLS могут заблокировать на файрволе.
Но это не проблема для лидера нашего хит-парада — DNS по HTTPS. Он проходит через большинство файрволов, словно тех не существует.
Google и Cloudflare, похоже, одинаково видят будущее зашифрованного DNS
DNS по HTTPS: DoH!
И Google, и Cloudflare, кажется, видят протокол DNS по HTTPS, также известный как DoH, как самый перспективный вариант для шифрования DNS. Опубликованный в виде черновика стандарта IETF, протокол DoH инкапсулирует DNS-запросы в пакеты HTTPS, превращения их в обычный зашифрованный веб-трафик.
Запросы отправляются как HTTP POST или GET с телом в формате сообщения DNS (датаграммы из обычных DNS-запросов) или как запрос HTTP GET в формате JSON (если вы не против небольшого оверхеда). И здесь нет никаких проблем с управлением сертификатами. Как и при обычном веб-трафике HTTPS, для подключения через DoH не требуется аутентификация, а сертификат проверяется центром сертификации.
Фиксация DNS-транзакции через DoH. Видно только HTTPS, TLS и ничего больше
HTTPS — довольно громоздкий протокол для запросов DNS, особенно в формате JSON, поэтому придётся смириться с некоторым снижением производительности. Необходимые ресурсы на стороне сервера почти наверняка заставят прослезиться администратора обычного DNS-сервера. Но простота работы с хорошо понятными веб-протоколами делает разработку как клиентского, так и серверного кода для DoH намного более доступной для разработчиков, собаку съевших на веб-приложениях (всего несколько недель назад инженеры Facebook выпустили концепт сервера и клиента DoH на Python).
В результате, хотя на спецификациях RFC для DoH ещё не просохли чернила, уже готов к работе целый ряд клиентов DNS по HTTPS. Правда, некоторые из них заточены под конкретных провайдеров DNS. Потеря производительности во многом зависит от сервера и от качества конкретного клиента.
Например, возьмём клиент туннелирования Argo от Cloudflare (aka cloudflared). Это многофункциональный инструмент туннелирования, предназначенный в первую очередь для установления безопасного канала для связи веб-серверов с CDN-сетью Cloudflare. DNS по HTTPS — просто ещё одна служба, которую теперь поддерживает CDN.
По умолчанию, если запустить Argo из командной строки (в Linux и MacOS для этого нужны привилегии суперпользователя, а на Windows нужно запускать клиента из PowerShell от имени администратора), то он направляет DNS-запросы на https://cloudflare-dns.com/dns-query . Если не настроен обычный DNS, то возможна небольшая проблемка, потому что данный адрес должен резолвиться в 1.1.1.1, иначе Argo не запустится.
Это можно исправить одним из трёх способов. Первый вариант: установить устройство с локальным хостом ( 127.0.0.1 для IPv4 и ::1 для IPv6) как основной DNS-сервер в сетевой конфигурации, а затем добавить 1.1.1.1 в качестве дополнительного резолвера. Это рабочий вариант, но он не идеален с точки зрения приватности и производительности. Лучше добавить URL сервера из командной строки при загрузке:
Если вы уверены, что хотите перейти на DNS-сервер от Cloudflare, что даёт преимущество автоматического обновления, — то можете настроить его в качестве службы в Linux, используя YAML-файл конфигурации, содержащий адреса IPv4 и IPv6 службы DNS от Cloudflare:
При настройке с правильной восходящей адресацией производительность dig-запросов через Argo широко варьируется: от 12 мс для популярных доменов аж до 131 мс. Страницы с большим количеством межсайтового контента загружаются… немного дольше обычного. Опять же, ваш результат может быть другим — вероятно, он зависит от вашего местоположения и связности. Но это примерно то, чего я ожидал от мрачного протокол DoH.
Как Cloudflare, мы считаем, что туннели иллюстрируют операцию «Арго» лучше, чем Бен Аффлек
Дабы убедиться, что проблема именно в протоколе DoH, а не в программистах Cloudflare, я испытал два других инструмента. Во-первых, прокси-сервер от Google под названием Dingo. Его написал Павел Форемски, интернет-исследователь из Института теоретической и прикладной информатики Академии наук Польши. Dingo работает только с реализацией DoH от Google, но его можно настроить на ближайшую службу Google DNS. Это хорошо, потому что без такой оптимизации Dingo сожрал всю производительность DNS. Запросы dig в среднем выполнялись более 100 миллисекунд.
Во время проверки обработки стандартных запросов службой dns.google.com я наткнулся на альтернативу дефолтному адресу 8.8.8.8 от Google (172.217.8.14, если знаете). Я добавил его в Dingo из командной строки:
Это сократило время отклика примерно на 20%, то есть примерно до того показателя, как у Argo.
А оптимальную производительность DoH неожиданно показал DNSCrypt Proxy 2. После недавнего добавления DoH Cloudflare в курируемый список публичных DNS-сервисов DNSCrypt Proxy почти всегда по умолчанию подключается к Cloudflare из-за низкой задержки этого сервера. Чтобы убедиться, я даже вручную сконфигурировал его под резолвер Cloudflare для DoH, прежде чем запустить батарею dig-запросов.
Все запросы обрабатывались менее чем за 45 миллисекунд — это быстрее, чем собственный клиент Cloudflare, причём с большим отрывом. С сервисом DoH от Google производительность оказалась похуже: запросы обрабатывались в среднем около 80 миллисекунд. Это показатель без оптимизации на ближайший DNS-сервер от Google.
В целом производительность DNSCrypt Proxy по DoH практически неотличима от резолвера DNS по TLS, который я проверял ранее. На самом деле он даже быстрее. Я не уверен, то ли это из-за какой-то особой реализации DoH — может быть, из-за использования стандартного формата сообщений DNS, инкапсулированных в HTTPS, вместо формата JSON — то ли связано с тем, как Cloudflare обрабатывает два разных протокола.
Я не Бэтмен, но моя модель угроз всё равно немного сложнее, чем у большинства людей
Зачем так мучиться?
Я профессиональный параноик. Моя модель угроз отличается от вашей, и я предпочел бы сохранить в безопасности как можно больше своих действий в онлайне. Но учитывая количество нынешних угроз приватности и безопасности из-за манипуляций с трафиком DNS, у многих людей есть веские основания использовать какую-либо форму шифрования DNS. Я с удовольствием обнаружил, что некоторые реализации всех трёх протоколов не оказывают сильно негативного влияния на скорость передачи трафика.
Тем не менее, важно отметить, что одно лишь шифрование DNS не скроет ваши действия в интернете. Если на сервере хостятся несколько сайтов, то расширение TLS под названием Server Name Indicator (SNI), используемое в соединениях HTTPS, всё равно может показать открытым текстом название сайта, на который вы зашли. Для полной конфиденциальности всё равно нужно использовать VPN (или Tor) для такой инкапсуляции трафика, чтобы провайдер или какая-либо другая шпионящая сторона не могла вытянуть метаданные из пакетов. Но ни один из перечисленных сервисов не работает с Tor. И если против вас работает правительственное агентство, то ни в чём нельзя быть уверенным.
Другая проблема в том, что, хотя прекрасные ребята из сообщества DNSCrypt проделали большую работу, но такая приватность по-прежнему слишком сложна для обычных людей. Хотя некоторые из этих DNS-клиентов для шифрования оказалось относительно легко настроить, но ни один из них нельзя назвать гарантированно простым для нормальных пользователей. Чтобы эти услуги стали действительно полезными, их следует плотнее интегрировать в железо и софт, который покупают люди — домашние маршрутизаторы, операционные системы для персональных компьютеров и мобильных устройств.
Интернет-провайдеры наверняка постараются активнее монетизировать обычный DNS-трафик, и никуда не исчезнут государственные агентства и преступники, которые стремятся использовать его во вред пользователю. Но маловероятно, что крупные разработчики ОС стремятся надёжно защитить DNS доступным для большинства людей способом, потому что они часто заинтересованы в монетизации, как и интернет-провайдеры. Кроме того, эти разработчики могут столкнуться с сопротивлением изменениям со стороны некоторых правительств, которые хотят сохранить возможности мониторинга DNS.
Так что в ближайшее время эти протоколы останутся инструментом для тех немногих людей, кто реально заботится о конфиденциальности своих данных и готов для этого немного потрудиться. Надеюсь, сообщество вокруг DNSCrypt продолжит свою активность и продвинет ситуацию вперёд.