Привет, Хабр! Режим «Инкогнито» создает лишь локальную иллюзию приватности. Настоящая «дыра» в конфиденциальности находится уровнем выше: ваш интернет-провайдер видит каждый DNS-запрос, то есть знает, к каким сайтам вы обращаетесь, даже если само соединение с ними защищено через HTTPS.

В этой статье мы подробно разберем, как за несколько минут переключиться на приватные шифрованные DNS-серверы. Это позволит не только скрыть от провайдера историю ваших посещений, но и как приятный бонус - ускорить интернет, заблокировать значительную часть рекламы и защититься от фишинга.

Почему это важно? Немного теории

Давайте на пальцах разберем механику. Когда вы вводите в браузере habr.com, ваш компьютер отправляет запрос к DNS-серверу (обычно это сервер вашего провайдера) с вопросом: «Какой IP у habr.com?». Сервер отвечает, и только после этого браузер устанавливает соединение.

Проблема в том, что по умолчанию этот запрос может прочитать кто угодно по пути, и в первую очередь - сам провайдер. Он видит, к какому домену вы обращаетесь, и может легко вести лог всех сайтов, которые посещают его клиенты.

Именно эту проблему решают современные протоколы шифрования DNS-запросов:

• DNS over TLS (DoT): «Заворачивает» DNS-запрос в защищенный TLS-туннель. Работает по отдельному порту 853, что делает его трафик узнаваемым.

• DNS over HTTPS (DoH): Маскирует DNS-запрос под обычный HTTPS-трафик (порт 443). Внешне он неотличим от вашего обычного веб-серфинга, что делает его блокировку практически невозможной без нарушения работы всего интернета.

Конечно, для максимального контроля можно поднять собственный DNS-резолвер на Raspberry Pi с помощью Pi-hole или AdGuard Home. Это отличный проект для энтузиастов. Но использование публичных приватных DNS - это самый простой и быстрый способ получить 95% преимуществ с 5% усилий.

Шаг 1: Выбираем подходящий сервис

Публичных DNS-серверов много, и у каждого своя философия. Вот несколько самых популярных и проверенных временем вариантов.

В инструкциях ниже мы будем использовать адреса AdGuard DNS и Quad9 как примеры, но вы можете использовать любой сервис из списка.

Пара слов о российских реалиях и корпоративных сетях

Ни для кого не секрет, что Роскомнадзор периодически пытается блокировать крупные публичные DNS. Из‑за этого некоторые сервисы (особенно Cloudflare) могут временами «штормить».

Если для вас стабильность важнее всего, имеет смысл посмотреть в сторону российских аналогов. Самый известный - Яндекс.DNS (если доверяете)

А если вы работаете в офисе или подключены к корпоративной сети, то скорее всего, DNS вам менять не стоит, так как сисадмины используют внутренние DNS-серверы для работы локальных сервисов и обеспечения безопасности.

Шаг 2: Пошаговая инструкция для всех платформ

Время переходить к практике. Это действительно займет не больше нескольких минут.

Android

На Android это делается в несколько касаний благодаря нативной поддержке Private DNS (DoT).

1. Откройте Настройки → Сеть и интернет → Дополнительно → Персональный DNS-сервер. Путь может немного отличаться в зависимости от оболочки, поэтому проще всего вбить в поиске настроек "DNS".

2. Выберите опцию «Имя хоста поставщика персонального DNS-сервера».

3. Введите адрес выбранного сервера, например, dns.adguard-dns.com или dns.quad9.net.

4. Нажмите «Сохранить».

iOS / iPadOS

Apple реализовала поддержку через установку специального профиля конфигурации.

1. Откройте в браузере Safari генератор профилей, например, от AdGuard: https://adguard-dns.io/ru/public-dns.html.

2. Выберите вкладку "Метод 2". Выберите нужный вам сервер (например, AdGuard DNS) и нажмите «Загрузить профиль».

3. Система запросит разрешение на загрузку профиля. Разрешите.

4. Перейдите в Настройки. В самом верху появится пункт «Профиль загружен». Нажмите на него.

5. Нажмите «Установить» в правом верхнем углу и следуйте инструкциям. После установки ваш DNS-трафик будет защищен.

Windows 11

В Windows 11 появилась встроенная поддержка DNS over HTTPS.

Способ 1: Графический интерфейс

1. Откройте Параметры → Сеть и Интернет.

2. Выберите ваше активное подключение (например, Wi-Fi или Ethernet).

3. Нажмите «Свойства оборудования».

4. В строке «Назначение DNS-сервера» нажмите кнопку «Изменить».

5. В выпадающем меню выберите «Вручную» и включите переключатель IPv4.

6. В поля «Предпочтительный DNS-сервер» и «Альтернативный DNS-сервер» впишите IP-адреса. Например, 94.140.14.14 и 94.140.15.15.

7. В выпадающих меню «Предпочтительное шифрование DNS» и «Альтернативное шифрование DNS» выберите «Только шифрование (DNS через HTTPS)».

8. Нажмите «Сохранить».

Способ 2: PowerShell (для ценителей)

Откройте PowerShell от имени администратора и выполните команду для вашего сетевого интерфейса (узнать имя можно командой Get-NetAdapter):

# Пример для Wi-Fi и AdGuard DNS
Set-DnsClientServerAddress -InterfaceAlias "Wi-Fi" -ServerAddresses ("94.140.14.14", "94.140.15.15")

macOS

Способ 1: Графический интерфейс

1. Откройте Системные настройки → Сеть.

2. Выберите ваше активное подключение и нажмите кнопку «Подробнее...».

3. Перейдите на вкладку DNS.

4. В левой панели нажмите на «+», чтобы добавить новые DNS-серверы, и введите IP-адреса выбранного сервиса (например, 9.9.9.9 и 149.112.112.112).

5. Нажмите «ОК».

Способ 2: Терминал

# Пример для Wi-Fi и Quad9
networksetup -setdnsservers Wi-Fi 9.9.9.9 149.112.112.112

Для нативной поддержки DoH/DoT в macOS, как и в iOS, потребуется установка профиля конфигурации.

Linux (с systemd-resolved)

Многие современные дистрибутивы используют systemd-resolved для управления DNS.

1. Откройте конфигурационный файл в текстовом редакторе:

   sudo nano /etc/systemd/resolved.conf

2. Найдите и раскомментируйте (уберите # в начале строки) или добавьте следующие строки в секции [Resolve]:

   [Resolve]
   DNS=94.140.14.14#dns.adguard-dns.com 94.140.15.15#dns.adguard-dns.com
   DNSOverTLS=opportunistic

   DNS=... - IP‑адреса выбранных вами серверов через пробел.
   DNSOverTLS=opportunistic - система будет пытаться использовать шифрование DoT по возможности. Если не получается, то откатывается к обычному DNS. Такой вариант не сломает вам интернет, если провайдер блокирует DoT или сервер временно недоступен по защищенному протоколу.

3. Сохраните файл (Ctrl+O, Enter) и закройте редактор (Ctrl+X).

4. Перезапустите сервис:

   sudo systemctl restart systemd-resolved

5. Проверьте статус, чтобы убедиться, что новые серверы используются:

   resolvectl status

Заключение

Поздравляю! Вы только что сделали огромный шаг к повышению своей цифровой гигиены. Теперь ваш интернет-провайдер видит значительно меньше информации о вашей сетевой активности, а вы, в зависимости от выбранного сервиса, получили мощный щит от рекламы или вредоносных сайтов. Это простое действие, которое не требует глубоких технических знаний, но дает ощутимый результат здесь и сейчас.

P.S. Больше подобных практических советов по приватности и IT я публикую в своем авторском Telegram-канале: cat relay.log.