Мухомор VPN

Безопасный DNS: DoH и DoT

DNS-запросы показывают, какие сайты вы открываете, и шифрование DoH, DoT или туннель WireGuard прячут этот след от посторонних.

Что такое DNS и зачем он нужен

DNS (Domain Name System) — это «телефонная книга» интернета: когда вы вводите адрес сайта, устройство сначала спрашивает у DNS-сервера, какому IP-адресу он соответствует. Без этого шага браузер просто не знает, куда подключаться. Проблема в том, что по умолчанию такие запросы идут открытым текстом: их видит ваш интернет-провайдер, владелец Wi-Fi в кафе или гостинице, а иногда и случайный человек в той же сети. Даже если сам сайт работает по HTTPS, имя домена в DNS-запросе остаётся читаемым — то есть список открытых вами ресурсов фактически не приватен.

Почему происходит утечка DNS

Утечка DNS — это ситуация, когда запросы об именах сайтов уходят минуя защищённый канал и попадают к провайдеру или владельцу сети. Так бывает, если VPN настроен неполностью, если в системе прописаны сторонние DNS-серверы, или если приложение игнорирует туннель. Чтобы проверить себя, сделайте три шага: 1) подключитесь к защищённому соединению; 2) откройте любой сервис проверки утечки DNS; 3) сравните показанный DNS-сервер с тем, что должен использовать ваш туннель. Если в результатах виден DNS вашего провайдера — запросы утекают, и приватность нарушена.

Шифрование DNS: DoH и DoT

Шифрование DNS закрывает запросы от посторонних глаз. DoH (DNS over HTTPS) упаковывает запросы в обычный HTTPS-трафик и отправляет их на порт 443 — со стороны это почти неотличимо от загрузки сайта. DoT (DNS over TLS) использует отдельный защищённый канал на порту 853. Оба стандарта решают одну задачу: ваш провайдер или владелец сети больше не видит, какие домены вы запрашиваете. Включить DoH можно прямо в браузере: в настройках безопасности найдите пункт «DNS через HTTPS» и выберите доверенный сервер. Это хороший базовый шаг, но он защищает только тот браузер, где включён.

Как туннель прячет DNS-запросы

Самый надёжный вариант — отправлять все DNS-запросы внутри шифрованного туннеля. Когда вы подключаете Muhomor VPN на WireGuard, и трафик, и резолвинг имён идут через зашифрованный канал до сервера. Чтобы настроить это аккуратно: 1) оформите пробный период и получите конфиг на e-mail; 2) установите приложение WireGuard и импортируйте файл; 3) включите туннель и проверьте, что в конфиге задан DNS из той же сети; 4) откройте сервис проверки утечки DNS и убедитесь, что виден только сервер туннеля. Так защищён весь обмен на устройстве — не только браузер, но и мессенджеры и фоновые приложения.

Частые вопросы

Чем DoH отличается от DoT?

DoH передаёт DNS-запросы внутри обычного HTTPS-трафика на порт 443, а DoT использует выделенный порт 853. Оба шифруют запросы, но DoH сложнее отличить от веб-трафика.

Нужен ли VPN, если я уже включил DoH в браузере?

DoH в браузере шифрует только DNS этого браузера. Шифрованный туннель WireGuard защищает DNS-запросы всех приложений и весь остальной трафик устройства.

Как проверить, что DNS больше не утекает?

Подключитесь к Muhomor VPN и откройте сервис проверки утечки DNS. Если в результатах показан только сервер вашего туннеля, а не DNS провайдера, запросы идут зашифрованно.