Для блокировки вредоносного ПО и контента для взрослых:
Протокол Интернета 6 (TCP/IPv6)
Стандартные (скорость и приватность):
Для блокировки вредоносного ПО:
Для блокировки вредоносного ПО и контента для взрослых:
Шифрование DNS-запросов
DNS-over-HTTPS
Для блокировки вредоносного ПО:
Для блокировки вредоносного ПО и контента для взрослых:
DNS-over-TLS
Для Android 9 и выше
Перейдите в Настройки > Сеть и Интернет > Дополнительно > Персональный DNS сервер, и введите туда следующее доменное имя:
Как настроить DNS
О сервисе
Полезные ссылки
Также посмотрите
Подробное описание
Многие пользователи не понимают, что при посещении зашифрованных сайтов сервер доменных имен все равно получает информацию о всем посещаемых ресурсах. Это означает, что если вы используете DNS-сервер по умолчанию, то ваш Интернет-провайдер, каждая беспроводная сеть, к которой вы подключены и ваш мобильный оператор получают списки всех посещенных вами сайтов.
Провайдеры могут просматривать данные своих пользователей и находить способы для монетизации этих данных. Эта проблема актуальная во всем мире.
DNS-серверы могут быть слабым звеном в процесс безопасного серфинга в Интернете. Cloudflare DNS не только улучшает конфиденциальность, скрывая информацию о сайтах, которые вы посещаете, но и увеличивает скорость соединения с веб-ресурсами.
Источник
Встречаем сервис от Cloudflare на адресах 1.1.1.1 и 1.0.0.1, или «полку публичных DNS прибыло!»
Компания Cloudflare представила публичные ДНС на адресах:
Утверждается, что используется политика «Privacy first», так что пользователи могут быть спокойны за содержание своих запросов.
Сервис интересен тем, что кроме обычного DNS предоставляет возможность использовать технологий DNS-over-TLS и DNS-over-HTTPS, что здорово помешает провайдерам по пути запросов подслушивать ваши запросы — и собирать статистику, следить, управлять рекламой. Cloudflare утверждает, что дата анонса (1 апреля 2018, или 04/01 в американской нотации) была выбрана не случайно: в какой еще день года представить «четыре единицы»?
Поскольку аудитория Хабра технически подкована, традиционный раздел «зачем нужен DNS?» я помещу под конец поста, а здесь изложу более практически полезные вещи:
Как использовать новый сервис?
Самое простое — в своем DNS-клиенте (или в качестве upstream в настройках используемого вами локального DNS-сервера) указываем приведенные выше адреса DNS-cерверов. Имеет ли смысл заменить привычные значения гугловских DNS (8.8.8.8 и т.д.), либо чуть менее распространенных яндексовских публичных серверов DNS (77.88.8.8 и иже с ними) на сервера от Cloudflare — решат вам, но за новичка говорит график скорости ответов, согласно которому Cloudflare работает быстрее всех конкурентов (уточню: замеры сделаны стронним сервисом, и скорость до конкретного клиента, конечно, может отличаться).
Гораздо интереснее работа с новыми режимами, в которых запрос улетает на сервер по шифрованному соединению (собственно, ответ возвращается по нему же), упомянутыми DNS-over-TLS и DNS-over-HTTPS. К сожалению, «из коробки» они не поддерживаются (авторы верят, что это «пока»), но организовать в своем ПО (либо даже на своей железке) их работу несложно:
DNS over HTTPs (DoH)
Как и следует из названия, общение идет поверх HTTPS-канала, что предполагает
наличие точки приземления (endpoint) — он находится по адресу https://cloudflare-dns.com/dns-query, и
клиента, который умеет отправлять запросы, и получать ответы.
Запросы могут быть либо в формате DNS Wireformat, определенном в RFC1035 (отправляться HTTP-методами POST и GET), либо в формате JSON (используется HTTP-метод GET). Лично для меня идея делать DNS-запросы через HTTP-запросы показалась неожиданной, однако рациональное зерно в ней есть: такой запрос пройдет многие системы фильтрации трафика, парсить ответы достаточно просто, а формировать запросы — ещё проще. За безопасность ответчают привычные библиотеки и протоколы.
Примеры запросов, прямо из документации:
GET-запрос в формате DNS Wireformat
POST-запрос в формате DNS Wireformat
То же, но с использованием JSON
Очевидно, что редкий (если вообще хоть один) домашний роутер умеет так работать с DNS, но это не означает, что поддержка не появится завтра — причем, что интересно, здесь мы вполне можем реализовать работу с DNS в своем приложении (как уже собирается сделать Mozilla, как раз на серверах Cloudflare).
DNS over TLS
По умолчанию, DNS запросы передаются без шифрованния. DNS over TLS — это способ отправлять их по защищенному соединению. Cloudflare поддерживает DNS over TLS на стандартном порту 853, как предписывается RFC7858. При этом используется сертификат, выписанный для хоста cloudflare-dns.com, поддерживаются TLS 1.2 и TLS 1.3.
Установление связи и работа по протоколу происходит примерно так:
До установления соединения с DNS клиент сохраняет закодированный в base64 SHA256-хеш TLS-сертификата cloudflare-dns.com’s (называемый SPKI)
DNS клиент устанавливает TCP соединение с cloudflare-dns.com:853
DNS клиент инициирует процедуру TLS handshake
В процессе TLS handshake, хост cloudflare-dns.com предъявляет свой TLS сертификат.
Как только TLS соединение установлено, DNS клиент может отправлять DNS запросы поверх защищенного канала, что предотвращает подслушивание и подделку запросов и ответов.
Все DNS запросы, отправляемые через TLS-соединение, должны соответствовать спецификации по отправке DNS поверх TCP.
Пример запроса через DNS over TLS:
Этот вариант, похоже, лучше подойдет для локальных DNS-серверов, обслуживающих нужды локальной сети либо одного пользователя. Правда, с поддержкой стандарта не очень хорошо, но — будем надеяться!
Два слова пояснений, о чём разговор
Аббревиатура DNS расшифровывается как Domain Name Service (так что говорить «сервис DNS» — несколько избыточно, в аббревиатуре уже есть слово «сервис»), и используется для решения простой задачи — понять, какой IP-адрес у конкретного имени хоста. Каждый раз, когда человек щёлкает по ссылке, либо вводит в адресной строке браузера адрес (скажем, что-то вроде «https://habrahabr.ru/post/346430/»), компьютер человека пытается понять, к какому серверу следует направить запрос на получение содержимого страницы. В случае habrahabr.ru ответ от DNS будет будет содержать указание на IP-адрес веб-сервера: 178.248.237.68, и далее браузер уже попробует связаться с сервером с указанным IP-адресом.
В свою очередь, сервер DNS, получив запрос «какой IP-адрес у хоста с именем habrahabr.ru?», определяет, знает ли он что-либо об указанном хосте. Если нет, он делает запрос к другим серверам DNS в мире, и, шаг за шагом, пробует выяснить ответ на заданный вопрос. В итоге, по нахождению итогового ответа, найденные данные отправляются всё ещё ждучему их клиенту, плюс сохраняются в кеше самого DNS-сервера, что позволит в следующий раз ответить на подобный вопрос гораздо быстрее.
Обычная проблема состоит в том, что, во-первых, данные DNS-запросов передаются в открытом виде (что дает всем, кто имеет доступ к потоку трафика, вычленить DNS-запросы и получаемые ответы, а затем проанализировать их для своих целей; это дает возможность таргетирования рекламы с точностью для клиента DNS, а это совсем немало!). Во-вторых, некоторые интернет-провайдеры (не будем показывать пальцем, но не самые маленькие) имеют тенденцию показа рекламы вместо той или иной запрошенной страницы (что реализуется весьма просто: вместо указанного IP-адреса для запроса по имени хоста habranabr.ru человеку случайным образом возвращается адрес веб-сервера провайдера, где отдается страница, содержащая рекламу). В-третьих, существуют провайдеры интернет-доступа, реализующие механизм выполнения требований о блокировке отдельных сайтов, через подмену правильных DNS-ответов про IP-адресов блокируемых веб-ресурсов на IP-адрес своего сервера, содержащего страницы-заглушки (в результате доступ к таким сайтам заметно усложняется), либо на адрес своего прокси-сервера, осуществляющего фильтрацию.
Здесь, вероятно, нужно поместить картинку с сайта http://1.1.1.1/, служащего для описания подключения к сервису. Авторы, как видно, совершенно уверены в качестве работы своего DNS (впрочем, от Cloudflare трудно ждать другого):
Можно вполне понять компанию Cloudflare, создателя сервиса: они зарабатывают свой хлеб, поддерживая и развивая одну из самых популярных CDN-сетей в мире (среди функций которой — не только раздача контента, но и хостинг DNS-зон), и, в силу желания тех, кто не очень разбирается, учить тех, кого они не знают, тому, куда ходить в глобальной сети, достаточно часто страдает от блокировок адресов своих серверов со стороны не будем говорить кого — так что наличие DNS, не подверженного влиянию «окриков, свистков и писулек», для компании означает меньший вред их бизнесу. А технические плюсы (мелочь, а приятно: в частности, для клиентов бесплатного DNS Cloudflare обновление DNS-записей ресуров, размещенных на DNS-серверах компании, будет мгновенным) делают пользование описываемого в посте сервиса еще более интересным.
Исправлена ошибка, из-за которой журналы warp-diag не включались при использовании функции отправки отзывов через приложение.
Исправлена проблема в логике повторного подключения: повторные попытки подключения инициировались не всегда при изменении сети. .
Новое в версии 2021.11.155.0 (Windows) :
Изменена схема обозначения релизов: YYYY.M.build_number (например, 2021.11.123).
В именах файлов журнала, хранимых warp-diag, используются временные метки.
Добавлена информация трассировки в warp-diag для пунктов назначения Teams, чтобы помочь отладить проблемы с подключением.
warp-diag теперь сообщает о состоянии при запуске с терминала.
warp-diag теперь позволяет использовать флаг —output, чтобы вы могли указать, где хранятся данные диагностики.
Исправлены проблемы надежности за счет перемещения запросов DoH за пределы туннеля.
Повышена общая надежность демона / службы, в том числе улучшен механизм подключения к графическому интерфейсу (уменьшено количество ошибок IPC).
Исправлен режим прокси localhost, который был нарушен в последней версии.
Исправлена ошибка, из-за которой проверки позиции не выполнялись каждые 5 минут, как должны.
Исправлена проблема с освобождением DNS сокетов, которая приводила к ошибкам использования адреса.
Исправлена ошибка, из-за которой параметр mdm auto_connect работал некорректно, если switch_locked = false.
Исправлена проблема, когда недействительный сертификат на устройстве приводил к тому, что клиент не мог подключиться.
Исправлена ошибка, из-за которой окно настроек могло «застревать» за другими окнами.
Cloudflare WARP для мобильных устройств
Новое в версии 6.9 (Android) :
Теперь поддерживает правила разделения туннеля по доменам в дополнение к IP-адресам.
Теперь поддерживает включение только правил разделенного туннеля.
Исправлена ошибка, из-за которой правила доступа на основе личности некорректно работали на мобильных устройствах.
Исправлена проблема, из-за которой WARP to Tunnel не работал для определенных диапазонов частных IP-адресов.
Другие мелкие исправления ошибок и улучшения согласованности пользовательского интерфейса.
Новое в версии 6.7 (iOS) :
Теперь поддерживает правила разделения туннеля по доменам в дополнение к IP-адресам.
Теперь поддерживает включение только правил разделенного туннеля.
Исправлена ошибка, из-за которой правила доступа на основе личности некорректно работали на мобильных устройствах.
Исправлена проблема, из-за которой WARP to Tunnel не работал для определенных диапазонов частных IP-адресов.
Другие мелкие исправления ошибок и улучшения согласованности пользовательского интерфейса.
Источник
DNS 1.1.1.1 CloudFlare на Android и iOS
CloudFlare запустил свою службу DNS-резолвинга 1.1.1.1 еще в апреле 2018 года как более быструю и безопасную альтернативу DNS вашего интернет-провайдера, общедоступного DNS Google и даже OpenDNS от Cisco.
На сегодняшний день это самый быстрый сервис DNS с упором на конфиденциальность данных. Компания делает акцент на безопасности пользователей и обещает удалять все данные DNS-запросов по истечении 24 часов.
DNS 1.1.1.1 CloudFlare
В основе работы сервиса лежит open source DNS-сервер Knot Resolver. Компания CloudFlare воспользовалась им, так как он имеет почти все нужные ей функции, а также использует модульную архитектуру. DNS-сервер Cloudflare использует протоколы DNS-over-TLS и DNS-over-HTTPS.
На момент написания статьи общемировая задержка 1.1.1.1 составляет 14 мс. Это меньше показателей популярных OpenDNS (20 мс) и Google DNS (34 мс), что делает его самым быстрым DNS-сервером.
Хотя создание бесплатной службы на компьютерах было простым процессом, было сложно и практически невозможно настроить 1.1.1.1 на Android и iOS. Однако Cloudflare предоставила приложение для обеих платформ, чтобы упростить настройку вашего телефона или планшета для использования DNS-адреса 1.1.1.1.
Как настроить 1.1.1.1 CloudFlare DNS на телефоне
Процесс переключения IP-адреса DNS по умолчанию в 1.1.1.1 CloudFlare очень прост.
Загрузите приложение из Google Play или iTunes
Откройте приложение 1.1.1.1.
Нажмите кнопку OK, чтобы разрешить настройку подключения VPN
Переключите ползунок в положение «On»
Вместо того, чтобы изменять сетевые настройки на вашем устройстве, мобильное приложение использует функции VPN для инкапсуляции и маршрутизации трафика в DNS 1.1.1.1, что сделает невозможным отслеживание вашей онлайн-активности со стороны провайдера.
Нажав на кнопку в нижней части экрана «Три полоски», а затем выбрав пункт «Advanced», вы можете просмотреть информацию о подключении и настроить шифрование.
Пункт «Logs» отображает информацию об отладке, которая может оказаться полезной для устранения неполадок и устранения проблем с подключением (данная информация автоматически удаляется каждые 24 часа).
