1523257573356.jpg28 Кб, 450x361
Единый выбора DNS тред /dns/ #2 Аноним (Google Android: Mobile Safari) 2286013 В конец треда | Веб
Тред обсуждения \ выбора DNS.
Довольно интересная тема для попиздеть, узнать кто чем пользуется, просто обосрать какого-то провайдера.

Предыдущий тред: https://arhivach.org/thread/328428

Cloudflare DNS
> DNS: 1.1.1.1 / 1.0.0.1 / 2606:4700:4700::1111 / 2606:4700:4700::1001
https://1.1.1.1/
Компания Cloudflare предоставляет услуги DNS, CDN-прокси и защиты от DDoS-атак.
Позиционирование: Совместно с APNIC, они основали DNS-сервер с упором на скорость и приватность. Имеется поддержка DNS-over-TLS и DNS-over-HTTPS. Занимает первое место в рейтинге по версии DNSPerf.
На самом деле: медленнее серверов Google. В тесте на защиту от спуфинга от GRC получает статус "Moderate", что настораживает. Есть статья на Хабре "с разбором полётов" https://habrahabr.ru/post/352654/

Google Public DNS
> DNS: 8.8.8.8 / 8.8.4.4
https://developers.google.com/speed/public-dns/
Позиционирование: быстрый резолвинг адрессов по всему миру.
Монетизация: очередной проект (коих сотни) на бюджете у самой дорогой и успешной рекламной конторы. Могут себе позволить.
На самом деле: анаизируют траффик, применяют различные эксперименты, смотрят кто и как и что делает в интернетах. Довольно быстро резовлят адреса, и новые, только появившиеся домены, или изменения в записях DNS.

OpenDNS
> DNS: 208.67.222.123
https://www.opendns.com/home-internet-security/
Позиционирование: быстрый, надежный, безопасный DNS с вменяемой информацией откуда у них собственно бабло и мотивация заниматься этим бизнесом. Но с 2015 года после покупки за 675 миллионов долларов CISCO, которая славится своим открытым сотрудничеством с американскими ГэБэ отношение немного подпорчено этим осадочком.
На самом деле: сервера практически по всему миру. В бывший совок их не пустили, но они стоят практически на пороге. На западе очень популярно практически везде, но мало о них говориться. Модель бизнеса с 2005 по 2015 была простой: если домен не резолвится, пользователю открывается страница с рекламой + премиум днс без рекламы и с большим количеством серверов. Т.е. до 2015 года модель полностью логично раскладывала "откуда бабло на сервера, и нахуй вы этим занимаетесь". С 2015 года после покупки ВНЕЗАПНО CISCO - стало все предельно не понятно. Появились "регистрации" где просят вставить зонд поглубже в жопу имя \ фамилию, телефон и так далее. Монетизация изменилась, но так же присутствует. Что как бэ намекает. На выбор анона...

Yandex DNS (2013 - 20...)
> DNS: 77.88.8.8 / 77.88.8.1
https://dns.yandex.com/
Позиционирование: "ответ пиндосам Google, но лучше". Смесь OpenDNS + Google но с задержками близкими к нулю из-за физического расположения в странах бывшего совка. Зарубежем не известен, и никому нахуй не нужен. Предоставляют безопастность, скорость, надежность массаж простаты зондами.
На самом деле: появилось именно в момент политического кризиса на Украине, что уже как бэ намекает. Тут 10 лет ничего не делали, и на - вот вам DNS. Сотрудничает с провайдерами по всей РФ, Украине, Беларуси, Казахстану в плане шары и так далее (палите инфу у своего провайдера) но с 2017 года заблокировано на территории Украины с пруфами за зонды и работу на ГэБэ. Но если даже отнять фактор сотрудничества с гэбухой для развязывания войн - довольно шустрый, хороший, и на удивление качественный DNS сервис (лол, да?). Полностью бесплатный. Хоститься так же как и сервис гугла на своих серверах в точках физического присутствия. Финансируется из общака Яндекса, использует продвинутые технологии фильтрации благодаря приобретенным антивирусным компаниям, и собственным наработкам. Если бы не сотрудничали с ГэБэ был бы довольно годный DNS. Но скорее всего он у тебя анон прямо сейчас предустановлен, если у тебя есть контракт (у провайдера) обмена пиров и так далее для максимальной доступности VK / Одноклассники / Mail.ru / Yandex (аля чебурнет social media).

Quad9
> DNS: 9.9.9.9
https://www.quad9.net/
Позиционирование: смесь Google Public DNS + Yandex DNS но от британцев + IBM. Очень быстрые DNS + безопасность с помощью самых передовых технологий обнаружения и блокирования гадостей в интернет.
На самом деле: очень разрекламированный сервис в ноябре 2017. Содержится на донаты от гос. структур, и прочего скама + хостится на инфраструктуре IBM. Цели - понятны, оно же Yandex но британской (IBM) разлива. Работает быстро, фильтрует грамотно, все четко, если бы не одно но - финансируется государством, и прочим скамом. Они заявляют что никому ничего не продают, ничего не собирают и так далее - но мы то знаем... Физическое размещение серверов ЛУЧШЕ (однако) чем у Google для стран бывшего Совка, Европки, и США. Пользоваться на риск анона. Проблем пока не замечено.

Verisign DNS
> DNS: 64.6.64.6 / 64.6.65.6
https://www.verisign.com/ru_RU/security-services/public-dns/index.xhtml

VeriSign, Inc. (стилизованное название: VERISIGN) – американская компания из города Рестон, Вирджиния, поддерживающая разнообразные сетевые инфраструктуры, включая два из тринадцати существующих корневых серверов DNS, авторитетный реестр доменов верхнего уровня .com, .net, общие домены верхнего уровня .name и домены верхнего уровня с кодом страны .cc и .tv, а также серверные системы для доменов .jobs и .edu. Verisign также предлагает услуги по обеспечению безопасности, включая управляемую службу DNS, противодействие распределённым атакам типа «отказ в обслуживании» (DDoS) и уведомление о кибер-угрозах.

Позиционирование: публичные DNS-сервера представляются как стабильные, безопасные и приватные. Утверждают, что не продают данные пользователей и не перенаправляют на рекламу.
На самом деле: собирают служебные данные, такие как IP-адреса и т.д, поэтому может слить добрым людям из пиндоской гэбни. Высокий пинг, но в тоже время хорошие результаты по тестам GRC.

Твой локальный провайдерский DNS
> DNS: 192.168.0.1 / 10.0.0.1 / ты сам знаешь какой

Позиционирование: минимальные из всех возможных задержек (до 10мс, обычно не превышает 2мс). Максимально быстрое открытие сайтов в виду отсутствия пре-дилея с DNS. Синхронизация DNS обычно раз в час, т.е. через 1 час после покупки домена ты сможешь его отрезолвить и посетить, не раньше... Связано с распиздяйничеством администраторов, экономией ресурсов и так далее. Но это лучше - чем ничего. Никаких защит - нет. Онли - максимальная скорость резолвинга домена.
На самом деле: если важна скорость - то это всегда лучше чем любая из альтернатив выше (кроме яндекса наверное). Из минусов: все посещенные домены (которые отрезолвились) хранятся 2 года на стороне твоего провайдера, т.е. он видит (а так же товарищьмайор) что и когда и как часто посещал. Причем это обязательство, которое не обсуждается. Последствия я думаю ты и сам понимаешь. Любой хуй с тех. поддержки или просто недруг знает что и когда ты посещаешь, где и какую порнуху смотришь и как часто капчуешь. Выбор за тобой.

==================================

Анон, чем пользуешься ты? И почему?
Аноним (Linux: Firefox based) 2 2286039
dnscrypt
/thread
Аноним (Microsoft Windows 10: New Opera) 3 2286042
Так на хабре же написали, что слаудфлаувский днс самый быстрый не? Через dnscrypt поддерживается dns-over-tls/https?
Аноним (Google Android: Mobile Safari) 4 2286044
>>2286039
Там тоже сервера разные
Аноним (Microsoft Windows 7: Firefox based) 5 2286084
Если заменить провайдерский днс на любой друг факт соединения с IP адресом сервера никуда не девается. Так какой смысл?
Аноним (Microsoft Windows 7: Firefox based) 6 2286097
>>2286013 (OP)
>Cloudflare DNS
>На самом деле
Можно смело предполагать, что тоже монетизируют юзеров, как гугл.
Аноним (Microsoft Windows 7: Firefox based) 7 2286115
>>2286042
> Через dnscrypt поддерживается dns-over-tls/https?
В https://dnscrypt.info/faq/ они есть.

>>2286044
Можно те же. Возможно днскрипт2 будет тем самым костылём для старых осей, которые не получат поддержку DNS over HTTPS.

>>2286084
Айпишник далеко не всегда палит, куда ты идёшь. Тем более в наше время. Идёшь на клаудфлярный айпишник и кто по нему поймёт? Там даже не обязательно стучаться на тот, который указан в днс. Можно тупо стучаться на любой из их облака, и тебя направит к искомому сайту. Блокировки так легко обходятся, в хостс пишешь другой клаудфларный айпишник и хуй ложишь.
Вот если бы ты говорил про SNI, то уже более весомый аргумент. Но при подготовке TLS 1.3 было обсуждение скрытия SNI и варианты, так что это не невозможный вариант в будущем. А DNS было полной жопой, которая любые старания по приватности обсирала в 0. И вот наконец эта проблема решается, это прекрасно.
Алсо из комментов хабра с моими []:
> Пережевывать весь https-трафик [а точнее ClientHello] vs отвести на анализ только 53 порт [по которому тупо открытым текстом бегает днс] — для некоторых провайдеров задачи разного масштаба, на это, видимо, и расчет.
1.png54 Кб, 778x472
Аноним (Microsoft Windows 7: Firefox based) 8 2286451
Скачал у васяна jedisct1 архив dns-proxy, убрал у конфига префикс example-, запустил "service-install.bat"

и все?
Аноним (Microsoft Windows 7: Firefox based) 9 2286459
>>2286451
да, похоже все верно сделал, что должно показываться на сайте http://dnsleak.com/ ?
Аноним (Microsoft Windows 10: Chromium based) 10 2286801
Тупой вопрос, при PPPoE подключении днс прописывать нужно у адаптера или у подключения ? Или у обоих ?
Аноним (Microsoft Windows 10: Firefox based) 11 2287039
>>2286801
в зависимости от типа подключения и что нахимичил провайдер. Обычно PPPoE подразумевает полный похуизм на настройки, другими словами - все само должно тебе прописаться от провайдера.

Если вопрос: "я хочу изменить дефолтный провайдерский который выдает мне PPPoE DNS на любой другой", то нужно зайти в дополнительно в роутере в подключениях и ввести нужный тебе днс, либо в настройках своего подключения вбить нужный днс.
Аноним (Microsoft Windows 10: Chromium based) 12 2287060
>>2286459
>>2287039
Какой роутер ? Я сказал что у меня адаптер и pppoe подключение что подразумевает прямое подключение без роутера. И наличие двух подключений - самой сетевой карты и pppoe соединение в котором прописаны параметры авторизации и у них обоих можно прописать параметры ip4 и ip6.
Аноним (Microsoft Windows 7: Firefox based) 13 2287063
>>2286801
У пппое, насколько я помню. Но для верности можешь у обоих поставить, по идее ничего сломаться не должно.
Аноним (Microsoft Windows 7: Firefox based) 14 2287162
Список DNS серверов разных провайдеров мира для тех, кому скучно. http://rgho.st/7Wjhk8w9l
15182200399231.jpg1,1 Мб, 1920x1080
Аноним (Microsoft Windows 10: Chromium based) 15 2289579
BUMP
 .png477 Кб, 600x600
Аноним (Microsoft Windows 7: Firefox based) 16 2289835
Аноним (Google Android: Mobile Safari) 17 2289928
>>2289835
Теперь сложнее будет блочить рекламу
Icon1024.png14 Кб, 479x486
Аноним (Microsoft Windows 10: Chromium based) 18 2289931
>>2289928
и телеметрию, pi-hole больше не прокатит. надеюсь это выключается в настройках.
Аноним (Microsoft Windows 7: Firefox based) 19 2290096
>>2289928
А хостс или всякая blokada, о которой пишут в соседнем треде, не катит? Днс отлавливать для блокировки это какой-то ужасный костыль.
Аноним (Microsoft Windows 7: Firefox based) 20 2290099
>>2289835
> DNSCrypt2 уже умеет в over-tls?
Оказалось, что васян не собирается. Но есть dns-over-https во всех вторых версиях.
Про симплднскрипт виндовый не понятно. Плюс у него сейчас похоже массовые проблемы с запуском службы.
Аноним (Google Android: Mobile Safari) 21 2290142
>>2290096
Хостс никто и не спросит тогда.

Алсо. Многие уже выпускают софт с внутренним dns, например Windows 10, Nvidia, Kaspersky и т.д. Они слушают адрес localhost с определённым портом и юзают его для обхода блокировок.
Аноним (Microsoft Windows 7: Firefox based) 22 2290162
>>2290142
> Хостс никто и не спросит тогда.
Уверен? В чём отличие-то? Никто не долбится в хостс по легаси-днс-протоколу ведь. Просто ось проверяет перед резолвом, есть ли в файле этот домен. Ничего не мешает это и с новыми протоколами делать.
Вот с программами будет проблема, как например лиса в ночнушках dns over https тестирует. Тут ось не знает о резолве, а сама лиса хостс не чекает и возможно даже не имеет доступа.
Но если шифрованием днс занимается сама ось, то работа хостс технически всё так же возможна.
Аноним (Linux: Firefox based) 23 2290965
Почему в шапке нет https://www.opennic.org/ ? Я же писал в прошлых тредах.
Аноним (Google Android: Mobile Safari) 24 2291049
>>2290965
Потому что OpenNic - частные сервера и всех не перечислить
Аноним (Microsoft Windows 7: Firefox based) 25 2291371
>>2291049
ты реально тупой или притворяешься? зачем что-то перечислять, если нужна просто ссылки на проект
Аноним (Microsoft Windows 10: Chromium based) 26 2291415
>>2290965
неюзабельное васянское говно
Аноним (Google Android: Mobile Safari) 27 2291542
>>2291371
Кому надо итак найдут
Аноним (Microsoft Windows 10: Chromium based) 28 2291999
>>2286013 (OP)
>DNS: 1.1.1.1
Почему при настройке stubby на 1,1,1,1 https://dnsleaktest.com/ показывает российский флажок?
И значит ли это что они сливат данные тварищмайору?
Аноним (Google Android: Mobile Safari) 29 2292270
>>2291999
Ты кнопку тест то нажимал?
Аноним (Неизвестно: Неизвестно) 30 2292610
>>2292270
Extended test ,нажимал
Аноним (Google Android: Mobile Safari) 31 2292633
>>2291999
Лол. А разве твой провайдер не может видеть IP твоих подключений и резолвить их?
Аноним (Microsoft Windows 10: Chromium based) 32 2292816
>>2292633
Что они так дрочатся со своими днс, и так их мониторят через cookies, айпишник, и еще масса вариантов.
Аноним (Microsoft Windows 7: Firefox based) 33 2292825
>>2292633
Вот тебе айпишник, резолвь: 104.27.139.191
Какой сайт?
Аноним (Google Android: Mobile Safari) 34 2292876
>>2292825
Ну дык это CDN прокси. Я ж не гэбня чтоб узнать
Аноним (Microsoft Windows 7: Firefox based) 35 2293089
>>2292816
Кто они?
Аноним (Microsoft Windows 7: Firefox based) 36 2293174
>>2292876
Ну вот тебе и ответ, зачем днс шифровать. Потом и до SNI дойдём.
Аноним (Microsoft Windows 7: Firefox based) 37 2293192
>>2291049
Что несешь, там anycast адреса есть. OpenNic однозначно стоило в шапку добавить.

Алсо, был же уже такой тред? Зачем второй?

Про DNSCrypt, DNS over TLS и DNS over HTTPS очень рекомендую почитать вот это, поможет разложить в голове мешанину информации по полочкам.
https://habrahabr.ru/post/353878/
545.png90 Кб, 638x677
Аноним (Linux: Vivaldi) 38 2293379
Внезапно гугл показывает минимальный пинг, в начале месяца ушел от него к Cloudflare, но сегодня решил потестить снова. А вообще думал у яши будет минимальный пинг, но нет
Аноним (Microsoft Windows 7: Firefox based) 39 2293394
>>2293379
Антон, а где ты живёшь? Пинг очень большой.
Аноним (Linux: Vivaldi) 40 2293429
>>2293394
Я меня инет щас через 3g свисток.
Аноним (Microsoft Windows 7: Firefox based) 41 2293454
>>2293379
>^Z
>Остановлен ping
Ты вообще в курсе, что программы завершаются по Ctrl+C? Так, на всякий случай спрашиваю.
Аноним (Linux: Vivaldi) 42 2293516
>>2293454
В курсе, но нахуй закрывать, если можно остановить и пердолится дальше.
Обновить тред