Как работает

Что такое DNS

DNS (Domain Name System — «система доменных имен») — это адресная книга интернета, где указан цифровой адрес каждого сайта. Например, URL yandex.ru соответствует адресу 5.255.255.70.

Когда вы набираете в адресной строке URL сайта (например, yandex.ru), браузер отправляет запрос на специальный DNS-сервер. DNS-сервер находит соответствующий этому URL цифровой IP-адрес (в данном случае 5.255.255.70) и отправляет его в ответ вашему браузеру. Чем быстрее работает сервер DNS, тем быстрее у вас откроется сайт.

Зачем нужно шифрование

Обычный незашифрованный DNS-запрос можно сравнить с открыткой, отправленной по почте: любой, кто обрабатывает почту, может случайно увидеть текст, написанный на обратной стороне. А вдруг там конфиденциальная или личная информация?

При отправке незашифрованных запросов:

  • Провайдер и администратор сети могут узнать, какие сайты вы посещаете.
  • Злоумышленник может подменить ответ DNS-сервера и перенаправить вас на вредоносную страницу. Например, вместо сайта банка вы можете оказаться на мошенническом ресурсе, который ворует пароли.

Поэтому все основные браузеры используют шифрование DNS-трафика.

Примечание

Например, в Яндекс Браузере в рамках комплексной защиты Protect используется шифрование DNS over HTTPS (DоH).

Технологии DoT и DoH

Яндекс DNS использует оба основных стандарта шифрования — DNS поверх TLS и DNS поверх HTTPS, которые шифруют запросы и ответы DNS, чтобы обеспечить их безопасность.

DNS поверх TLS (DNS over TLS) или DoT
DoT использует тот же протокол безопасности (TLS), который веб-сайты HTTPS используют для шифрования и аутентификации связей. DoT добавляет шифрование TLS поверх протокола пользовательских дейтаграмм (UDP), который используется для DNS-запросов.
DNS поверх HTTPS (DNS over HTTPS) или DoH
При использовании DoH запросы и ответы DNS зашифровываются, но при этом они отправляются через протоколы HTTP или HTTP/2, а не напрямую через UDP.

Различие стандартов DoT и DoH состоит в том, какой порт они используют. DoT использует выделенный специально под него порт 853, а DoH использует порт 443, который также используется для всего остального трафика HTTPS.

Таким образом DoT дает сетевым администраторам возможность отслеживать и блокировать DNS-запросы, что важно для выявления и остановки вредоносного трафика. А DoH-запросы скрыты в обычном трафике HTTPS, что дает сетевым администраторам меньшую видимость, но обеспечивает пользователям большую конфиденциальность.

Перейти к оглавлению Написать в службу поддержки
Предыдущая
О Яндекс DNS
Следующая
Режимы и IP-адреса