Что такое DNS и зачем он нужен
DNS (Domain Name System) — это «телефонная книга» интернета: когда вы вводите адрес сайта, устройство сначала спрашивает у DNS-сервера, какому IP-адресу он соответствует. Без этого шага браузер просто не знает, куда подключаться. Проблема в том, что по умолчанию такие запросы идут открытым текстом: их видит ваш интернет-провайдер, владелец Wi-Fi в кафе или гостинице, а иногда и случайный человек в той же сети. Даже если сам сайт работает по HTTPS, имя домена в DNS-запросе остаётся читаемым — то есть список открытых вами ресурсов фактически не приватен.
Почему происходит утечка DNS
Утечка DNS — это ситуация, когда запросы об именах сайтов уходят минуя защищённый канал и попадают к провайдеру или владельцу сети. Так бывает, если VPN настроен неполностью, если в системе прописаны сторонние DNS-серверы, или если приложение игнорирует туннель. Чтобы проверить себя, сделайте три шага: 1) подключитесь к защищённому соединению; 2) откройте любой сервис проверки утечки DNS; 3) сравните показанный DNS-сервер с тем, что должен использовать ваш туннель. Если в результатах виден DNS вашего провайдера — запросы утекают, и приватность нарушена.
Шифрование DNS: DoH и DoT
Шифрование DNS закрывает запросы от посторонних глаз. DoH (DNS over HTTPS) упаковывает запросы в обычный HTTPS-трафик и отправляет их на порт 443 — со стороны это почти неотличимо от загрузки сайта. DoT (DNS over TLS) использует отдельный защищённый канал на порту 853. Оба стандарта решают одну задачу: ваш провайдер или владелец сети больше не видит, какие домены вы запрашиваете. Включить DoH можно прямо в браузере: в настройках безопасности найдите пункт «DNS через HTTPS» и выберите доверенный сервер. Это хороший базовый шаг, но он защищает только тот браузер, где включён.
Как туннель прячет DNS-запросы
Самый надёжный вариант — отправлять все DNS-запросы внутри шифрованного туннеля. Когда вы подключаете Muhomor VPN на WireGuard, и трафик, и резолвинг имён идут через зашифрованный канал до сервера. Чтобы настроить это аккуратно: 1) оформите пробный период и получите конфиг на e-mail; 2) установите приложение WireGuard и импортируйте файл; 3) включите туннель и проверьте, что в конфиге задан DNS из той же сети; 4) откройте сервис проверки утечки DNS и убедитесь, что виден только сервер туннеля. Так защищён весь обмен на устройстве — не только браузер, но и мессенджеры и фоновые приложения.
Частые вопросы
Чем DoH отличается от DoT?
DoH передаёт DNS-запросы внутри обычного HTTPS-трафика на порт 443, а DoT использует выделенный порт 853. Оба шифруют запросы, но DoH сложнее отличить от веб-трафика.
Нужен ли VPN, если я уже включил DoH в браузере?
DoH в браузере шифрует только DNS этого браузера. Шифрованный туннель WireGuard защищает DNS-запросы всех приложений и весь остальной трафик устройства.
Как проверить, что DNS больше не утекает?
Подключитесь к Muhomor VPN и откройте сервис проверки утечки DNS. Если в результатах показан только сервер вашего туннеля, а не DNS провайдера, запросы идут зашифрованно.
