DNS over HTTPS (DoH) позволяет улучшить приватность, безопасность и надежность соединения за счет шифрования DNS запросов, которые обычно передаются в текстовом виде.
DNS over HTTPS в последнее время стал очень популярным. В браузерах Google Chrome, Mozilla Firefox, Microsoft Edge и Opera уже реализована поддержка этого стандарта. Поддержка DoH в приложениях, в частности в браузерах, означает, что DNS-запросы, инициируемые программой, зашифровываются. Однако, запросы от других браузеров, которые не поддерживают DNS over HTTPS, будут совершаться в открытом текстовом виде.
Microsoft собирается это изменить, внедрив поддержку DNS over HTTPS в операционную систему Windows 10. В инсайдерской сборке Windows 10 Build 19628 была добавлена начальная поддержка DNS over HTTPS, а в Windows 10 Build 20185 (Dev) появилась возможность настраивать шифрование DNS over HTTPS в приложении «Параметры». После успешного тестирования технология станет доступна в стабильных сборках ОС.
Нативная поддержка DNS over HTTPS в Windows 10
Убедитесь, что ваша учетная запись Microsoft является частью Программы предварительной оценки Windows 10. Если вы знаете, что уже являетесь инсайдером Windows, убедитесь, что находитесь на канале обновления Dev и перейдите к настройке DNS over HTTPS. Если нет, то следуйте нашим инструкциям, чтобы получить последнюю версию сборки Windows 10 Insider Preview на Канале Dev.
После этого запустите Центр обновления Windows, установите последнюю доступную сборку и убедитесь, что вы используете Windows 10 Build 20185 или выше. Для проверки версии Windows 10 запустите окно команды Выполнить (Win+R) и введите команду winver
.
Как включить нативный DoH-клиент в Windows 10
Как только вы узнаете, что у вашей версии Windows 10 есть поддержка нативного DoH-клиента, вы сможете включить шифрование DNS over HTTPS в приложении «Параметры». Для этого выполните следующие действия:
- Для Ethernet-соединений: Перейдите в меню Параметры > Сеть и Интернет > Состояние. Щелкните Свойства, затем выберите Редактировать Назначение IP или Редактировать Назначение DNS-сервера. Настройки DNS будут доступны во всплывающем окне.
- Для Wi-Fi-подключений: Перейдите в Перейдите в меню Параметры > Сеть и Интернет" > Wi-Fi. Щелкните ссылку "Свойства адаптера", затем выберите выберите Редактировать Назначение IP или Редактировать Назначение DNS-сервера. Настройки DNS будут доступны во всплывающем окне. В настоящее время вы не увидите опции шифрования, если перейдете на страницу свойств отдельной сети.
Для настройки шифрования DNS–запросов доступны следующие опции в выпадающем меню Предпочтительное шифрование DNS:
- Только незашифрованные
- Только зашифрованные (DNS поверх HTTPS)
- Зашифрованный предпочтительный, незашифрованный
Чтобы разблокировать выпадающее меню и выбрать использование шифрования DNS over HTTPS, вы должны добавить IP-адрес, указанный ниже в таблице. В данный момент Microsoft поддерживает только безопасные серверы Cloudflare DNS, Google Public DNS и Quad9 DNS:
Провайдер | IP-адреса серверов |
---|---|
Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 | |
Quad9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Примечание
Если вы хотите использовать другие DoH-серверы, которые Microsoft еще не поддерживает, вы можете настроить IP-адрес для распознавания в качестве DoH-сервера с помощью команды netsh
по данной инструкции.
Убедитесь, что шифрование включено, посмотрев на применяемые DNS-серверы в свойствах сети – вы должны увидеть, что используемые серверы помечены как (зашифровано).
Как проверить работу DNS over HTTPS в Windows 10
Теперь, когда Windows 10 настроена на использование протокола DNS over HTTPS, вы можете проверить работу шифрования DNS-трафика – DNS трафик с вашего устройства больше не должен регистрироваться в обычном текстовом виде. Вы можете сделать проверку с помощью анализатора сетевого трафика Packetmon, входящего в состав Windows.
Откройте Командную строку или PowerShell от имени администратора. Запустите следующую команду, чтобы сбросить все фильтры пакетов сетевого трафика, которые мог использовать PacketMon:
pktmon filter remove
Выполните следующую команду, чтобы добавить фильтр пакетов для порта 53, который использует классический DNS (и который теперь не должен пропускать трафик, так как мы используем только DNS over HTTPS).
pktmon filter add -p 53
Выполните следующую команду, чтобы начать регистрацию трафика в реальном времени. В командной строке должны выводиться все пакеты порта 53. Если ваше устройство настроено только на использование DoH-серверов, то команда не покажет никаких значений.
pktmon start --etw -m real-time
Добавление Comss.one DNS в качестве DNS over HTTPS сервера в Windows 10
Если вы хотите протестировать DNS over HTTPS серверы, которые Microsoft еще не добавила в список первоначальной поддержки, например, DoH-сервер вашего провайдера, вы можете добавить его в список вручную, используя командную строку. Сначала определите IP-адреса и шаблон DoH URI для сервера, который вы хотите использовать.
Например, чтобы настроить DoH-сервер Comss.one DNS, добавьте IP-адреса сервиса, выполнив следующие команды от имени администратора:
netsh dns add encryption server=92.38.152.163 dohtemplate=https://dns.comss.one/dns-query
netsh dns add encryption server=93.115.24.204 dohtemplate=https://dns.comss.one/dns-query
Вы можете проверить, что шаблон был применен к указанному DoH-серверу. Для этого выполните следующие команды, которые должны вывести шаблон, используемый для конкретного добавленного IP-адреса:
netsh dns show encryption server=92.38.152.163
netsh dns show encryption server=93.115.24.204
Теперь, если настроить Windows 10 на использование IP-адресов Comss.one DNS (92.38.152.163 и 93.115.24.204) в приложении «Параметры», вам будет доступна опция шифрования DNS over HTTPS:
Выполните проверку работы добавленного DoH-сервера.
Последние статьи #Windows10
• Microsoft добавила темы в Магазин «Надстройки Edge»
• Обновление KB4598291 Preview для Windows 10, версия 20H2 и 2004
• Обновление KB4598298 Preview для Windows 10, версия 1909
• Microsoft Edge 88: Генератор паролей, синхронизация вкладок и истории, другие изменения
• Microsoft готовит Windows 10, версия 21H1 к релизу
• Windows 10 Build 21296 (Dev) доступен для тестирования