публичные DNS

DNS over TLS от Cloudflare

Использую Quad9, но репутация у них так себе.

DNS провайдера

Обычно это гугловские мапят просто

no thx,

Hamid Sarfraz's answer to How likely is it that CloudFlare is an NSA operation?

Why not cloudflare

Why CloudFlare Is Probably A Honeypot - cypherpunk.is

adguard dns это не просто dns еще и рекламорез в придачу

вокруг Cloudflare столько шума последнее время создаётся. Особенно мне понравилась клоунада на RT, ссылка на которую чуть ли не превая по ключевому слову cloudflare (о якобы покрывательстве компанией cloudflare сайтов террористов).

причём подчерк подобных акций всегда один: куча ссылок на якобы фундаментальные документы (прям как у тебя в посте и в материалах по ссылкам твоего поста), или на авторитетные источники.

возможно, это правда, возможно нет, но факты есть факты. И из чистой логики, почему именно Cloudflare удостоен такого внимания? Ведь если Cloudflare контроллируется, то все остальные публичные сервисы тем более.

С разморозкой!

Уже актуально тунелировать DNS или шифровать. Или хотя бы из tor брать, но везде dnssec нужен. Никому верить нельзя. Провайдеры перехватят с любого адреса. dnscrypt загибается. Пользуюсь DoT до sinodun.com и getdnsapi.net через stubby и dnsmasq на роутере.

Ачем принципиально отличается DoT и DoH? Правильно я понимаю что в обоих случаях DNS имя шифруется, то есть пров не видит во что отрезольвился IP?

для обхода роскомпозоровских/провайдерских блокировок по DNS он годится, но надо понимать что вместо местной гебни трафик будет читать забугорная, лучше выбрать openNIC, dns.watch, cz.nic или вообще заморочиться и сделать selfhosted

opennic вроде не умеет dot\doh

в первом случае dns over TLS, в другом over HTTPS, пров в обоих случаях не видит

dnscrypt загибается

с чего это он загибается-то? как работал, так и работает.

Но в случае DoH пров может вообще не понять что идет трафик DNS, а с DoT видно что идет обмен (хоть и шифрованный) по DNS. Правильно мыслю?

да, более подробно можно почитать здесь

От первой версии разработчик отказался, а вторая ненужна. Списки устарели. Многие сервера уже недоступны. В том числе из-за РКН. Или тормозят на каждом новом запросе. Я им тоже пользовался, но год назад надоело искать сервера.

Нет. Может понять по порту, но порт любой может быть. Вообще сам факт сложно скрыть. Они они же общедоступны и обычно предоставляют только DNS, так что все понятно по ip и порту.

Кстати, большинство крупных публичных DNSoTLS не защищены от MitM, т.к. не предоставляют информацию для проверки их сертификата.

Безопасно только authoritative с DNSSec кэшируя у себя локально. Остальное всё не безопасно.

А какая разница, кешировать DNS или нет, если сайты и скорее всего гуглокапча генерят уникальные имена для пробива вашего DNS на каждую свою отдельную логическую транзакцию (проверка капчи, регистрация, логин и т.п.)?

cloudflare