Блог/Приватность
Приватность6 апреля 2026· 6 мин чтения

DNS и приватность: почему каждый ваш сайт виден провайдеру

Даже если вы пользуетесь HTTPS и думаете, что ваш трафик зашифрован, провайдер всё равно знает, какие сайты вы посещаете. Всё дело в DNS — протоколе, который браузер использует при каждом обращении к любому сайту.

Содержание
  1. Что такое DNS и зачем он нужен
  2. Как работает DNS-запрос
  3. Что видит провайдер
  4. DNS-утечка: когда шифрование не помогает
  5. DNS-over-HTTPS и DNS-over-TLS
  6. Почему DoH — не полное решение
  7. Как проверить свои DNS-запросы

Что такое DNS и зачем он нужен

DNS (Domain Name System) — это система, которая переводит человекочитаемые адреса (например, google.com) в IP-адреса (142.250.185.46), с которыми работают компьютеры.

Каждый раз, когда вы открываете сайт, браузер сначала спрашивает DNS-сервер: «Какой IP-адрес у этого домена?» — и только потом устанавливает соединение. Этот запрос отправляется до того, как начнётся какое-либо шифрование.

Аналогия

DNS — как телефонная книга. Вы знаете имя (google.com), но чтобы позвонить, нужен номер (IP). Каждый раз, когда вы «смотрите номер» — провайдер это видит.

Как работает DNS-запрос

1
Вы вводите адрес в браузер или приложение делает запрос к серверу
2
Браузер отправляет DNS-запрос на резолвер (обычно это сервер провайдера)
3
Резолвер возвращает IP-адрес домена
4
Только теперь браузер устанавливает TCP/TLS-соединение с сервером
5
Начинается зашифрованная передача данных по HTTPS

По умолчанию DNS-запросы отправляются открытым текстом по UDP через порт 53. Никакого шифрования. Провайдер видит каждый запрос в реальном времени.

Что видит провайдер

Провайдер видит каждый DNS-запрос с точным доменным именем и временем обращения. Это позволяет ему составить детальную картину вашей онлайн-активности:

  • Какие сайты вы посещаете
    точные доменные имена со временем запроса
  • Как часто вы заходите на сайт
    частота и паттерны запросов к домену
  • Какими приложениями пользуетесь
    DNS-запросы фоновых сервисов приложений
  • Когда вы активны
    временная корреляция запросов
  • Данные для рекламных профилей
    передаются третьим сторонам для таргетинга

Помимо провайдера, DNS-запросы видит и ваш DNS-резолвер. По умолчанию это сервер провайдера (например, 8.8.8.8 у Google или 1.1.1.1 у Cloudflare, если вы сменили его). Эти компании тоже видят все ваши DNS-запросы.

DNS-утечка: когда шифрование не помогает

DNS-утечка — это ситуация, когда приложение или ОС отправляют DNS-запросы в обход зашифрованного канала. Это происходит, даже если вы используете защищённое соединение.

Типичные причины DNS-утечек

  • !ОС использует системный DNS-резолвер, игнорируя настройки приложения
  • !IPv6-запросы уходят напрямую, если приложение туннелирует только IPv4
  • !Приложение использует жёстко прописанный DNS-сервер (например, Google 8.8.8.8)
  • !Браузер использует DoH параллельно с системным DNS — запросы дублируются
  • !WebRTC раскрывает локальный IP и DNS через браузерные запросы
Проблема

Если у вас активно защищённое соединение, но DNS-запросы уходят мимо него — провайдер всё равно видит, какие сайты вы открываете. Это и есть DNS-утечка. Проверить её можно на dnsleaktest.com.

DNS-over-HTTPS и DNS-over-TLS

Два стандарта, которые шифруют DNS-запросы, чтобы провайдер их не видел:

DNS-over-HTTPS (DoH)
  • Отправляет запросы как обычный HTTPS-трафик
  • Работает через порт 443 — неотличим от веб-сёрфинга
  • Поддерживается Chrome, Firefox, Safari, Edge
  • Провайдер видит только IP DoH-сервера
DNS-over-TLS (DoT)
  • Оборачивает DNS в TLS-шифрование
  • Использует порт 853 — легко заблокировать
  • Поддерживается Android 9+ на уровне ОС
  • Немного более прозрачен для провайдера по порту

Как включить DoH в браузере

Chrome
Настройки → Конфиденциальность и безопасность → Безопасный просмотр → Использовать безопасный DNS
Firefox
Настройки → Основные → Сетевые параметры → DNS через HTTPS
Edge
Настройки → Конфиденциальность → Безопасность → Использовать безопасный DNS

Почему DoH — не полное решение

DoH скрывает DNS-запросы от провайдера — но это только часть картины. Провайдер по-прежнему видит:

  • !IP-адрес сервера, к которому вы подключаетесь (по IP можно определить сайт)
  • !SNI-поле в TLS ClientHello — имя сайта в открытом виде (до ECH)
  • !Объём и тайминг трафика — поведенческий анализ
  • !DNS-запросы приложений, которые не используют DoH (мобильные игры, smart TV и т.д.)

Полностью скрыть DNS-запросы и весь остальной трафик можно только одним способом — зашифровать весь сетевой трафик через защищённый туннель. В этом случае провайдер видит только факт обращения к серверу туннеля, но не знает, какие сайты вы посещаете и какие DNS-запросы делаете.

Как проверить свои DNS-запросы

dnsleaktest.com
Показывает, через какие серверы проходят ваши DNS-запросы. Если виден DNS провайдера — есть утечка.
1.1.1.1/help
Сервис Cloudflare: проверяет DoH, DoT, WARP и показывает, защищены ли ваши DNS-запросы.
browserleaks.com/dns
Комплексная проверка DNS, WebRTC и других утечек прямо из браузера.
AuraShield

Нет DNS-утечек, нет следов

С шифрованным туннелем все DNS-запросы проходят через наш сервер. Провайдер видит только подключение к AuraShield — не более. Два дня бесплатно.

Попробовать бесплатно →
Читайте также
ПриватностьECH и DoH: как браузер скрывает DNS и SNI от провайдераЧитать →ПриватностьDoH против DoT: в чём разница и что выбратьЧитать →ГайдDNS-серверы 1.1.1.1 и 8.8.8.8: зачем менять и как настроитьЧитать →
← Назад в блог