Домашний интернет могут взломать без киношных спецэффектов. Никаких черепов на экране, никаких драматичных «вас хакнули». Сеть просто начинает жить чуть кривее обычного. Один сайт открывается с редиректом, другой внезапно ругается на сертификат, третий на мобильном интернете работает нормально, а дома ведет себя странно. Часто виноват не сам сайт и не провайдер, а подмена DNS.
DNS hijacking означает, что кто-то меняет путь, по которому устройство ищет адрес сайта. Вместо нормального DNS-резолвера трафик уходит на чужой сервер, а дальше начинается лотерея. В безобидном варианте пользователь видит рекламные редиректы и «поисковые» страницы на несуществующих доменах. В плохом варианте злоумышленник подсовывает фишинговый сайт, ломает обновления, портит защитные фильтры или тихо перехватывает часть веб-трафика.
Как обычно происходит подмена
Самый частый сценарий в домашней сети связан с роутером. Злоумышленник получает доступ к админке через слабый пароль, старую уязвимую прошивку или включенное удаленное управление, после чего меняет DNS-серверы. Второй сценарий связан уже с устройством. Вредонос на Windows, Android или macOS подменяет сетевые настройки локально. Третий вариант тоньше. В сети появляется чужой DHCP или прокси, который раздает свои параметры и уводит запросы в сторону.
Проблема в том, что пользователь часто ищет причину не там. Подозрение обычно падает на браузер, сайт, «глючный Wi-Fi» или провайдера. Между тем именно роутер часто становится точкой, где меняют правила игры сразу для всех устройств в квартире.
Признаки, после которых уже пора проверять DNS
- Сайты дома открываются иначе, чем через мобильный интернет.
- На одном Wi-Fi сбоит сразу несколько устройств, хотя сами устройства между собой не связаны.
- Браузер иногда уводит на странные страницы после опечатки в адресе.
- Часть сайтов показывает ошибки сертификата только в домашней сети.
- В настройках роутера появились неизвестные DNS-адреса, которые вы не задавали вручную.
- После смены DNS настройки снова «откатываются» через день или два.
Есть тонкий момент. Разные DNS-серверы действительно могут возвращать разные IP-адреса для одного и того же домена. CDN, балансировка и география никто не отменял. Поэтому разница в ответах сама по себе еще не доказывает атаку. Смотрите на общую картину, а не на один симптом.
Как проверить без самообмана
- Сравните поведение на домашнем Wi-Fi и на мобильном интернете. Если странности исчезают вне домашней сети, первым делом смотрите роутер и домашний DNS.
- Откройте настройки роутера и проверьте поля DNS. Если у провайдера DNS берется автоматически, а в админке прописаны вручную неизвестные адреса, повод для тревоги более чем серьезный.
- Проверьте, какой DNS использует само устройство. На Windows поможет
ipconfig /allилиGet-DnsClientServerAddress, на macOS удобно посмотретьscutil --dns, на Linuxresolvectl status. - Проверьте ответы через явные резолверы, а не только через текущую сеть.
nslookup example.com
nslookup example.com 8.8.8.8
nslookup example.com 1.1.1.1
nslookup definitely-not-existing-test-12345.invalid
Последняя строка особенно полезна. Для домена в зоне .invalid нормальный ответ должен быть ошибкой разрешения имени. Если вместо ошибки вы видите «поисковую» страницу или непонятный редирект, копать нужно глубже. Только не проверяйте такое через адресную строку браузера, браузер сам умеет подменять поведение. Используйте nslookup, dig или системные утилиты.
Отдельно посмотрите, не включены ли в роутере удаленное управление, WPS и UPnP. Для удобства функции хорошие, для безопасности не всегда. Федеральная торговая комиссия США прямо советует отключать remote management, WPS и UPnP, менять стандартные логины и пароли, а прошивку держать актуальной. Та же рекомендация касается WPA3 или хотя бы WPA2 для самой Wi-Fi-сети.
Что реально помогает
Базовая защита скучная, но рабочая. Уникальный пароль администратора роутера, свежая прошивка, отключенное удаленное управление и запрет на «волшебные» режимы вроде WPS закрывают огромную часть бытовых атак. Если в доме много устройств, особенно IoT, гостевая сеть тоже лишней не будет.
Следующий слой защиты связан с шифрованием DNS. У Chrome есть функция Secure DNS, у Firefox есть DNS over HTTPS, у Android режим Private DNS, у Windows в новых версиях есть DNS over HTTPS на уровне системы. Шифрование полезно, потому что локальной сети и постороннему посреднику сложнее незаметно перехватить или поменять DNS-запросы по пути.
Но здесь важна деталь, о которую многие спотыкаются. Защита бывает «мягкой». Chrome в автоматическом режиме может при проблемах с шифрованным DNS уйти в незашифрованный режим. Firefox тоже умеет работать в fallback mode и возвращаться к системному DNS, если DoH не сработал. В Windows есть отдельный переключатель Fallback to plaintext. Если цель состоит не в «вроде бы включить защиту», а в жестком контроле, такие откаты лучше проверять отдельно и по возможности отключать.
Еще один слой связан с DNSSEC. DNSSEC не шифрует трафик и не лечит взломанный роутер, зато помогает обнаружить подделку DNS-данных для подписанных доменов. ICANN отдельно подчеркивает, что DNSSEC защищает от подмены данных в signed zone, а validating-резолвер проверяет подписи и не отдает заведомо испорченный ответ. На практике полезно выбирать резолвер, который валидирует DNSSEC.
Что включить прямо сейчас
- На роутере: новый пароль администратора, свежая прошивка, отключенные remote management, WPS и UPnP.
- На Android:
Private DNSв режиме провайдера по имени хоста. - На Windows: DoH для выбранного DNS и, если сеть позволяет, отключенный
Fallback to plaintext. - В Chrome и Firefox: Secure DNS или DoH не только «включены», но и проверены на предмет fallback.
- Для резолвера: сервис с поддержкой DNSSEC validation.
Если подмена уже обнаружена
Просто вернуть старые DNS-адреса мало. Если злоумышленник однажды попал в админку роутера, проблема может повториться. Нормальный порядок действий такой: сохранить важные параметры подключения, сбросить роутер, обновить прошивку, заново настроить сеть вручную, поменять пароль администратора, проверить все устройства на вредонос и только потом возвращать технику в обычный режим. Если странные DNS появляются снова, ищите зараженное устройство внутри сети или меняйте сам роутер, особенно если модель давно не получает обновления.
Главная мысль простая. DNS hijacking не всегда выглядит как громкий взлом, зато отлично умеет портить трафик тихо и массово. Самый надежный подход состоит не в поиске «волшебного» антивируса, а в комбинации мер: безопасный роутер, шифрованный DNS без лишних откатов, контроль системных настроек и резолвер с DNSSEC validation. Домашняя сеть после такой настройки становится заметно скучнее для чужих рук. А скучная сеть, как ни странно, почти всегда самая здоровая.
Полезные официальные материалы: FTC о защите домашнего Wi-Fi, Chrome Secure DNS, Firefox DNS over HTTPS, Windows DNS over HTTPS, Android Private DNS, объяснение DNSSEC от ICANN, DNSSEC validation в Google Public DNS.
