Самый приватный DNS-сервер не делает пользователя анонимным. DNS решает более узкую задачу: превращает имя сайта в IP-адрес и, при правильной настройке, скрывает такие запросы от провайдера, владельца Wi-Fi и случайных посредников в сети. Но выбранный DNS-резолвер сам видит домены, к которым обращается устройство. Поэтому вопрос звучит не «какой DNS полностью безопасен», а «кому вы готовы отдать журнал своих DNS-запросов вместо провайдера».
Для максимальной приватности в 2026 году лучше смотреть не на громкое слово «secure», а на пять признаков: поддержка DoH или DoT, отказ от постоянных журналов, отсутствие EDNS Client Subnet по умолчанию, валидация DNSSEC и понятная юрисдикция. Если нужен короткий ответ, для личного использования я бы начал с Mullvad DNS или Quad9. Первый сильнее выглядит именно как приватный резолвер без лишнего профилирования, второй лучше подходит тем, кто хочет совместить приватность с блокировкой вредоносных доменов.
DNS не заменяет VPN, Tor, защищенный браузер и нормальную гигиену безопасности. Зашифрованный DNS закрывает участок между устройством и резолвером, но не прячет сам факт соединения с сервером, IP-адрес назначения, платежные следы, учетные записи и поведение внутри сайтов.
Почему обычный DNS плох для приватности
Классический DNS обычно работает через UDP на порту 53 и часто передает запросы без шифрования. Провайдер, публичная Wi-Fi-сеть, администратор офиса или гостиничный шлюз могут увидеть, какие домены запрашивает устройство. Иногда посредник не только видит запросы, но и вмешивается в ответы: подменяет адрес, показывает страницу-заглушку, ломает доступ к ресурсу или направляет пользователя через собственную фильтрацию.
DoH и DoT решают конкретную проблему. DoH упаковывает DNS-запросы в HTTPS, обычно через порт 443. DoT использует TLS-соединение, обычно через порт 853. Хороший технический разбор различий есть на SecurityLab: оба подхода шифруют DNS между клиентом и резолвером, но по-разному вписываются в сеть. DoH проще проходит там, где открыт обычный HTTPS. DoT легче заметить и администрировать, потому что DNS идет через отдельный порт.
Здесь появляется главный компромисс. Когда пользователь включает сторонний защищенный DNS, провайдер перестает видеть DNS-запросы в привычном виде, но резолвер получает их вместо провайдера. Поэтому выбор сервиса важнее самого переключателя «защищенный DNS» в браузере.
Критерии безопасного DNS для максимальной приватности
Проверять DNS-сервис лучше по практическим признакам, а не по обещаниям на главной странице. Хороший приватный резолвер должен поддерживать зашифрованные протоколы, не требовать учетную запись для базового сценария, не хранить персональные журналы запросов, не передавать сайтам и вышестоящим серверам лишний фрагмент IP-адреса пользователя через ECS и валидировать DNSSEC, чтобы снизить риск подмены ответа.
Фильтрация рекламы и трекеров звучит привлекательно, но для максимальной приватности фильтры не всегда однозначный плюс. Чем больше сервис знает о ваших настройках, исключениях, устройствах и блокировках, тем больше контекста появляется вокруг DNS-профиля. Поэтому простая конфигурация без аккаунта иногда приватнее умной панели с красивой статистикой.
| Критерий | Почему влияет на приватность | На что смотреть |
|---|---|---|
| DoH или DoT | Шифрует запросы между устройством и резолвером | DoH URL, DoT hostname, нормальная проверка сертификата |
| Политика журналов | DNS-запросы легко превращаются в историю интересов и привычек | Нет постоянных журналов IP, доменов и времени запросов |
| Отсутствие ECS по умолчанию | ECS может раскрывать часть IP-адреса для более точной выдачи CDN | Отдельный ECS-профиль, а не включение по умолчанию |
| DNSSEC | Помогает проверить целостность DNS-ответа | Валидация включена на обычном профиле |
| Юрисдикция и репутация | Политика данных зависит не только от слов компании | Понятная организация, прозрачные документы, устойчивый сервис |
Лучшие DNS-серверы для приватности
Mullvad DNS
Mullvad DNS выглядит самым чистым вариантом для пользователя, которому нужен именно приватный DNS без лишней настройки. Сервис поддерживает DoH и DoT, работает без учетной записи и предлагает несколько вариантов фильтрации. В документации Mullvad прямо указаны зашифрованные профили, QNAME minimization, anycast-сеть и варианты блокировки рекламы, трекеров, вредоносных доменов, взрослого контента, азартных игр и социальных сетей. Базовый профиль находится на dns.mullvad.net.
Для максимальной приватности разумнее начать с нефильтрующего профиля dns.mullvad.net, а не с варианта «блокировать все». Чем меньше логики фильтрации, тем меньше ложных срабатываний и меньше поводов разбирать, почему не открывается нужный сайт. Если нужна защита от трекеров и вредоносных доменов на уровне DNS, можно перейти на base.dns.mullvad.net или adblock.dns.mullvad.net.
Практичные адреса для настройки:
- DoH: https://dns.mullvad.net/dns-query
- DoT: dns.mullvad.net
- IPv4 для клиентов с поддержкой зашифрованного DNS: 194.242.2.2
- IPv6 для клиентов с поддержкой зашифрованного DNS: 2a07:e340::2
Слабое место Mullvad DNS не в политике, а в совместимости. Такой DNS лучше раскрывается в клиентах, где можно задать DoH или DoT. На старых роутерах, где есть только обычные IPv4-поля для DNS, часть преимуществ исчезает. Еще один нюанс связан с VPN: если пользователь уже подключен к VPN, отдельный DoH поверх VPN часто не дает заметной прибавки к безопасности и может ухудшить скорость.
Quad9
Quad9 хорош для тех, кто хочет не только приватность, но и защиту от вредоносных доменов. Сервис работает без регистрации, поддерживает DoH и DoT, валидирует DNSSEC и по умолчанию блокирует домены из списков угроз. На официальной странице адресов Quad9 основной профиль описан как «Malware Blocking, DNSSEC Validation».
Для приватности лучше использовать обычный защищенный профиль без ECS. ECS-профиль у Quad9 существует отдельно, что удобно для тех, кому нужна более точная географическая выдача CDN, но такой режим раскрывает больше сетевого контекста. Для максимальной приватности ECS обычно лишний.
Практичные адреса для настройки:
- IPv4: 9.9.9.9 и 149.112.112.112
- IPv6: 2620:fe::fe и 2620:fe::9
- DoH: https://dns.quad9.net/dns-query
- DoT: dns.quad9.net
Главный минус Quad9 связан с самой идеей защитной фильтрации. Любой резолвер, который блокирует вредоносные домены, иногда ошибается. Для обычного пользователя цена приемлемая: лучше один спорный домен в блокировке, чем переход на свежую фишинговую страницу. Для разработчика, исследователя безопасности или администратора такая фильтрация может мешать диагностике.
Control D Free DNS
Control D Free DNS интересен как гибкий бесплатный набор профилей без обязательной учетной записи. Сервис поддерживает DoH, DoT и DoQ, предлагает отдельные пресеты для вредоносных доменов, рекламы, трекеров, семейного режима и сторонних списков. Для обычного пользователя удобнее всего начать с Malware или Ads & Tracking, если нужна не только приватность канала, но и базовая фильтрация мусора.
Для максимальной приватности я бы не начинал с платного аккаунта и персональных правил. Панель управления, аналитика, профили устройств и исключения удобны, но дают сервису больше структуры вокруг вашей активности. Бесплатные публичные профили без входа выглядят чище, хотя уступают в точной настройке.
Практичные варианты:
- Unfiltered DoH: https://freedns.controld.com/p0
- Malware DoH: https://freedns.controld.com/p1
- Ads & Tracking DoH: https://freedns.controld.com/p2
- DoT hostnames: p0.freedns.controld.com, p1.freedns.controld.com, p2.freedns.controld.com
Слабое место Control D связано с широтой возможностей. Сервис умеет больше, чем нужно для простой приватной настройки, а лишние функции часто провоцируют пользователя на сложные схемы. Для России отдельно нужно учитывать правовую сторону: любые функции, связанные с обходом ограничений, лучше не использовать.
Cloudflare 1.1.1.1
Cloudflare 1.1.1.1 часто выбирают за скорость, стабильность и хорошую совместимость. Почти любое устройство, браузер или роутер знает этот резолвер. Для базового улучшения по сравнению с DNS провайдера вариант нормальный, особенно если пользователь хочет просто включить DoH в браузере и забыть.
Для максимальной приватности Cloudflare хуже выглядит именно из-за масштаба компании. Cloudflare обслуживает огромную часть веб-инфраструктуры, поэтому концентрация данных и сетевого влияния становится отдельным риском доверия. Формально политика 1.1.1.1 может быть сильной, но пользователь все равно переносит DNS-запросы к крупному американскому инфраструктурному игроку. Для скорости да, для предельной приватности я бы сначала смотрел на Mullvad или Quad9.
Практичные адреса:
- IPv4: 1.1.1.1 и 1.0.0.1
- DoH: https://cloudflare-dns.com/dns-query
- DoT: one.one.one.one
AdGuard DNS
AdGuard DNS хорош, когда нужна блокировка рекламы, трекеров и семейная фильтрация без отдельного расширения в браузере. Для телефонов, телевизоров и домашней сети такой вариант часто удобнее, чем набор расширений на каждом устройстве.
Но фильтрация рекламы через DNS грубее браузерной защиты. DNS видит домены, а не конкретные элементы страницы. Поэтому часть рекламы останется, часть полезных доменов может сломаться, а диагностика иногда превращается в угадывание, какой список заблокировал нужный запрос. Для максимальной приватности лучше выбирать нефильтрующий или минимально фильтрующий профиль, если блокировка не является главной целью.
NextDNS
NextDNS силен как настраиваемый DNS-конструктор. Можно включать списки, смотреть статистику, разделять устройства, создавать белые и черные списки, менять поведение под разные сценарии. Для семьи, малого офиса или человека, который любит точную настройку, сервис удобен.
Но максимальная приватность и богатая аналитика плохо дружат. В NextDNS можно отключить журналы, настроить хранение данных и выбрать регион, но сам факт персонального профиля делает сервис менее «пустым», чем публичный резолвер без аккаунта. Если нужен контроль, NextDNS хорош. Если нужна минимизация следов, лучше начать с Mullvad DNS или Quad9.
Кого не ставить, если цель именно приватность
DNS провайдера не стоит считать приватным по умолчанию. Провайдер и так видит много сетевых метаданных, а DNS-запросы только обогащают картину. Локальные DNS-сервисы крупных экосистем тоже не становятся плохими автоматически, но для максимальной приватности вызывают очевидный вопрос: зачем отдавать историю доменных запросов компании, которая уже имеет много других точек контакта с пользователем?
Google Public DNS технически надежен и быстр, но для приватности выглядит спорно из-за рекламной природы группы компаний. OpenDNS удобен для корпоративной и семейной фильтрации, но не является первым выбором для минимизации данных. DNS от антивирусных и защитных пакетов полезен против вредоносных доменов, но часто предполагает телеметрию и управляемые политики.
Что выбрать в реальной жизни
| Сценарий | Лучший выбор | Почему |
|---|---|---|
| Максимальная приватность без аккаунта | Mullvad DNS | Минимальная настройка, DoH и DoT, понятный упор на приватность |
| Приватность плюс защита от вредоносных доменов | Quad9 | DNSSEC, блокировка угроз, отдельный профиль без ECS |
| Блокировка рекламы и трекеров на всех устройствах | Control D или AdGuard DNS | Готовые фильтрующие профили, удобно для телефонов и домашней сети |
| Гибкая настройка под семью или малый офис | NextDNS | Профили, правила, журналы по выбору, удобная диагностика |
| Главное скорость и совместимость | Cloudflare 1.1.1.1 | Большая сеть, простая настройка, широкая поддержка |
Мой личный порядок для приватности выглядел бы так: Mullvad DNS, затем Quad9, затем Control D Free DNS без аккаунта. Cloudflare я бы оставил как быстрый запасной вариант. AdGuard DNS и NextDNS выбрал бы не за максимальную приватность, а за удобную фильтрацию и управляемость.
Как настроить без лишних движений
На Android 9 и новее проще всего открыть настройки сети, найти «Частный DNS» и указать DoT-имя. Для Mullvad это dns.mullvad.net, для Quad9 это dns.quad9.net. В таком режиме защищенный DNS работает на уровне системы, а не только в одном браузере.
На iPhone и iPad ручная настройка зависит от профиля конфигурации или приложения, потому что простого поля для DoH/DoT в обычных настройках iOS меньше, чем на Android. Для части сервисов доступны готовые профили, но ставить профиль стоит только из официального источника провайдера DNS. Случайные профили из форумов лучше не трогать.
На Windows 11 можно задать DNS в параметрах сетевого адаптера и включить шифрование, если система распознала выбранный резолвер. В браузере можно отдельно включить защищенный DNS, но такой вариант защитит только запросы самого браузера. Остальные приложения продолжат использовать системную настройку.
На роутере DNS удобно менять, если нужно покрыть всю домашнюю сеть. Но многие домашние роутеры поддерживают только обычный DNS без DoH и DoT. В такой схеме провайдер или локальная сеть могут видеть запросы до резолвера, поэтому приватность ниже. Более аккуратный вариант: роутер с поддержкой DoT, DoH или локальный DNS-прокси вроде dnscrypt-proxy, если пользователь понимает, как обслуживать такую схему.
Проверка после настройки
После смены DNS не надо верить интерфейсу настроек. Нужно проверить, какой резолвер реально видит внешний мир. Подойдет любой тест DNS-утечек, но результат надо читать внимательно: иногда браузер использует один DNS, система второй, а VPN третий. В такой конфигурации пользователь уверен, что все шифруется, хотя часть приложений ходит через старый DNS провайдера.
Есть три типовые ошибки. Первая: включили DoH в браузере, но забыли про остальные программы. Вторая: прописали IPv4-адреса DNS на роутере, но не включили шифрование. Третья: оставили автоматический DNS от провайдера как запасной, и система периодически возвращается к нему при сбоях.
Юридический и практический дисклаймер для России
Настройка DNS должна использоваться для защиты приватности, снижения риска подмены запросов и фильтрации вредоносных доменов. Не используйте DNS-сервисы для обхода блокировок, нарушения требований закона, доступа к запрещенным материалам или маскировки противоправных действий. В России и других странах правила доступа к сетевым ресурсам меняются, поэтому пользователь сам отвечает за соблюдение местного законодательства.
Отдельно про рабочие и учебные сети. Если сеть принадлежит компании, вузу или госорганизации, самостоятельное включение стороннего DoH может нарушить внутреннюю политику безопасности. Даже без злого умысла пользователь может обойти корпоративную DNS-фильтрацию, сломать доступ к внутренним доменам и создать проблему для администраторов.
Короткий вывод
Для максимальной приватности выбирайте не самый популярный DNS, а самый скучный и прозрачный: без аккаунта, без лишней аналитики, с DoH или DoT, без ECS по умолчанию и с понятной политикой журналов. Mullvad DNS лучше всего подходит как приватный повседневный вариант. Quad9 стоит выбрать, если кроме приватности нужна защита от вредоносных доменов. Control D хорош, когда требуется гибкая бесплатная фильтрация, но без аккаунта и сложных профилей.
DNS не дает полной анонимности, но закрывает старую и неприятную дыру: открытые DNS-запросы, которые слишком много рассказывают о пользователе всем, кто стоит между устройством и интернетом. Для личного ноутбука и телефона такая настройка уже давно не роскошь, а нормальная часть базовой цифровой гигиены.
FAQ
Какой DNS самый приватный для обычного пользователя?
Для большинства личных сценариев лучший стартовый вариант, Mullvad DNS через DoH или DoT. Сервис не требует аккаунт и делает упор на минимизацию лишних данных.
Quad9 приватнее Cloudflare?
Для сценария «приватность плюс безопасность» Quad9 выглядит предпочтительнее. Cloudflare обычно выигрывает по скорости и совместимости, но из-за масштаба компании подходит хуже, если цель именно минимизация концентрации данных.
DoH безопаснее DoT?
Не совсем. По криптографическому смыслу оба протокола близки. DoH чаще лучше проходит через сети, где разрешен только HTTPS. DoT проще контролировать и диагностировать, но порт 853 легче заблокировать.
Нужно ли включать DNS-фильтрацию рекламы?
Только если блокировка рекламы и трекеров важнее максимальной простоты. DNS-фильтры полезны, но иногда ломают сайты и приложения. Для приватности без лишних побочных эффектов лучше начинать с нефильтрующего профиля.
Можно ли поставить DNS на роутере и забыть?
Можно, если роутер поддерживает DoH или DoT. Если роутер умеет только обычный DNS по IPv4, запросы между домом и резолвером могут идти без шифрования. Для приватности лучше настраивать защищенный DNS на устройстве или использовать роутер с нормальной поддержкой зашифрованного DNS.
