Приватный DNS выбирают ради вполне понятных вещей: меньше лишнего наблюдения за DNS-запросами, защита от подмены ответов и, в некоторых сервисах, фильтрация рекламы, трекеров, фишинга или взрослых сайтов. Но сами DNS-провайдеры сильно отличаются. Один просто быстро отвечает на запросы, другой режет вредоносные домены, третий удобен для семьи, четвертый лучше подходит для роутера.
Сегодня попробуем сравнить AdGuard DNS, Cloudflare 1.1.1.1, Google Public DNS и Яндекс DNS. Я смотрю на практичные вещи: какие адреса вводить, есть ли DNS поверх HTTPS и DNS поверх TLS, работает ли фильтрация, что удобно включать на Android, iPhone, Windows или роутере, и где у каждого сервиса есть слабые места.
AdGuard DNS
AdGuard DNS лучше всего подходит тем, кто хочет не просто зашифровать DNS-запросы, а сразу убрать часть рекламы, трекеров и вредоносных доменов на уровне DNS. Его можно включить на роутере, компьютере, смартфоне, в браузере или через профиль для iOS и macOS. Отдельное приложение не обязательно, но у AdGuard есть и собственные программы, если хочется управлять защитой через привычный интерфейс.
У сервиса три публичных режима. Default, базовый режим AdGuard DNS, блокирует рекламу, трекеры, вредоносные и фишинговые сайты. Family Protection, семейный режим, делает то же самое, плюс закрывает сайты для взрослых и включает безопасный поиск там, где браузер или поисковик поддерживает такую функцию. Non-filtering, то есть режим без фильтрации, ничего не блокирует и подходит для случаев, когда нужен просто DNS без фильтрации.
С шифрованием у AdGuard DNS все хорошо: есть DNS поверх HTTPS, DNS поверх TLS, DNS поверх QUIC и DNSCrypt. Для Android в поле Частный DNS можно ввести имя сервера dns.adguard-dns.com или family.adguard-dns.com. Для браузеров и роутеров обычно используют адреса для DNS поверх HTTPS: https://dns.adguard-dns.com/dns-query или https://family.adguard-dns.com/dns-query.
- Default: 94.140.14.14 и 94.140.15.15;
- Family Protection: 94.140.14.15 и 94.140.15.16;
- Non-filtering: 94.140.14.140 и 94.140.14.141.
Сильная сторона AdGuard DNS - фильтрация без установки блокировщика в каждый браузер. Это удобно на роутере: один раз прописали DNS, и базовая защита работает для телефонов, ноутбуков, телевизоров и других устройств в сети. Минус тоже понятный: DNS-фильтр не видит содержимое страниц, поэтому не заменяет полноценный блокировщик рекламы и не убирает все элементы на сайтах.
Cloudflare 1.1.1.1
Cloudflare 1.1.1.1 выбирают, когда нужен быстрый публичный DNS без лишних настроек. Базовый режим не блокирует рекламу и взрослые сайты, зато хорошо подходит для простой замены DNS от провайдера. Его можно прописать вручную в Windows, macOS, Android, iOS, Linux, роутере или включить через приложение 1.1.1.1.
Основные адреса легко запомнить: 1.1.1.1 и 1.0.0.1. Для IPv6 используются 2606:4700:4700::1111 и 2606:4700:4700::1001. Для Android в поле Частный DNS можно ввести one.one.one.one. Для DNS поверх HTTPS используется адрес https://cloudflare-dns.com/dns-query, а DNS поверх TLS работает на стандартном порту 853.
Если нужна фильтрация, у Cloudflare есть 1.1.1.1 for Families. Режим с блокировкой вредоносных сайтов использует адреса 1.1.1.2 и 1.0.0.2. Режим с блокировкой вредоносных и взрослых сайтов - 1.1.1.3 и 1.0.0.3. Для DNS поверх HTTPS у этих режимов отдельные адреса: https://security.cloudflare-dns.com/dns-query и https://family.cloudflare-dns.com/dns-query.
По приватности Cloudflare формулирует позицию довольно жестко: компания обещает не продавать и не передавать личные данные пользователей публичного DNS рекламодателям. В логах сервиса Cloudflare 1.1.1.1 исходный IP-адрес не должен храниться в постоянном виде, а усеченные IP-адреса удаляются в течение 25 часов. Для обычного пользователя это один из самых понятных вариантов, если не нужна тонкая фильтрация рекламы.
Google Public DNS
Google Public DNS - самый нейтральный вариант из этой подборки. Он не пытается быть родительским контролем и не блокирует рекламу. Его задача проще: быстро и стабильно отвечать на DNS-запросы вместо DNS-сервера провайдера. Поэтому Google DNS часто выбирают как запасной или базовый вариант, когда фильтрация не нужна.
Основные IPv4-адреса знакомы почти всем: 8.8.8.8 и 8.8.4.4. Для IPv6 используются 2001:4860:4860::8888 и 2001:4860:4860::8844. Для DNS поверх TLS нужно имя сервера dns.google на порту 853. Для DNS поверх HTTPS используется https://dns.google/dns-query. Есть и JSON API, но обычному пользователю он не нужен для настройки системы или браузера.
Важный плюс Google Public DNS - поддержка DNSSEC, DNS поверх HTTPS и DNS поверх TLS. Это помогает защитить DNS-запросы от подмены и прослушивания на участке между устройством и DNS-сервером. Но фильтрации вредоносных, рекламных или взрослых доменов по умолчанию здесь нет, поэтому для детского режима или блокировки рекламы лучше смотреть в сторону AdGuard DNS, Cloudflare 1.1.1.1 for Families или Яндекс DNS.
По логам Google пишет прямо: временные DNS-логи могут содержать IP-адреса и детали запросов и обычно хранятся 24-48 часов. Постоянные логи остаются в агрегированном и обезличенном виде для статистики. При этом Google отдельно указывает, что персональные данные из Public DNS не используются для рекламного таргетинга.
Яндекс DNS
Яндекс DNS удобен тем, что сразу дает три понятных режима на русском языке: Базовый, Безопасный и Семейный. Его можно настроить на компьютере, смартфоне или роутере. Для домашней сети это особенно удобно: прописали DNS на маршрутизаторе, и фильтрация начинает работать для всех устройств, которые получают настройки от роутера.
Базовый режим не добавляет фильтры и использует адреса 77.88.8.8 и 77.88.8.1. Безопасный режим блокирует опасные, мошеннические сайты и обращения к ботнетам; его адреса - 77.88.8.88 и 77.88.8.2. Семейный режим добавляет блокировку взрослого контента, взрослых рекламных сетей и семейный поиск Яндекса; адреса - 77.88.8.7 и 77.88.8.3.
Для Android у Яндекса есть отдельные имена серверов для DNS поверх TLS: common.dot.dns.yandex.net для базового режима, safe.dot.dns.yandex.net для безопасного и family.dot.dns.yandex.net для семейного. На официальной странице также указаны DNS поверх HTTPS и DNS поверх TLS для каждого режима, поэтому сервис подходит не только для обычного DNS без шифрования.
Сильная сторона Яндекс DNS - простые режимы и понятная семейная фильтрация. Слабое место - меньше гибкости, чем у AdGuard DNS: нельзя так же удобно собирать собственные правила фильтрации в публичном варианте. Для домашнего роутера и базовой защиты от опасных сайтов Яндекс DNS выглядит практично, особенно если нужна русскоязычная справка и привычная экосистема.
Сравнительная таблица
| Сервис | Лучше всего подходит | Фильтрация | Шифрование | Основные адреса | Ограничения |
|---|---|---|---|---|---|
| AdGuard DNS | Блокировка рекламы, трекеров, фишинга и настройка защиты на роутере | Default, Family Protection, Non-filtering | DNS поверх HTTPS, DNS поверх TLS, DNS поверх QUIC, DNSCrypt | 94.140.14.14, 94.140.15.15; Family: 94.140.14.15, 94.140.15.16 | DNS-фильтр не заменяет полноценный блокировщик рекламы в браузере |
| Cloudflare 1.1.1.1 | Быстрый DNS без лишних настроек, плюс отдельные семейные режимы | В обычном режиме нет; 1.1.1.1 for Families блокирует вредоносные или взрослые сайты | DNS поверх HTTPS, DNS поверх TLS | 1.1.1.1, 1.0.0.1; 1.1.1.1 for Families: 1.1.1.2 или 1.1.1.3 | Не блокирует рекламу в базовом режиме |
| Google Public DNS | Стабильная замена DNS от провайдера без фильтрации | Нет пользовательских режимов фильтрации | DNS поверх HTTPS, DNS поверх TLS | 8.8.8.8, 8.8.4.4; DNS поверх TLS: dns.google | Нет семейного режима и блокировки рекламы |
| Яндекс DNS | Простая настройка для дома, роутера и семейной фильтрации | Базовый, Безопасный, Семейный | DNS поверх HTTPS, DNS поверх TLS | 77.88.8.8; Safe: 77.88.8.88; Family: 77.88.8.7 | Меньше гибких настроек фильтрации, чем у AdGuard DNS |
Если нужен самый простой DNS без фильтров, берите Cloudflare 1.1.1.1 или Google Public DNS. Если хочется блокировать рекламу и трекеры на уровне всей сети, практичнее AdGuard DNS. Если нужен понятный семейный режим без лишней настройки, подойдут Яндекс DNS или Cloudflare 1.1.1.1 for Families. На Android проще всего включать сервисы, которые дают отдельный адрес для поля Частный DNS: его можно вставить прямо в системные настройки, без приложения и лишней возни.
