как играть в бравл старс без впн dns

как играть в бравл старс без впн dns

DNS-серверы Nulls Proxy: технический разбор без маркетинговой шелухи
====================================================================
<meta name="title" content="DNS-серверы Nulls Proxy: что скрывают провайдеры">
<meta name="description" content="Разбираем DNS-серверы Nulls Proxy: реальные протоколы, утечки, юрисдикции и подводные камни. Читай гайд до конца — там то, что другие молчат.">
Если ты искал информацию про днс сервера нулс прокси, <a href="https://svyazpotral.help">значит</a>, ты уже устал от рекламных обещаний «полной анонимности» и хочешь разобраться в технической подноготной. В этом гайде мы разберём, как на самом деле работают DNS-резолверы с политикой no-log, какие протоколы шифрования они используют (DoH, DoT, DNSCrypt), где заканчивается приватность и начинается юрисдикция альянса 14 Eyes, и почему даже «безлоговый» сервер может слить твои запросы через WebRTC или утечку IPv6. Поехали.
Что такое Nulls Proxy DNS и почему это не «волшебная таблетка»
Nulls Proxy DNS — это не один конкретный продукт, а скорее концепция: DNS-резолверы, которые декларируют отсутствие логов (no-log policy) и часто работают в связке с прокси- или VPN-инфраструктурой. Идея проста: ты отправляешь DNS-запрос не провайдеру (Ростелеком, МТС, Билайн), которые по закону Яровой обязаны хранить данные до 30 дней, а стороннему серверу, который обещает ничего не запоминать.
Но давай разберём, что происходит под капотом.
Протоколы шифрования DNS-трафика
Обычный DNS работает по UDP 53 порту в открытом виде. Твой провайдер видит каждый запрос: `google.com`, `pornhub.com`, `rutracker.org`. Чтобы закрыть эту дыру, Nulls Proxy DNS использует один из трёх защищённых протоколов:
DNS-over-HTTPS (DoH) — инкапсулирует DNS-запросы в HTTPS-трафик на 443 порт. Для DPI (Deep Packet Inspection) это выглядит как обычный веб-трафик. Минус: добавляет overhead из-за TLS-рукопожатия, пинг вырастает на 15–40 мс.
DNS-over-TLS (DoT) — выделенный порт 853, чистый TLS-туннель для DNS. Быстрее DoH, но легче блокируется на уровне провайдера — достаточно закрыть 853 порт, и всё.
DNSCrypt — старый, но проверенный протокол с поддержкой анонимизации через relay-серверы. Сложнее в настройке, но даёт гибкость в выборе шифрования (XChaCha20-Poly1305, AES-256-GCM).
Что такое Perfect Forward Secrecy (PFS) и почему это важно
Если ты видишь в описании DNS-сервера упоминание PFS — это хороший знак. Perfect Forward Secrecy означает, что каждый сеанс шифрования использует уникальный временный ключ. Даже если злоумышленник каким-то образом получит приватный ключ сервера (например, через судебный ордер или взлом), он не сможет расшифровать записанный ранее трафик. Без PFS — весь твой исторический DNS-трафик под угрозой.
Утечки, о которых молчат в инструкциях
Настройка DNS — это полдела. Вторая половина — убедиться, что трафик действительно идёт через защищённый канал, а не протекает мимо. Вот три классических сценария утечки:
IPv6 leak. Ты настроил DoH, но система параллельно шлёт DNS-запросы через IPv6 к резолверу провайдера. Проверяется на `ipleak.net` — если видишь IPv6-адрес своего провайдера, всё пропало.
WebRTC leak. Браузер через WebRTC может определить твой реальный IP и DNS, даже если весь остальной трафик в туннеле. Лечится отключением `media.peerconnection.enabled` в `about:config` Firefox или расширением типа uBlock Origin.
Split DNS. Корпоративные сети часто используют внутренние DNS-серверы для своих доменов (`.local`, `.corp`). Если ты настроил Nulls Proxy глобально, но не исключил корпоративные зоны, получишь либо неработающие внутренние ресурсы, либо утечку.
Чего вам НЕ говорят в других гайдах
Теперь к неприятному. То, что обычно опускают в рекламных статьях и первых страницах выдачи.
Бесплатные no-log DNS — кто за это платит?
Аренда сервера в ДЦ уровня Tier III стоит от $5–15 в месяц за нормальную конфигурацию. Добавьте bandwidth, защиту от DDoS, зарплаты админам. Если сервис бесплатный — <a href="https://svyazpotral.help">значит</a>, ты не клиент, а товар. Варианты монетизации:
- Продажа мета-данных. Да, даже без содержания запросов, метаданные (время, частота, геолокация) стоят денег для рекламных брокеров.
- Подмена ответов. NXDOMAIN-редирект: ты ошибся в домене, а тебя кидает на партнёрскую страницу с рекламой.
- Ботнет-инфраструктура. Часть бесплатных DNS-резолверов используется как amplification-точки для DDoS-атак. Твой трафик — прикрытие.
Юрисдикция и 14 Eyes
No-log policy — это бумажка на сайте. Реальность определяется юрисдикцией. Сервер в Исландии — это одно (сильные законы о приватности, нет обязательств по хранению). Сервер в Великобритании — совсем другое (Investigatory Powers Act 2016, обязывающий провайдеров хранить интернет-соединения пользователей до 12 месяцев).
Альянс 14 Eyes включает: США, Великобританию, Канаду, Австралию, Новую Зеландию, Данию, Францию, Нидерланды, Норвегию, Германию, Бельгию, Италию, Испанию, Швецию. Если DNS-сервер физически расположен в любой из этих стран — no-log policy работает только до первого судебного ордера.
Фейковые аудиты
Cure53, Quarkslab, Deloitte — это реальные независимые аудиторы. Но многие сервисы пишут «прошли аудит», не уточняя, что именно аудировалось. Часто это разовая проверка конфигурации сервера, а не постоянный мониторинг no-log policy. Настоящий аудит no-log — это проверка за 6–12 месяцев: действительно ли логи удаляются, или они просто переименовываются в «временные файлы для отладки».
Kill switch, который не работает
Kill switch — механизм, блокирующий весь трафик при обрыве VPN-соединения. Но реализация бывает разной:
Application-level kill switch — работает на уровне приложения. Если VPN-клиент упал, трафик может пойти мимо.
System-level kill switch — модифицирует iptables/nftables на уровне ОС. Надёжнее, но при перезагрузке может не восстановиться, если не настроен как systemd-сервис.
Router-level kill switch — самый надёжный вариант, настраивается на Keenetic/Asus/OpenWrt. Даже если устройство переподключится к Wi-Fi, трафик не пойдёт в обход туннеля.
Сравнительная таблица DNS-провайдеров с no-log политикой
| Провайдер | Юрисдикция | Протоколы | Реальная скорость (RTT) | Независимый аудит | Цена |
|-----------|------------|-----------|-------------------------|-------------------|------|
| Cloudflare (1.1.1.1) | США (5 Eyes) | DoH, DoT | 8–15 мс | Да, KPMG 2019 | Бесплатно |
| Quad9 | Швейцария | DoH, DoT, DNSCrypt | 15–30 мс | Да, Cure53 2021 | Бесплатно |
| NextDNS | США/ЕС (гибко) | DoH, DoT, DNSCrypt | 10–25 мс | Нет публичного | От $1.99/мес |
| AdGuard DNS | Кипр | DoH, DoT, DNSCrypt | 20–40 мс | Частичный | Бесплатно / Premium |
| Mullvad DNS | Швеция (14 Eyes) | DoH, DoT | 25–50 мс | Да, Cure53 2022 | Включён в VPN |
| Self-hosted (Pi-hole + Unbound) | Твоя квартира | Любой | 1–3 мс (локально) | Сам себе аудитор | $35 разово (RPi) |
Что выбрать? Зависит от threat model. Если ты боишься провайдера — Quad9 или self-hosted. Если боишься государственных структур из 14 Eyes — только self-hosted на собственной инфраструктуре вне альянса.
Сценарии использования: где Nulls Proxy DNS реально спасает
Сценарий 1: Журналист в командировке
Ты в регионе с жёсткой цензурой. Гостиничный Wi-Fi мониторится. Задача — скрыть факт обращения к определённым ресурсам. Решение: DoH через Nulls Proxy DNS + Tor Browser. DNS-запросы шифруются и мимикрируют под HTTPS, провайдер видит только TLS-сессию к IP-адресу резолвера.
Сценарий 2: Публичная кофейня и рабочие задачи
Айтишник на удалёнке сидит в кафе. Задача — не допустить MITM-атаки (Man-in-the-Middle) на DNS. Злоумышленник может поднять rogue Wi-Fi точку с поддельным DNS, который будет возвращать фишинговые IP для банковских сайтов. Решение: жёстко прописанный DoT в настройках сети + проверка сертификатов.
Сценарий 3: Торренты и логирование
Торрент-клиент делает DNS-запросы для каждого трекера. Если DNS идёт к провайдеру — он видит список трекеров и может сопоставить это с твоим IP. Решение: DNS через VPN-туннель + split tunneling, где только торрент-трафик идёт через VPN, а остальное — напрямую.
Сценарий 4: Обход блокировок мессенджеров
Роскомнадзор блокирует по IP и частично по DNS. Если использовать DoH к зарубежному резолверу, DPI на уровне провайдера не видит содержимого DNS-запроса. Но: если сам мессенджер заблокирован по IP, DNS не поможет — нужен VPN или прокси.
Сценарий 5: Корпоративная защита от утечек
Компания настраивает Nulls Proxy DNS как корпоративный резолвер с фильтрацией вредоносных доменов (threat intelligence feeds). Сотрудники не могут случайно зайти на фишинговый сайт, потому что DNS вернёт NXDOMAIN. Плюс — централизованный контроль без глубокой инспекции трафика.
Настройка: от теории к практике
Windows 10/11: включаем DoH системно
Начиная с Windows 11, DoH поддерживается на уровне ОС. Открываем PowerShell от администратора:
```powershell
Проверяем текущие DNS-серверы
Get-DnsClientServerAddress -AddressFamily IPv4
Устанавливаем Cloudflare DoH (пример)
Set-DnsClientServerAddress -InterfaceIndex 12 -ServerAddresses ('1.1.1.1','1.0.0.1')

Но это только половина: Windows по умолчанию использует DoH только если сервер его поддерживает. Для принудительного DoH нужно через реестр выставить DoH в EncryptedOnly.
Linux: systemd-resolved и DoT
В современных дистрибутивах (Ubuntu 22.04+, Fedora 36+) DNS управляется через systemd-resolved. Редактируем /etc/systemd/resolved.conf:

[Resolve]
DNS=9.9.9.9#dns.quad9.net
DNSOverTLS=opportunistic

Перезапускаем: sudo systemctl restart systemd-resolved. Проверяем: resolvectl status — должна быть пометка DNS-over-TLS: opportunistic.
Роутер Keenetic: централизованная защита
Keenetic поддерживает DoT из коробки. В веб-интерфейсе: Сетевые правила → DNS → Включаем «Использовать DNS-over-TLS» → Прописываем tls://dns.quad9.net. Важно: включаем «Злоупотребления и фильтры» только если понимаешь, что делаешь — Quad9 блокирует известные вредоносные домены, но может быть overzealous.
Диагностика утечек: чек-лист
1. Заходим на browserleaks.com/dns — смотрим, какой DNS-сервер виден.
2. Заходим на ipleak.net — проверяем IPv4, IPv6, WebRTC.
3. Запускаем tcpdump -i any port 53 в терминале — не должно быть пакетов DNS в открытом виде.
4. Для DoH: tcpdump -i any port 443 — увидим только TLS-трафик к IP резолвера.
Если на шаге 3 видишь UDP 53-пакеты к IP провайдера — что-то настроено неправильно.
Скрытые риски и подводные камни
Проблема доверенного окружения
Даже идеальный DNS-сервер бесполезен, если твоё устройство скомпрометировано. Keylogger перехватит запросы до шифрования. Вредоносное ПО может подменить настройки DNS на уровне hosts-файла. Поэтому безопасность — это цепочка, и DNS — только одно звено.
Centralization risk
Если все используют один и тот же DNS-сервер (например, Cloudflare 1.1.1.1), это создаёт единую точку отказа. DDoS-атака на Cloudflare DNS парализует интернет для миллионов пользователей. Решение: иметь запасной резолвер, желательно от другого провайдера и в другой юрисдикции.
Локальный кэш и приватность
ОС кэширует DNS-ответы. Если кто-то получит доступ к твоему устройству, он может извлечь кэш и посмотреть историю посещений. На Linux: sudo systemd-resolve --statistics покажет количество кэшированных записей. Очистка: sudo systemd-resolve --flush-caches.
Время жизни записей (TTL) и отслеживание
Некоторые сайты используют низкий TTL (60 секунд) для своих DNS-записей. Это значит, что твой резолвер будет запрашивать их чаще, создавая паттерн, по которому можно определить, что ты активно пользуешься сайтом. Для максимальной приватности — self-hosted DNS с агрессивным кэшированием и randomised TTL.
Вывод
Днс сервера нулс прокси — это не магия и не гарантия анонимности. Это инструмент, который закрывает конкретную угрозу: перехват DNS-запросов на уровне провайдера или публичной сети. Но как любой инструмент, он требует понимания, как работает, и где границы его применимости.
Если ты выбрал Nulls Proxy DNS — убедись, что:
1. Протокол шифрования — DoT или DoH (не открытый UDP 53).
2. Юрисдикция сервера не входит в 14 Eyes, если ты боишься государственных структур.
3. Нет утечек через IPv6, WebRTC или split DNS.
4. Kill switch настроен на уровне роутера, а не приложения.
5. Ты понимаешь threat model: от кого именно защищаешься.
Без этих пяти пунктов no-log policy — просто маркетинговый текст на сайте. С ними — реальная защита приватности в эпоху тотального мониторинга.

Nulls Proxy DNS замедляет интернет? Насколько?

Сам по себе DNS-запрос добавляет 5–40 мс к времени отклика в зависимости от протокола и географии сервера. DoH медленнее DoT на 10–15 мс из-за HTTP/2 overhead. Но это разовая задержка при установке соединения — после кэширования повторные обращения мгновенны. На скорость скачивания файлов или стриминга DNS не влияет вообще.

Могут ли спецслужбы отследить меня через DNS, если я использую no-log?

Технически — да, если юрисдикция сервера попадает под 14 Eyes и есть судебный ордер. No-log policy — это обещание провайдера, а не техническая гарантия. Если сервер физически в США, Cloudflare подчинится FISA-запросу. Защита: выбирать серверы вне альянса (Швейцария, Исландия) или self-hosted.

WireGuard или OpenVPN — что безопаснее для DNS-трафика?

WireGuard быстрее (меньше overhead, современные алгоритмы ChaCha20-Poly1305), но код-база меньше и аудированась меньше. OpenVPN — старее, больше аудиторских отчётов, гибче в настройке шифрования. Для DNS-трафика оба достаточно безопасны, если настроены с PFS и правильными cipher suites.

🔑Приватность онлайн

Почему мой бесплатный VPN продаёт мои данные?

Потому что серверы, bandwidth и зарплаты стоят денег. Исследование Top10VPN (2020) показал, что 38% бесплатных VPN содержат вредоносное ПО, 85% имеют утечки, 18% не шифруют трафик вообще. Бизнес-модель бесплатного VPN — продажа мета-данных, подмена рекламы или использование устройств пользователей как exit-нод (пример: Hola VPN).

Как проверить, что мой DNS действительно шифруется?

Запусти `tcpdump -i any port 53` — не должно быть пакетов. Затем `tcpdump -i any port 853` (DoT) или `tcpdump -i any port 443` (DoH) — должен быть трафик к IP резолвера. Дополнительно: зайди на `dnsleaktest.com` и запусти extended test — должен показаться только IP DNS-провайдера, а не провайдера интернета.

Что лучше: настроить DNS на роутере или на каждом устройстве?

На роутере — централизованно, все устройства защищены, включая IoT-девайсы (умные лампочки, камеры). Минус: если роутер скомпрометирован, все устройства под угрозой. На устройстве — гибче, можно использовать разные DNS для разных задач. Оптимум: DNS на роутере + DoH в браузере (Firefox/Chrome имеют свои настройки DoH).

💻Технологии защиты

Можно ли использовать Nulls Proxy DNS для торрентов?

Можно, но DNS — только часть защиты. Торрент-клиент виден по IP-адресу пирам, а не только по DNS-запросам. Для торрентов нужен VPN с kill switch + DNS через VPN-туннель + отключение IPv6 + отключение WebRTC. Иначе DNS скрыт, но IP светится в трекерах.

Что такое DNS amplification attack и как от неё защититься?

Это DDoS-атака, где злоумышленник отправляет маленькие DNS-запросы с поддельным IP жертвы на открытые резолверы, а те отвечают большими ответами, усиливая трафик в 50–70 раз. Защита: не использовать открытые резолверы без rate limiting, отключить рекурсию для внешних запросов, использовать response rate limiting (RRL).

```