Melyik DNS-szervert használod? Ez sokkal fontosabb, mint gondolnád

Melyik DNS-szervert használod? Ez sokkal fontosabb, mint gondolnád

Júl 02, 2026 dns privacy cybersecurity encrypted dns doh dot doq dnssec dns security public resolvers

A DNS feloldó az internet kapuőre – válassz okosan

Amikor begépelsz egy webcímet, valami elképesztően gyors párbeszéd indul a háttérben: az eszközöd megkérdezi a rekurzív DNS feloldót, hogy mi az IP-cím a domain mögött. A legtöbb ember soha nem gondol erre a feloldóra – egyszerűen azt használja, amit az ISP-je ad. Pedig ez a választás fontosabb, mint gondolnád.

A DNS feloldó minden általad lekérdezett domaint lát. Naplózhatja a böngészési előzményeidet, szűrheti, mit érhetsz el, és ha nem megfelelően biztosított, az lekérdezéseidet manipulálhatják vagy elfoghatják. Fejlesztőknek, startupoknak és bárkinek, aki komolyan veszi a magánélet védelmét, a publikus DNS feloldó kiválasztása azok közé a "beállítod és elfelejted" döntések közé tartozik, amelyek folyamatosan hoznak eredményt.

Nézzük meg, mit mond a kutatás, és hogyan válaszd ki a megfelelő feloldót a fenyegetettségi modelledhez.

Mi az a publikus DNS feloldó?

Egy publikus DNS feloldó olyan szolgáltatás, amelyet bárki használhat az ISP-je alapértelmezett feloldója helyett. Olyan cégek kínálnak ingyenes, rekurzív DNS-szolgáltatásokat, mint a Cloudflare (1.1.1.1), a Google (8.8.8.8) és a Quad9, amelyek gyorsabb feloldást, jobb adatvédelmet és további biztonsági funkciókat ígérnek.

Amikor publikus feloldóra váltasz, valójában ezekről hozol döntést:

  • Ki látja a lekérdezéseidet – az ISP-d elveszíti a rálátást, de a feloldó üzemeltetője megszerzi
  • Milyen szűrés történik – egyes feloldók blokkolják a kártevős domaineket vagy a felnőtt tartalmakat
  • Titkosítottak-e a lekérdezéseid – a titkosítatlan DNS megfigyelhető az átvitel során
  • Milyen joghatóság alá tartoznak az adataid – a törvényi szabályok országról országra eltérnek

A megfelelő választás teljesen a prioritásaidtól függ. Nézzük meg, mit mond a kutatás minden tényezőről.

A sebesség kérdése: Lassítja-e a titkosított DNS?

Az egyik első aggály, amit a fejlesztők felvetnek a titkosított DNS-sel kapcsolatban, a késleltetés. A DNS-over-HTTPS (DoH) és DNS-over-TLS (DoT) titkosított átvitelek kriptográfiai terhet adnak minden lekérdezéshez, így elméletileg lassabbnak kell lenniük, mint a sima DNS-nek (53-as port).

A szakmai DNS-mérési tanulmányok árnyaltabb képet mutatnak. A titkosított DNS valóban hozzáad késleltetést lekérdezésenként, de az teljes oldalbetöltési idő gyakran közel azonos a sima DNS-sel. A terhelés a gyakorlatban kisebb, mint az elméleti költség sugallja, és a legtöbb felhasználó számára a különbség érzékelhetetlen.

Azonban rossz minőségű hálózatokon vagy nagy késleltetésű kapcsolatokon (gondolj a műholdas internetre vagy a túlterhelt mobilhálózatokra) a sima DNS még mindig nyer. Ha ezekben a helyzetekben a nyers teljesítményre optimalizálsz, a titkosítatlan DNS marad a leggyorsabb opció.

A teljesítmény földrajzi régió és szolgáltató szerint is jelentősen változik. Egy feloldó, ami egy frankfurti adatközpontból villámgyors, lehet, hogy lassú egy São Paulo-i szerverről. A "leggyorsabb" feloldó valóban helyfüggő, érdemes néhányat kipróbálni a saját hálózati körülményeidre.

Titkosított DNS: Több mint megfigyelés elleni védelem

Sokan gondolják, hogy a titkosított DNS főleg arról szól, hogy elrejti a lekérdezéseket a hálózati megfigyelők elől – a WiFi-kukkolóktól, ISP-monitorozástól vagy megbízhatatlan hotspotoktól. Ez igaz, de az előnyök tovább terjednek.

A titkosított DNS eddigi legnagyobb end-to-end tanulmánya azt találta, hogy a DoH és DoT felett továbbított lekérdezések jelentősen kisebb valószínűséggel lesznek elfogva vagy módosítva az átvitel során, összehasonlítva a titkosítatlan DNS-sel. Ez az manipulációval szembeni ellenállás a biztonság szempontjából is fontos, nem csak az adatvédelem miatt. Titkosítatlan DNS-sel egy közbeékelődő támadó potenciálisan mérgezheti a gyorsítótáradat hamis DNS-válaszokkal, és átirányíthat a rosszindulatú oldalakra anélkül, hogy észrevennéd.

Azonban nem minden titkosított feloldó egyenlő. Ugyanez a tanulmány azt találta, hogy a DoT-szolgáltatók körülbelül 25%-a érvénytelen TLS-tanúsítványokat szolgáltatott ki – ez komoly konfigurációs hiba, ami aláássa a biztonsági előnyöket. Amikor a DNS-det feloldóra bízod a DNS-det, az üzemeltetési minőség számít. Maradj a jól működtetett szolgáltatóknál, akiknél a tanúsítványláncok megfelelően vannak beállítva.

Az adatvédelem valósága: A feloldód továbbra is mindent lát

Itt egy kulcsfontosságú pont, amit gyakran elfelejtenek: a titkosítás a hálózattól rejti el a lekérdezéseidet, nem a feloldó üzemeltetőjétől. Báarki is működteti a DNS feloldódat, lát minden domain-t, amit megtekintesz, kész.

Ha ez aggaszt, keress két dolgot:

Naplózásmentességi irányelvek: Egyes feloldók kifejezetten vállalják, hogy nem tárolnak lekérdezési naplókat. A Quad9 például 24 órán belül törli az összes adatot, és nem kapcsolja össze a lekérdezéseket a felhasználókkal. A Cloudflare 1.1.1.1 lakossági verziója szintén vállal naplózásmentességet otthoni használatra.

Oblivious DNS over HTTPS (ODoH): Ez az újabb dizájn egy proxyt vezet be közéd és a feloldó közé, így a proxy ismeri az IP-címedet, de nem tudja, mit kérdezel, míg a feloldó tudja, mit kérdezel, de nem ismeri az IP-címedet. Egyetlen fél sem látja mindkettőt. A Cloudflare és az Apple is telepített ODoH-infrastruktúrát. Ha az adatvédelem a prioritásod, ez értelmes lépés az anonimitás felé.

DNSSEC: Az érvényesítés, amely tényleg megakadályozza a hamisítást

A DNSSEC (DNS biztonsági kiterjesztések) kriptográfiai aláírásokat ad a DNS-rekordokhoz, lehetővé téve a feloldók számára, hogy ellenőrizzék, a válaszokat nem módosították-e. DNSSEC-érvényesítés nélkül egy megfelelő pozícióban lévő támadó hamis DNS-válaszokat küldhet és átirányíthatja a forgalmat.

Csak az érvényesítő feloldók ellenőrzik ezeket az aláírásokat. A legtöbb nagyobb publikus feloldó végzi a DNSSEC-érvényesítést – a Google Public DNS, a Cloudflare és a Quad9 mind – és kezelték a kritikus 2018-as gyökérkulcs (KSK) rotációt anélkül, hogy a felhasználók problémákat tapasztaltak volna. Ha az adatintegritás fontos neked, a DNSSEC-érvényesítés legyen egy pipa a listádon.

ECS: A sebesség-adatvédelem kompromisszum, amit ismerned kell

Az EDNS Client Subnet (ECS) egy protokoll-kiterjesztés, amely az IP-címed egy részét elküldi a DNS-authoritatív szervereknek (és néha a feloldóknak), így a CDN-ek földrajzilag megfelelő címeket adhatnak vissza a gyorsabb tartalomszolgáltatáshoz.

A kompromisszum: az ECS javítja a CDN-útválasztási pontosságot, de több hálózati identitásadatot oszt meg több féllel. A Google Public DNS és az OpenDNS alapértelmezés szerint küld ECS-adatokat. A Cloudflare és a szabványos Quad9 nem. Egyik választás sem objektíven jobb – attól függ, mit értékelsz jobban: a CDN-teljesítmény optimalizálását vagy a minimális információmegosztást.

DNS-over-QUIC: Az új sebességbajnok

A DNS-over-QUIC (DoQ) a legújabb titkosított DNS-átvitel, és az első adatok ígéretesek. Egy 2022-es mérési tanulmány azt találta, hogy a DoQ már most jobb válaszidőket produkál, mint a DoT és a DoH sok helyzetben. A QUIC kapcsolatkezelése és a csökkentett kézfogási terhelés gyorsabb cseréket eredményez.

Van egy megjegyzés: a kézfogások körülbelül 40%-át lassította a QUIC címérvényesítési mechanizmusa, amely véd a felerősítéses támadások ellen, de késleltetést ad a kezdeti kapcsolatokhoz. Mégis, ahol mind a kliens, mind a feloldó támogatja a DoQ-t, ez az előnyben részesítendő titkosított opció.

Jelenleg támogatják a DoQ-t: Quad9, AdGuard, NextDNS, Control D, Mullvad DNS, UncensoredDNS és még néhány más. Ha az alkalmazásaid vagy infrastruktúrád ki tudja használni a DoQ-t, a teljesítményelőnyök valósak.

DNSCrypt: A veterán titkosítási protokoll

A DNSCrypt megelőzi a DoH-t és a DoT-t – a 2. verzió 2013-ban jelent meg. A DNS-lekérdezéseket már az első csomagtól kezdve titkosítja, a feloldó előre megosztott nyilvános kulcsait használva, ami azt jelenti, hogy nincs titkosítatlan hostname-keresés (eltérően a DoH-tól, amely néha HTTPS-forgalomként észlelhető egy ismert DoH-szolgáltatóhoz) és nincs függés a tanúsítványkiadó rendszertől.

A DNSCrypt 2019-ben bevezette az anonimizált DNS-módot is, amely a lekérdezéseket relay szervereken keresztül irányítja, hogy elrejtse a kliens IP-címeit a feloldó elől – szellemében hasonló az ODoH-hoz, de másként implementálva. A publikus feloldók közül a Quad9, az OpenDNS, az AdGuard, a NextDNS, a Control D és a Yandex DNS kínál DNSCrypt-támogatást.

Nem annyira széles körben elterjedt, mint a DoH, de bizonyos fenyegetettségi modellekhez a DNSCrypt által kínált tulajdonságok valóban értékesek.

Forgalomelemzés: Még a titkosított DNS sem láthatatlan

Íme egy elgondolkodtató eredmény a kutatásból: még DoH felett is, a forgalomelemzéssel nagy pontossággal azonosíthatók a meglátogatott domainek. A szabványos EDNS-pufferolás segít valamennyit, de nem akadályozza teljesen a fingerprintinget.

Ha olyan helyzetben vagy, ahol a kifinomult forgalomelemzés valódi fenyegetés – mondjuk újságíró vagy, ellenséges hálózati környezetben dolgozol – ne csak a titkosított DNS-re támaszkodj. Párosítsd Tor-ral, vagy használj Oblivious terveket, mint az ODoH, értelmes védelemért ezzel a támadási vektorral szemben.

A joghatóság számít – jobban, mint gondolnád

A feloldó üzemeltetőjének jogi otthona határozza meg, milyen adatokat lehet kikényszeríteni, mennyi ideig kell megőrizni, és milyen körülmények között érheti el a bűnüldözés a lekérdezési előzményeidet. Ez nem elvont – valós kockázati felület.

Néhány szolgáltató mostanra a világ rekurzív DNS-forgalmának jelentős részét kezeli, ami legitim aggodalmakat vet fel a centralizációval kapcsolatban. Az amerikai NSA kifejezetten figyelmeztetett is, hogy külső feloldók használata megkerüli a szervezetek belső DNS-szűrési és ellenőrzési mechanizmusait, amelyekre a biztonsági monitorozáshoz támaszkodnak.

Vállalati környezetben ez nem csak adatvédelmi kérdés – ez irányítási kérdés. A CISO-d legitim okai lehetnek a belső DNS-feloldás megkövetelésére, még ha lassabb vagy kevésbé privát is.

A döntés: Gyakorlati keretrendszer

Mindezen tényezők alapján hogyan dönts valójában? Íme egy gyakorlati keretrendszer:

Ha az adatvédelem a legfontosabb: Válassz naplózásmentes feloldót kedvező joghatóságban, engedélyezd az ODoH-t, ha elérhető, és párosítsd Tor-ral az érzékeny böngészéshez. A Quad9 erős jelölt itt.

Ha a sebesség a minden: Teszteld a feloldókat a tényleges helyszínedről, és ne zárd ki a sima DNS-t rossz minőségű hálózatokon. Titkosított opcióknál preferáld a DoQ-t, ahol támogatott.

Ha szűrésre van szükséged: Sok feloldó kínál szűrt szinteket, amelyek blokkolják a kártevőket, hirdetéseket vagy felnőtt tartalmakat. Az AdGuard, a NextDNS, a Control D és a CleanBrowsing részletes szűrési opciókat kínálnak.

Ha vállalat vagy: Gondold át a teljes irányítási képet – joghatóság, naplózási irányelvek, integráció a belső biztonsági eszközökkel és az NSA figyelmeztetéseit a belső ellenőrzések megkerüléséről.

Ha csak "elég jó" kell: A Cloudflare 1.1.1.1, a Google Public DNS és a Quad9 mind megbízható, jól működtetett választások széles protokoll-támogatással és ésszerű adatvédelmi irányelvekkel. Nem fogsz mellényúlni egyikkel sem általános célú használatra.

A lényeg

A DNS feloldód alapvető infrastruktúra. Mindig ott van, mindig dolgozik, minden általad érintett domainen, és az, hogy ki üzemelteti, valóban következményekkel jár. A jó hír az, hogy a publikus feloldók ökoszisztémája jelentősen éretté vált – a titkosított átvitel most már a norma, nem a kivétel, a DNSSEC-érvényesítés széles körben elérhető, és minden fenyegetettségi modellhez léteznek adatvédelmet tiszteletben tartó opciók.

Szánj 30 percet az opcióid áttekintésére, állítsd be az eszközeidet vagy hálózatodat ennek megfelelően, és állandó előnyökhöz jutsz nulla folyamatos karbantartással. Ez az egyik legnagyobb hatású infrastruktúra döntés, amit minimális erőfeszítéssel meghozhatsz.

Az internetes élményed átfolyik azon a feloldón. Győződj meg róla, hogy olyan, akiben megbízol.


A NameOcean Vibe Hostingot kínál AI-alapú eszközökkel, amelyek zökkenőmentesen integrálódnak a domain és DNS konfigurációhoz. Állítsd be az egyedi feloldó preferenciáit a domainkezeléssel egy egységes irányítópulton.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL IT FR ES DE DA ZH-HANS EN