DNS sinkhole to metoda “przechwytywania” zapytań DNS do znanych złośliwych domen i kierowania ich na kontrolowany adres, co jednocześnie blokuje zagrożenie i pozwala wykrywać infekcje w sieci.

Przypomnę jednocześnie, że DNS (Domain Name System) to w uproszczeniu taka “książka telefoniczna” dla internetu. DNS pozwala na tłumaczenie nazw przyjaznych dla ludzi (np. adres tego bloga: blog.narecki.name) na konkretne adresy IP zrozumiałe dla maszyn (np. 192.168.0.1). Wspomniany w definicji “kontrolowany adres” to w praktyce zazwyczaj 0.0.0.0, czyli taka czarna dziura – adres, który nie wskazuje na żaden rzeczywisty interfejs.

I jeszcze ciekawa analogia, którą podsunął mi Lumo:

Wyobraź sobie, że w mieście istnieje lista telefonów niebezpiecznych osób. Zamiast dawać ich prawdziwe numery, urzędnik telefoniczny podaje wszystkim numer “czarnej linii”. Kiedy ktoś dzwoni pod ten numer, połączenie zostaje odcięte, a urzędnik widzi, kto próbował zadzwonić. To właśnie robi DNS sinkhole – podmienia “prawdziwe” numery (adresy IP) na “czarne linie”.

Na koniec przykład, a jednocześnie rekomendacja narzędzia, które pozwoli ci z łatwością blokować reklamy w całym systemie operacyjnym (np. Android, Windows, Linux, itd.) Jest też opcja dla użytkowników zaawansowanych oraz dysponujących odpowiednim ruterem. W takim scenariuszu możesz blokować reklamy w całej sieci domowej. Na razie skupię się jednak na wersji podstawowej, gdzie blokujemy reklamy wyłącznie na danym urządzeniu.

Od ok. 3 lat korzystam z usługi NextDNS, która ogłasza się jako “nowa zapora sieciowa dla nowoczesnego Internetu”. Nie wiem na ile trafione jest to porównanie, ale usługa faktycznie sprawuje się świetnie. A co najważniejsze, nie wymaga od nas specjalnej wiedzy technicznej ani podłączania dodatkowych urządzeń w naszej sieci domowej. Całość ogranicza się do kilku kroków:

• Zakładasz konto na https://my.nextdns.io/
• Dodajesz przynajmniej jedną listę blokowanych domen (zakładka Prywatność)
• Przeglądasz ustawienia w pozostałych zakładkach. Na szczęście w większości przypadków wystarczą ustawienia proponowane / domyślne.
• Na koniec dodajesz swój profil w ustawieniach swojego urządzenia. Serwis zawiera bardzo dobry Przewodnik po instalacji.

Przykładowo w Androidzie wystarczy odnaleźć ustawienie Prywatny DNS i tam jako dostawcę ustawić adres wygenerowany w usłudze NextDNS. Adres będzie w formacie: identyfikator.dns.nextdns.io. Dla użytkowników prywatnych, którzy nie przekraczają 300 tysięcy zapytań miesięcznie usługa jest darmowa. Jeśli korzystasz z usługi solo to raczej nie musisz szykować portfela. Opcja płatna (89,90 PLN/rok) przyda się w przypadku np. grup rodzinnych. Cena nie zwala z nóg, a dzięki subskrypcji możesz zabezpieczyć urządzenia wszystkich członków rodziny. Ja właśnie tak zrobiłem i traktuję to jako cegiełkę w podnoszeniu bezpieczeństwa najbliższych. Wiem jak irytujące mogą być reklamy w (darmowych) aplikacjach mobilnych więc blokowanie na poziomie DNS traktuję jako rzecz obowiązkową. Zadowolenie użytkowników też nie pozostaje bez znaczenia 🙂

Na koniec jeszcze wymienię kilka alternatyw, rozwiązujących problem reklam i skryptów w podobny sposób. Od ciebie zależy jak tę wiedzę wykorzystasz 😉

• AdGuard DNS: https://adguard-dns.io/
• DNS4EU: https://joindns4.eu/
• 1.1.1.1 for Families: https://one.one.one.one/family/

To wszystko na dziś. Udanego blokowania! 🛡️

#reklamy #DNS #NextDNS

Skomentuj na fediwersum: @michal@101010.pl