Как провайдер всё видит даже через HTTPS и методы защиты от утечек данных.

Ваш DNS-сервер вам не выбирали. Ни разу. Когда маршрутизатор устанавливает подключение, интернет-провайдер через DHCP присылает настройки, включая адрес DNS-сервера, через который обрабатываются все ваши запросы. Каждый из них. Банковские операции, медицинские порталы, сайты знакомств, форумы о редких заболеваниях, торренты. Вся информация передаётся в открытом виде через 53-й порт прямо на оборудование оператора. Именно так происходит у большинства пользователей во всём мире. Это стандартная настройка. Без вашего участия.
А в феврале 2026 года стало известно о детали, которая переводит ситуацию из категории «неприятно» в разряд «необходимо срочно принимать меры». Национальная система доменных имён, к которой активно подключают российских провайдеров, перестала выдавать адреса YouTube, WhatsApp и ряда других сервисов. Это означает, что DNS-сервер по умолчанию не просто читает ваши запросы. Он их изменяет. Давайте разберёмся, что конкретно видит провайдер, как избежать этого контроля и почему ни один способ не сделает вас полностью невидимым (спойлер — к сожалению, полной анонимности не достичь).
Прозрачная почта с полной историей ваших предпочтений
Сначала кратко о базовых принципах. DNS преобразует удобные для человека названия, например example.com, в IP-адреса. Любой переход по ссылке или запуск приложения на смартфоне сначала запрашивает у DNS-сервера адрес нужного домена и только затем устанавливает соединение. Классический DNS работает без шифрования, как обычное почтовое письмо. При использовании HTTPS провайдер не видит содержимого страниц, но список посещаемых адресов раскрывает о вас больше, чем любая анкета.
Кому это нужно? Зависит от вашего местоположения. Например, Федеральная торговая комиссия США ещё в 2021 году, изучив шестерку крупнейших операторов страны, установила, что провайдеры собирают историю посещений и данные о поведении пользователей в гораздо большем объёме, чем ожидают абоненты, и используют их в рекламных целях. В России интерес иной — не коммерческий. Оборудование ТСПУ легко перенаправляет весь трафик через 53-й порт на нужный сервер и выдаёт те ответы, которые считает правильными. Ситуация с НСДИ показала, что «правильные» ответы уже не соответствуют реальности. Кстати, подмена DNS-ответов — не новинка. Операторы давно практикуют подмену ошибки «домен не найден» на страницу с рекламой.
Шифрование DNS защищает не только конфиденциальность, но и достоверность информации. Пользователь имеет право получать именно тот интернет, который запрашивал.
Три лазейки для провайдера
Прежде чем перейти к решению, важное предупреждение. DNS — лишь первая из трёх брешей. Даже с зашифрованными запросами оператор видит SNI — поле в незашифрованной части TLS-рукопожатия, куда браузер сам вносит имя сайта. Также провайдеру доступен IP-адрес, к которому вы подключаетесь. Российские блокировки долгое время работали именно по SNI, а DNS их интересовал во вторую очередь. Поэтому популярное утверждение из старых статей «включил шифрование — и провайдер ничего не узнает» ошибочно. Более точная формулировка: шифрование DNS закрывает одну из трёх лазеек, технология ECH частично прикрывает вторую, а третью — IP-адрес — не скрывает ничего, кроме VPN или Tor. Запомните эту картину, она ещё пригодится.

Четыре протокола на замену стандартному DNS
DNS over HTTPS
DoH, описанный в RFC 8484, упаковывает DNS-запросы в обычный HTTPS-трафик через 443-й порт. Со стороны такой обмен неотличим от посещения веб-сайта, что делает невозможной его блокировку по порту без отключения всего HTTPS. DoH встроен в Firefox, Chrome, Edge и Windows 11, включается в пару кликов, за что и ценится. Слабое место — организационное. Адреса публичных DoH-серверов известны и могут фильтроваться так же прицельно, как любой сайт. Это периодически происходит, о чём расскажем ниже.
DNS over TLS
DoT из RFC 7858 решает ту же задачу, но использует выделенный 853-й порт. Эта прозрачность становится его ахиллесовой пятой. Достаточно заблокировать один порт, и протокол перестаёт работать во всей сети. Однако DoT встроен в Android начиная с девятой версии под названием «Частный DNS», что делает его
