Мы уже рассказывали о некоторых методах обхода белых списков. Вот еще один — от Роскомнадзора! Что?! Да! Вы и правда можете попробовать обойти цензуру с помощью инфраструктуры цензора. Но сразу предупредим: это задача со звездочкой

В феврале 2026 года стало известно, что Роскомнадзор заблокировал на серверах Национальной системы доменных имен (НСДИ) некоторые домены сервисов, которые ранее и так были заблокированы или сильно ограничены в России. Вроде:

• youtube.com
• flibusta.is
• proton.me
• rutracker.org

Многие медиа интерпретировали эту новость как символ «окончательной» и «полной» блокировки в стране перечисленных ресурсов. Но на самом деле она означала следующее: если бы конкретный пользователь настроил свою систему на использование DNS-серверов Роскомнадзора (то есть НСДИ), то не смог бы получить IP-адреса перечисленных доменов и открыть запрещенные сайты, даже если находился бы за пределами России.

При этом мы не знаем, зачем именно ведомство заблокировало «недружественные» домены в своей системе. Потому что обычно у пользователей преднастроены DNS-серверы не от Роскомнадзора, а от российских интернет-провайдеров. А те прилежно продолжали выдавать IP-адреса доменов, заблокированных в стране.

Мы подробно объясняли эту коллизию

Роскомнадзор вроде бы «полностью» заблокировал ютьюб, вотсап и еще десятки ресурсов. Эти ограничения что, вообще никак не обойти? Скорее всего, вы их даже не заметили! Особенно если не забыли установить VPN

3 месяца назад

8 карточек

За последние месяцы интернет-цензура сильно ужесточилась. И энтузиасты в поисках методов борьбы с ней обнаружили, что те же самые DNS-серверы Роскомнадзора могут помочь в обходе блокировок (а еще — ожидаемых ограничений на объем международного трафика). Скорее всего, эта уловка сработает даже в режиме белых списков.

Предупреждение: речь ниже пойдет о технологии, работа с которой потребует достаточно продвинутых технических навыков. Эту инструкцию мы вряд ли можем посоветовать вашим пожилым родственникам, которые только что освоили VPN или прокси. Так что если у вас нет времени разобраться с новым методом, возможно, хороший выход — обратиться к технически подкованному знакомому, который объяснит что делать. И в любом случае не забывайте о более простых и распространенных инструментах обхода цензуры.

Блокировки в России все сильнее. Шатдауны устраивают по любому поводу. «Медуза» остается рядом! 👾Мы продолжим рассказывать, как сохранить связь с внешним миром. Например, что делать, если не работает VPN, как обходить белые списки с помощью мессенджера Delta Chat и как подготовиться к отключениям интернета. Чтобы обо всем этом узнавать, важно сохранить доступ к «Медузе» — и это легко! Скачайте наше приложение, сохраните волшебную ссылку и подпишитесь на SOS-рассылку.

С помощью техники, известной как DNS-туннелирование. Она позволяет пробросить пользовательский трафик напрямую через публичные DNS-серверы. Это нестандартный функционал. Поэтому формально его можно считать паразитированием на существующей инфраструктуре DNS.

При этом сама техника известна давно. Еще в 2004 году на хакерской конференции DEF CON знаменитый IT-специалист Дэн Камински продемонстрировал, как можно использовать DNS для передачи произвольных данных в обход файерволлов. Скорость трафика уже тогда оказалась достаточной для трансляции аудиопотока. Пол Викси, один из архитекторов современной системы DNS, недавно вспоминал, как был ошеломлен этим выступлением.

С тех пор DNS-туннелирование использовали для самых разных целей: от получения бесплатного Wi-Fi в отелях до организации скрытого канала передачи данных во время взлома корпоративных сетей.

Для начала нужно разобраться, как взаимодействуют между собой разные DNS-серверы. Это непростой процесс, но мы попытаемся описать его максимально доступно.

• Когда пользователь пытается открыть в своем браузере новый сайт, скажем bypass.censorship.lol, операционная система отправляет запрос с неизвестным доменом так называемому рекурсивному DNS-серверу — обычно это сервер вашего интернет-провайдера или какой-то другой публичный сервер, выбранный вами вручную.
• Рекурсивный DNS-сервер сначала проверяет, нет ли у него информации об авторитетных DNS-серверах, ответственных за верхнюю доменную зону .lol. В случае успеха — о серверах, ответственных за censorship.lol, а затем — за bypass.censorship.lol.
• В зависимости от того, что было найдено, рекурсивный DNS-сервер сразу отвечает на запрос — или обращается за недостающей информацией к нужному серверу.
• Собрав в итоге информацию о bypass.censorship.lol, рекурсивный DNS-сервер пересылает пользователю ответ авторитетного DNS-сервера. Браузер узнает IP-адрес сайта и успешно открывает его.

DNS-туннель с точки зрения рекурсивного DNS-сервера выглядит так: какой-то пользователь поочередно пытается получить данные об огромном количестве доменов третьего уровня. Все они расположены в одном и том же домене второго уровня (censorship.lol). Имена доменов третьего уровня не повторяются, поэтому рекурсивный DNS-сервер ничего не знает о них и вынужден каждый раз обращаться к одному и тому же авторитетному DNS-серверу. Так как запросы легитимные, рекурсивный DNS-сервер исправно выполняет свою обычную работу, честно пересылая запросы туда и обратно и не подозревая, что внутри спрятаны еще и другие данные.

А они там есть. При передаче данных от пользовательского устройства к серверу информация прячется в само имя запрашиваемого домена. А обратно — во вспомогательные поля (вроде TXT, изначально предназначенного для передачи опциональной текстовой информации). Из-за ограничения длины поддомена 63 символами (а всего домена — 255 символами) скорость передачи данных в DNS-туннеле будет медленнее, чем скорость скачивания.

Мессенджер, к которому стоит присмотреться в эпоху интернет-цензуры

Белые списки и мобильные шатдауны — очень мощный инструмент ограничения интернета. Но эту стену, кажется, можно пробить Встречайте: мессенджер Delta Chat

10 дней назад

11 карточек

Не вручную. Вам необходимо будет установить клиентскую программу на свой телефон или компьютер. И разыскать данные специального сервера для подключения — либо установить его самостоятельно.

Есть несколько десятков разных программ для организации DNS-туннелей. Большинство из них старые и заброшенные. Но существуют и несколько современных проектов, специально заточенных на борьбу с интернет-цензурой.

• В качестве серверов часто устанавливают dnstt или slipstream (каждый из них использует собственный протокол организации DNS-туннеля).
• Для подключения к любому из этих серверов на андроиде можно установить приложение dnstt.xyz или SlipNet (последний поддерживает еще несколько других протоколов).
• На айфонах советуют использовать приложение AnyBridge, но оно работает только с протоколом dnstt.

А айфоны вообще надежнее андроидов?

Видели новости, что Минцифры призналось, будто ему трудно выявлять VPN на айфонах? На самом деле техника Apple едва ли защищена лучше, чем андроиды Мы поняли это, когда сами изучили методичку Минцифры по блокировке VPN

месяц назад

7 карточек

Можно попробовать поискать по ключевым словам в иксе, телеграме или на гитхабе. Там, например, иногда публикуют свои серверы интернет-активисты, которые помогают обойти цензуру жителям Ирана (поэтому не удивляйтесь постам на фарси). Скорее всего, большинство обнаруженных таким образом серверов окажутся недоступными, но нам попадались и работающие варианты.

Чем еще может быть полезен иранский опыт

Пока в России блокируют телеграм, в Иране — ПОЛНЫЙ шатдаун. Как живут люди совершенно без интернета? И почему у некоторых он все же есть? Интервью исследователя интернета Мо Хосейни

месяц назад

Чем еще может быть полезен иранский опыт

Пока в России блокируют телеграм, в Иране — ПОЛНЫЙ шатдаун. Как живут люди совершенно без интернета? И почему у некоторых он все же есть? Интервью исследователя интернета Мо Хосейни

месяц назад

Вам нужно будет разыскать имя домена сервера slipstream, а для dnstt — еще и публичный ключ (его пример есть в спойлере ниже). И указать IP-адрес работающего рекурсивного DNS-сервера. Для серверов Национальной системы доменных имен это будут:

• 195.208.4.1 (a.res-nsdi.ru)
• 195.208.5.1 (b.res-nsdi.ru)

С публичными доменами есть и другая проблема. Если такие домены просто найти, то при желании их будет просто и заблокировать. Так же, как Роскомнадзор сделал с youtube.com и другими доменами на своих серверах. Тогда DNS-туннель с помощью таких серверов построить будет уже нельзя.

Завести собственный dnstt или slipstream сервер. Его вы можете держать в тайне от окружающих. Или доверить данные только знакомым и близким. Правда, это задача продвинутого уровня. Чтобы запустить его, вам потребуются:

• базовые знания администрирования дистрибутивов Linux;
• зарубежный хостинг (в том числе виртуальный);
• собственное доменное имя (с возможностью управления DNS-записями домена).

На официальных сайтах проектов можно найти инструкции по установке dnstt и slipstream.

Смогут, если владельцы рекурсивных DNS-серверов будут активно искать DNS-туннели. Исследователи давно придумывают способы обнаружения таких лазеек. Интересно, что и в конце нулевых годов, и сейчас для этого предлагают использовать нейросети.

Мы несколько дней активно тестировали DNS-туннели, использовавшие серверы Национальной системы доменных имен. Они работают до сих пор, позволяя скачивать данные со скоростью до двух-трех мегабит в секунду и посещать заблокированные в России ресурсы. Кажется, Роскомнадзор пока не закрыл эту лазейку.

Как еще можно перехитрить цензора

Если у вас есть такая возможность, заведите второй телефон: это самая надежная гарантия того, что вы и дальше сможете обходить цензуру Роскомнадзора Делим экосистему своего устройства — чтобы скрыть от властей VPN и «запрещенные» приложения

21 день назад

8 карточек

На самом деле можно использовать любые другие доступные вам серверы. В том числе DNS-сервер, предоставляемый вашим провайдером.

Но серверы НСДИ стоят особняком. Роскомнадзор активно призывал пользователей настраивать свои системы на работу с этими DNS-серверами напрямую (и регулярно отчитывается о росте их популярности). И они скорее всего будут доступны, когда в вашем регионе в очередной раз включат режим белых списков.

Дело в том, что в этом режиме власти открывают доступ не к конкретным доменам, а к конкретным IP-адресам. А обычные люди помнят и используют имена доменов. Поэтому даже при таких ограничениях DNS-серверы продолжают работать. Как минимум должны быть доступны DNS-серверы вашего интернет-провайдера и DNS-серверы Роскомнадзора.

У этой опции есть еще один бонус: при использовании российских DNS-серверов DNS-туннель позволит вам не тратить зарубежный трафик при посещении иностранных ресурсов. Если власти все же заставят мобильных операторов учитывать его отдельно и брать за него дополнительную плату с абонентов.

Пожалуйста, расскажите нам, работает ли у вас DNS-туннелирование в режиме белых списков.