Мы уже рассказывали о некоторых методах обхода белых списков. Вот еще один — от Роскомнадзора! Что?! Да! Вы и правда можете попробовать обойти цензуру с помощью инфраструктуры цензора. Но сразу предупредим: это задача со звездочкой

В феврале 2026 года стало известно, что Роскомнадзор заблокировал на серверах Национальной системы доменных имен (НСДИ) некоторые домены сервисов, которые ранее и так были заблокированы или сильно ограничены в России. Вроде:

• youtube.com
• flibusta.is
• proton.me
• rutracker.org

Многие медиа интерпретировали эту новость как символ «окончательной» и «полной» блокировки в стране перечисленных ресурсов. Но на самом деле она означала следующее: если бы конкретный пользователь настроил свою систему на использование DNS-серверов Роскомнадзора (то есть НСДИ), то не смог бы получить IP-адреса перечисленных доменов и открыть запрещенные сайты, даже если находился бы за пределами России.

При этом мы не знаем, зачем именно ведомство заблокировало «недружественные» домены в своей системе. Потому что обычно у пользователей преднастроены DNS-серверы не от Роскомнадзора, а от российских интернет-провайдеров. А те прилежно продолжали выдавать IP-адреса доменов, заблокированных в стране.

За последние месяцы интернет-цензура сильно ужесточилась. И энтузиасты в поисках методов борьбы с ней обнаружили, что те же самые DNS-серверы Роскомнадзора могут помочь в обходе блокировок (а еще — ожидаемых ограничений на объем международного трафика). Скорее всего, эта уловка сработает даже в режиме белых списков.

Предупреждение: речь ниже пойдет о технологии, работа с которой потребует серьезных технических навыков. Эту инструкцию мы вряд ли можем посоветовать тем, кто только освоил VPN или прокси. Если у вас нет времени и сил разобраться с новым методом, возможно, хороший выход — обратиться к технически подкованному знакомому, который объяснит что делать. И в любом случае не забывайте о более простых и распространенных инструментах обхода цензуры.

Блокировки в России все сильнее. Шатдауны устраивают по любому поводу. «Медуза» остается рядом! 👾Мы продолжим рассказывать, как сохранить связь с внешним миром. Например, что делать, если не работает VPN, как обходить белые списки с помощью мессенджера Delta Chat и как подготовиться к отключениям интернета. Чтобы обо всем этом узнавать, важно сохранить доступ к «Медузе» — и это легко! Скачайте наше приложение, сохраните волшебную ссылку и подпишитесь на SOS-рассылку.

С помощью техники, известной как DNS-туннелирование. Она позволяет пробросить пользовательский трафик напрямую через публичные DNS-серверы. Это нестандартный функционал. Поэтому формально его можно считать паразитированием на существующей инфраструктуре DNS.

При этом сама техника известна давно. Еще в 2004 году на хакерской конференции DEF CON знаменитый IT-специалист Дэн Камински продемонстрировал, как можно использовать DNS для передачи произвольных данных в обход файерволлов. Скорость трафика уже тогда оказалась достаточной для трансляции аудиопотока. Пол Викси, один из архитекторов современной системы DNS, недавно вспоминал, как был ошеломлен этим выступлением.

С тех пор DNS-туннелирование использовали для самых разных целей: от получения бесплатного Wi-Fi в отелях до организации скрытого канала передачи данных во время взлома корпоративных сетей.

Для начала нужно разобраться, как взаимодействуют между собой разные DNS-серверы. Это непростой процесс, но мы попытаемся описать его максимально доступно.

• Когда пользователь пытается открыть в своем браузере новый сайт, скажем bypass.censorship.lol, операционная система отправляет запрос с неизвестным доменом так называемому рекурсивному DNS-серверу — обычно это сервер вашего интернет-провайдера или какой-то другой публичный сервер, выбранный вами вручную.
• Рекурсивный DNS-сервер сначала проверяет, нет ли у него информации об авторитетных DNS-серверах, ответственных за верхнюю доменную зону .lol. В случае успеха — о серверах, ответственных за censorship.lol, а затем — за bypass.censorship.lol.
• В зависимости от того, что было найдено, рекурсивный DNS-сервер сразу отвечает на запрос — или обращается за недостающей информацией к нужному серверу.
• Собрав в итоге информацию о bypass.censorship.lol, рекурсивный DNS-сервер пересылает пользователю ответ авторитетного DNS-сервера. Браузер узнает IP-адрес сайта и успешно открывает его.

DNS-туннель с точки зрения рекурсивного DNS-сервера выглядит так: какой-то пользователь поочередно пытается получить данные об огромном количестве доменов третьего уровня. Все они расположены в одном и том же домене второго уровня (censorship.lol). Имена доменов третьего уровня не повторяются, поэтому рекурсивный DNS-сервер ничего не знает о них и вынужден каждый раз обращаться к одному и тому же авторитетному DNS-серверу. Так как запросы легитимные, рекурсивный DNS-сервер исправно выполняет свою обычную работу, честно пересылая запросы туда и обратно и не подозревая, что внутри спрятаны еще и другие данные.

А они там есть. При передаче данных от пользовательского устройства к серверу информация прячется в само имя запрашиваемого домена. А обратно — во вспомогательные поля (вроде TXT, изначально предназначенного для передачи опциональной текстовой информации). Из-за ограничения длины поддомена 63 символами (а всего домена — 255 символами) скорость передачи данных в DNS-туннеле будет медленнее, чем скорость скачивания.

Не вручную. Вам необходимо будет установить клиентскую программу на свой телефон или компьютер. И разыскать данные специального сервера для подключения — либо установить его самостоятельно.

Есть несколько десятков разных программ для организации DNS-туннелей. Большинство из них старые и заброшенные. Но существуют и несколько современных проектов, специально заточенных на борьбу с интернет-цензурой.

• В качестве серверов часто устанавливают dnstt или slipstream (каждый из них использует собственный протокол организации DNS-туннеля).
• Для подключения к любому из этих серверов на андроиде можно установить приложение dnstt.xyz или SlipNet (последний поддерживает еще несколько других протоколов).
• На айфонах советуют использовать приложение AnyBridge, но оно работает только с протоколом dnstt.

Можно попробовать поискать по ключевым словам в иксе, телеграме или на гитхабе. Там, например, иногда публикуют свои серверы интернет-активисты, которые помогают обойти цензуру жителям Ирана (поэтому не удивляйтесь постам на фарси). Скорее всего, большинство обнаруженных таким образом серверов окажутся недоступными, но нам попадались и работающие варианты.

Вам нужно будет разыскать имя домена сервера slipstream, а для dnstt — еще и публичный ключ (его пример есть в спойлере ниже). И указать IP-адрес работающего рекурсивного DNS-сервера. Для серверов Национальной системы доменных имен это будут:

• 195.208.4.1 (a.res-nsdi.ru)
• 195.208.5.1 (b.res-nsdi.ru)

С публичными доменами есть и другая проблема. Если такие домены просто найти, то при желании их будет просто и заблокировать. Так же, как Роскомнадзор сделал с youtube.com и другими доменами на своих серверах. Тогда DNS-туннель с помощью таких серверов построить будет уже нельзя.

Завести собственный dnstt или slipstream сервер. Его вы можете держать в тайне от окружающих. Или доверить данные только знакомым и близким. Правда, это задача продвинутого уровня. Чтобы запустить его, вам потребуются:

• базовые знания администрирования дистрибутивов Linux;
• зарубежный хостинг (в том числе виртуальный);
• собственное доменное имя (с возможностью управления DNS-записями домена).

На официальных сайтах проектов можно найти инструкции по установке dnstt и slipstream.

Смогут, если владельцы рекурсивных DNS-серверов будут активно искать DNS-туннели. Исследователи давно придумывают способы обнаружения таких лазеек. Интересно, что и в конце нулевых годов, и сейчас для этого предлагают использовать нейросети.

Мы несколько дней активно тестировали DNS-туннели, использовавшие серверы Национальной системы доменных имен. Они работают до сих пор, позволяя скачивать данные со скоростью до двух-трех мегабит в секунду и посещать заблокированные в России ресурсы. Кажется, Роскомнадзор пока не закрыл эту лазейку.

На самом деле можно использовать любые другие доступные вам серверы. В том числе DNS-сервер, предоставляемый вашим провайдером.

Но серверы НСДИ стоят особняком. Роскомнадзор активно призывал пользователей настраивать свои системы на работу с этими DNS-серверами напрямую (и регулярно отчитывается о росте их популярности). И они скорее всего будут доступны, когда в вашем регионе в очередной раз включат режим белых списков.

Дело в том, что в этом режиме власти открывают доступ не к конкретным доменам, а к конкретным IP-адресам. А обычные люди помнят и используют имена доменов. Поэтому даже при таких ограничениях DNS-серверы продолжают работать. Как минимум должны быть доступны DNS-серверы вашего интернет-провайдера и DNS-серверы Роскомнадзора.

У этой опции есть еще один бонус: при использовании российских DNS-серверов DNS-туннель позволит вам не тратить зарубежный трафик при посещении иностранных ресурсов. Если власти все же заставят мобильных операторов учитывать его отдельно и брать за него дополнительную плату с абонентов.

Пожалуйста, расскажите нам, работает ли у вас DNS-туннелирование в режиме белых списков.