Как использовать DNS-фильтрацию (Pi-hole, AdGuard Home) для блокировки фишинговых доменов

Ты уже получил письмо с просьбой «сразу обновить пароль» от банка? Или случайно перешёл по ссылке в SMS, где сайт выглядел как официальный, но потом оказался пустым? Фишинг — не просто спам. Это целенаправленные атаки, которые крадут логины, пароли и деньги. И да, большинство из них начинаются с одного домена — того самого, который ты открыл в браузере.

Большинство людей полагаются на антивирусы и браузерные фильтры. Но они поздно реагируют. А вот DNS-фильтрация — это как поставить стражника у ворот твоей сети. Он не ждёт, пока ты кликнешь. Он просто не пускает вредный домен внутрь. И это работает на всех устройствах: телефонах, ноутбуках, телевизорах, умных часах — всё, что подключено к твоей сети, защищено автоматически.

Почему DNS-фильтрация — это не «ещё один плагин»

Обычные антивирусы и браузерные расширения работают после того, как ты уже загрузил страницу. Они сканируют содержимое, ищут вредоносные скрипты, проверяют подозрительные ссылки. Но фишинговый сайт может быть сделан идеально — с правильной логотипом, шрифтами, даже с HTTPS. Антивирус может пропустить его.

DNS-фильтрация действует раньше. Она не смотрит на содержимое сайта. Она просто смотрит: «Этот домен — в чёрном списке?» Если да — ответ «нет такого сайта» возвращается ещё до того, как твой браузер даже начал загружать страницу. Никаких всплывающих окон, никаких предупреждений — просто тишина. И это именно то, что нужно: ты даже не замечаешь, что атака была заблокирована.

Ты не защищаешься от вирусов. Ты защищаешься от того, чтобы вообще попасть на вредный сайт.

Что такое Pi-hole и AdGuard Home — и чем они отличаются

Оба — это программы, которые ты устанавливаешь на старый роутер, Raspberry Pi, или даже на старый ноутбук, который лежит в шкафу. Они превращают это устройство в локальный DNS-сервер — своего рода «фильтр» для всего, что выходит из твоей сети.

Ты настраиваешь роутер так, чтобы все устройства в доме использовали этот сервер вместо DNS провайдера (например, Google DNS или Cloudflare). И вот — всё, что запрашивается через DNS, проходит через твой фильтр.

Разница между Pi-hole и AdGuard Home — не в безопасности, а в удобстве и гибкости.

Критерий Pi-hole AdGuard Home
Сложность установки Проще для Linux-новичков Интерфейс понятнее, но требует чуть больше настроек
Интерфейс Простой, минималистичный, без лишнего Более современный, с графиками и детализацией
Фильтрация фишинга Поддерживает списки like PhishTank, Anti-Phishing, OISD Встроенные списки фишинга + поддержка пользовательских
Поддержка устройств Работает на любом Linux-устройстве Есть версии для Windows, macOS, Docker
Обновление списков Ручное или через скрипты Автоматическое обновление встроенных списков
Логи и аналитика Базовые: сколько запросов, какие блокируются Подробные графики: по времени, устройству, домену

Если ты хочешь просто «включить и забыть» — AdGuard Home удобнее. Он сам обновляет списки фишинга, показывает статистику и имеет понятный веб-интерфейс. Если ты любишь разбираться в деталях, настраивать всё вручную и не боишься командной строки — Pi-hole даст больше контроля. Оба одинаково эффективны против фишинга.

Как настроить фильтрацию фишинга — пошагово

  1. Выбери устройство для установки. Подойдёт Raspberry Pi 3/4, старый ноутбук, даже NUC или Docker-контейнер на NAS. Главное — чтобы оно работало 24/7 и было подключено к сети.
  2. Установи Pi-hole или AdGuard Home. Для Pi-hole: скачай образ Raspberry Pi OS, установи Pi-hole через команду curl -sSL https://install.pi-hole.net | bash. Для AdGuard Home — скачай .deb/.rpm/.exe с официального сайта и установи как обычную программу.
  3. Настрой DNS-сервер. После установки тебе покажут IP-адрес нового сервера (например, 192.168.1.10). Зайди в настройки своего роутера и в поле «Primary DNS» введи этот IP. Сохрани настройки — и перезагрузи роутер.
  4. Добавь списки фишинга. В веб-интерфейсе (обычно http://pi.hole или http://adguard.local) перейди в раздел «Blocklists». Добавь эти списки:
  5. Проверь работу. Зайди на любой известный фишинговый домен (например, https://www.paypal-security-login.com — это пример, не реальный сайт). Если всё настроено — страница не загрузится. В интерфейсе Pi-hole или AdGuard Home ты увидишь: «Запрос на paypal-security-login.com заблокирован».
  6. Настрой автообновление. В AdGuard Home обновление списков включено по умолчанию. В Pi-hole — добавь cron-задачу: crontab -e → добавь строку 0 3 * * * pihole -g — это обновит списки каждый день в 3 утра.

Что может пойти не так — и как этого избежать

Люди настраивают DNS-фильтрацию, а потом удивляются: «Почему сайт не открывается?»

  • Ошибка 1: забыл обновить DNS на роутере. Установил Pi-hole на Raspberry Pi, но в роутере оставил DNS Google. Результат: фильтр работает, но только для устройств, где ты вручную поменял DNS. Все остальные — не защищены. Решение: проверь настройки роутера. Все устройства должны использовать твой фильтр как основной DNS.
  • Ошибка 2: добавил слишком много списков. Чем больше блок-листов — тем выше шанс, что ты заблокируешь легитимный сайт. Например, один из списков может блокировать домен вроде api.something.com, который нужен для работы твоего умного термостата. Решение: добавляй списки по одному. Проверяй, не сломал ли что-то. Если сайт не открывается — добавь его в белый список.
  • Ошибка 3: не проверял логи. Если ты не смотришь в интерфейс неделю — ты не знаешь, что происходит. Может, кто-то в доме начал ходить на подозрительные сайты. Или кто-то случайно заблокировал сервис банка. Решение: раз в неделю заходи в веб-интерфейс. Посмотри, какие домены блокируются чаще всего.
  • Ошибка 4: думал, что это «панацея». DNS-фильтрация блокирует только домены. Она не защитит от вредоносных PDF, вложений в письмах, или фишинга через Telegram. Решение: используй её как первый уровень защиты — но не единственный. Оставь антивирус и осторожность.

Когда что выбирать — сценарии

Ты не одинок в доме. Ты не технарь. Ты не хочешь тратить часы на настройки. Вот что тебе подойдёт:

  • Если ты живёшь один, хочешь максимум контроля и не боишься командной строки → Pi-hole. Он легче, быстрее, и ты можешь вручную добавить любой фишинговый домен в чёрный список, как только увидишь его в логах.
  • Если у тебя семья, дети, родители, и ты не хочешь объяснять им, что «сайт не открывается» → AdGuard Home. Его интерфейс понятнее, он показывает, кто и куда ходил, и ты можешь легко добавить домен в белый список прямо через браузер.
  • Если у тебя есть старый ноутбук с Windows → AdGuard Home. Он официально поддерживает Windows, и ты можешь установить его без дополнительного оборудования.
  • Если ты хочешь защитить только телефон и ноутбук → не нужно ставить сервер. Просто настрой DNS вручную на каждом устройстве: используй 1.1.1.1 (Cloudflare) + включи фильтрацию фишинга в настройках Cloudflare DNS. Это не так мощно, как локальный сервер, но лучше, чем ничего.
  • Если ты боишься, что что-то сломается → начни с AdGuard Home на Raspberry Pi. Он стабильнее, и ты можешь легко откатиться, если что-то пойдёт не так.

Как лучше сделать — практические рекомендации

  • Не ставь фильтр на роутер. Роутеры слабые. Они не справляются с обработкой DNS-запросов для 10+ устройств. Используй отдельное устройство — даже Raspberry Pi Zero W хватит.
  • Обязательно настрой резервный DNS. Если твой фильтр выключится — ты останешься без интернета. В настройках роутера укажи второй DNS как 1.0.0.1 (Cloudflare) или 8.8.8.8 (Google).
  • Добавляй в белый список только то, что реально нужно. Например, login.yourbank.com — если ты видишь, что он блокируется. Не добавляй «на всякий случай» — это снижает эффективность.
  • Смотри в логи раз в неделю. Если ты видишь, что кто-то часто пытается зайти на amazon-security-check.net — это повод поговорить с человеком. Фильтр не заменяет осознанность.
  • Если ты используешь VPN — он может обходить DNS-фильтр. В таком случае настрой VPN так, чтобы он использовал твой локальный DNS (если поддерживает) или не включай его для домашней сети.

Итог — что делать прямо сейчас

Ты не хочешь стать жертвой фишинга. Ты не хочешь, чтобы кто-то из семьи потерял деньги из-за одной ошибки. Ты не хочешь тратить время на разбирательства с банком.

Вот что тебе нужно сделать в ближайшие 30 минут:

  1. Найди старый ноутбук, Raspberry Pi или даже старый телефон, который можно превратить в сервер (через Termux).
  2. Установи AdGuard Home — это самый простой путь для новичка.
  3. Настрой роутер, чтобы все устройства использовали его как DNS-сервер.
  4. Добавь список https://raw.githubusercontent.com/nextdns/malware-blocklist/master/malware-blocklist.txt в блок-листы.
  5. Перезагрузи роутер и проверь, что сайт https://www.paypal-security-login.com не открывается.

После этого — всё, что подключено к твоей сети, автоматически защищено от фишинга. Никаких предупреждений, никаких уведомлений. Просто — ты и твои близкие не попадёте на поддельные сайты.

Это не «волшебная таблетка». Но это — один из самых эффективных и простых способов защитить домашнюю сеть. И ты можешь это сделать сегодня. Не завтра. Не через месяц. Сейчас.

Информация в этой статье носит ознакомительный характер. DNS-фильтрация снижает риски, но не исключает их полностью. При подозрении на компрометацию учётных данных обращайтесь к специалисту по кибербезопасности или в службу поддержки вашего банка.

Оцените статью
PEFile — Безопасность и технологии простым языком