Как использовать DNS-фильтрацию (Pi-hole, AdGuard Home) для блокировки фишинговых доменов

Представьте ситуацию: вы или ваш сотрудник кликаете на ссылку в письме от «службы безопасности банка» или «курьерской службы». Ссылка выглядит почти настоящей, но ведет на мошеннический сайт. Обычно в этот момент надежда ложится на антивирус или браузерный фильтр. Но часто они срабатывают с опозданием или пропускают свежие угрозы.

DNS-фильтрация через Pi-hole или AdGuard Home работает иначе. Это не программа, которая сканирует файлы на компьютере. Это сетевой шлагбаум, который стоит на входе в вашу сеть. Если устройство пытается «позвонить» по адресу известного мошеннического домена, шлагбаум просто не открывает ворота. Запрос обрывается еще до того, как браузер успел что-то загрузить.

В этой статье я расскажу, как настроить эту защиту так, чтобы она реально отсеивала фишинг, а не просто резала рекламу. Мы разберем, где брать актуальные списки угроз, как выбрать между Pi-hole и AdGuard Home, и главное — как не заблокировать важные сервисы, оставив сеть уязвимой.

Содержание
  1. Почему DNS-фильтрация эффективнее обычного антивируса против фишинга
  2. Pi-hole против AdGuard Home: что выбрать для безопасности
  3. Где брать списки фишинговых доменов: не все списки одинаково полезны
  4. Проверенные источники списков
  5. Пошаговая настройка защиты от фишинга
  6. Шаг 1. Добавление списков блокировки
  7. Шаг 2. Настройка перенаправления (Blocking Mode)
  8. Шаг 3. Настройка клиентов
  9. Шаг 4. Включение шифрования (Рекомендуется)
  10. Сценарии выбора: как настроить под вашу ситуацию
  11. Сценарий 1: «У меня дома дети и пожилые родители»
  12. Сценарий 2: «Малый офис, есть бухгалтерия и важные сервисы»
  13. Сценарий 3: «Продвинутый пользователь / Лаборатория»
  14. Частые ошибки и как их избежать
  15. Ошибка 1: «Я подключил 10 списков, теперь ничего не работает»
  16. Ошибка 2: Забыли про IPv6
  17. Ошибка 3: Блокировка легитимных сервисов (False Positive)
  18. Ошибка 4: Игнорирование обновлений
  19. Как проверить, что защита работает?
  20. Итог: план действий

Почему DNS-фильтрация эффективнее обычного антивируса против фишинга

Большинство людей думает, что защита от вирусов — это установка тяжелого антивируса на каждый компьютер. Это верно для троянов, которые уже попали на диск. Но фишинг — это другая история. Здесь угроза находится на этапе соединения.

Когда вы вводите адрес сайта или кликаете по ссылке, ваш компьютер сначала спрашивает у DNS-сервера: «Какой IP-адрес у этого домена?». Если в этот момент ваш DNS-сервер (ваш Pi-hole или AdGuard) знает, что домен числится в черном списке фишинговых ресурсов, он отвечает: «Такого адреса не существует» (возвращает 0.0.0.0). Браузер просто не может установить соединение.

Ключевые преимущества такого подхода:

  • Защита всех устройств сразу. Вам не нужно ставить софт на смарт-телевизор, телефон бабушки, игровой консоль или умную лампочку. Если они используют ваш DNS, они защищены.
  • Нулевая нагрузка на клиентские устройства. Проверка происходит на сервере (например, на Raspberry Pi или старом ноутбуке). Телефон или ноутбук не тормозят.
  • Блокировка на уровне сети. Даже если пользователь отключил антивирус или использует Linux без защиты, фишинговый домен все равно не разрешится.

Однако важно понимать ограничение: DNS-фильтрация блокирует доступ к домену в целом. Она не умеет «заглядывать» внутрь страницы и видеть, что именно там написано, если сайт использует сложный хостинг или динамические поддомены. Поэтому качество защиты напрямую зависит от качества списков, которые вы подключите.

Pi-hole против AdGuard Home: что выбрать для безопасности

Обе системы отличные, бесплатные и решают одну задачу. Но у них разная философия, что влияет на удобство настройки именно под антифишинг.

Pi-hole — это классика. Он максимально легкий, работает даже на очень слабом железе. Его сила в огромном комьюнити и тысячах готовых списков. Если вам нужна кастомизация «до винтика» и вы любите править конфиги руками — это ваш выбор.

AdGuard Home — более современный и «коробочный» продукт. У него приятнее интерфейс, встроенные функции шифрования DNS (DoH/DoT) из коробки и более понятная логика работы со списками для обычного пользователя.

Для задачи блокировки фишинга разница минимальна, но есть нюансы в управлении списками.

Критерий Pi-hole AdGuard Home
Интерфейс Функциональный, но немного устаревший. Много меню. Современный, интуитивный, вся настройка на одном экране.
Работа со списками Нужно вручную добавлять URL списков. Обновление по расписанию. Есть встроенные фильтры, но можно добавлять и свои. Удобное управление.
Шифрование трафика (DoH/DoT) Требует установки дополнительного ПО (например, cloudflared). Встроено в настройки. Включается парой кликов.
Логирование и статистика Очень детальная, можно выгружать в CSV для анализа. Наглядная, показывает топ заблокированных доменов.
Ресурсоемкость Минимальная (хватит 256 МБ ОЗУ). Чуть выше, но для современного мини-ПК незаметна.

Моя рекомендация: Если вы настраиваете защиту для дома или малого офиса и хотите потратить минимум времени на поддержку — берите AdGuard Home. Встроенное шифрование важно, чтобы провайдер не видел, какие запросы вы делаете, и не мог подменить ответы. Если вы гик, у вас старый Raspberry Pi или нужно специфическое правило — выбирайте Pi-hole.

Где брать списки фишинговых доменов: не все списки одинаково полезны

Самая частая ошибка новичков — подключить первый попавшийся список «Anti-Phishing» и забыть. Проблема в том, что интернет меняется ежесекундно. Мошенники регистрируют тысячи доменов в день. Список, который обновляется раз в неделю, бесполезен против свежего фишинга.

Вам нужны списки, которые:

  1. Обновляются автоматически (минимум раз в сутки, лучше чаще).
  2. Имеют четкую специализацию (именно фишинг/малварь, а не просто «реклама»).
  3. Поддерживаются активным сообществом или компанией.

Проверенные источники списков

Вот набор списков, который я рекомендую использовать как базу. Они покрывают разные векторы угроз.

  • Phishing Army — один из самых надежных и часто обновляемых списков именно фишинговых доменов. Поддерживается энтузиастами, отлично чистит сеть от поддельных банков и сервисов.
  • OISD Big — «золотой стандарт» для домашнего использования. Это огромный список, который включает в себя рекламу, трекеры и, что важно, домены с вредоносным ПО и фишингом. Он славится тем, что редко ломает легитимные сайты (низкий процент ложных срабатываний).
  • Steven Black’s Hosts (Unified) — классика. Объединяет несколько источников. Хорош как база, но для максимальной защиты от фишинга лучше дополнить его специализированными списками.
  • NoGoogle / NoFacebook — если ваша цель не только безопасность, но и приватность от корпораций, эти списки блокируют телеметрию, но к фишингу отношения не имеют. Не путайте их с защитными списками.

Важный нюанс: Не подключайте 50 разных списков «на всякий случай». Чем больше списков, тем дольше обновление и выше шанс конфликта или ложной блокировки нужного ресурса. Лучше взять 2-3 качественных массивных списка (как OISD), чем 20 мелких.

Пошаговая настройка защиты от фишинга

Предположим, вы уже установили Pi-hole или AdGuard Home на свое устройство (будь то Raspberry Pi, виртуальная машина или Docker-контейнер). Давайте настроим его правильно.

Шаг 1. Добавление списков блокировки

Зайдите в панель управления. В Pi-hole это раздел Group Management > Adlists. В AdGuard Home — Настройки > Фильтры DNS > Списки блокировки DNS.

Добавьте следующие URL (актуальные ссылки лучше проверять на GitHub авторов, но обычно они стабильны):

  • Для Phishing Army: https://phishing.army/download/phishing_army_blocklist.txt
  • Для OISD Big: https://big.oisd.nl/

После добавления нажмите кнопку «Update» (Обновить). Дождитесь завершения процесса. В логах вы увидите, сколько доменов было загружено. Если число равно нулю — проверьте, есть ли у сервера доступ в интернет.

Шаг 2. Настройка перенаправления (Blocking Mode)

Это критически важный момент. Когда система блокирует домен, она должна ответить клиенту чем-то понятным.

  • IP 0.0.0.0 или NODATA: Стандартный вариант. Сайт просто не грузится. Для фишинга это отлично — соединение сбрасывается.
  • Страница блокировки: AdGuard Home умеет показывать красивую страницу «Доступ запрещен». Это полезно, чтобы пользователь понял: «Ага, система сработала, я чуть не кликнул на опасную ссылку», а не подумал, что у него просто интернет отвалился.

В AdGuard Home включите отображение страницы блокировки в настройках. В Pi-hole по умолчанию используется пустой ответ, что тоже эффективно.

Шаг 3. Настройка клиентов

Самый надежный способ — настроить раздачу адреса вашего DNS-сервера через роутер (DHCP).

  1. Зайдите в настройки роутера.
  2. Найдите раздел DHCP Server.
  3. В поле «Primary DNS» укажите IP-адрес вашего устройства с Pi-hole/AdGuard.
  4. Сохраните и перезагрузите роутер.

Теперь все устройства, подключающиеся к Wi-Fi или кабелю, будут автоматически использовать вашу защиту. Переподключите устройства к сети, чтобы они получили новые настройки.

Шаг 4. Включение шифрования (Рекомендуется)

Если провайдер увидит, что вы ходите на странные DNS-серверы, он может замедлить соединение или подменить ответы (DNS-spoofing). Чтобы этого избежать, настройте вышестоящий зашифрованный DNS.

  • В AdGuard Home: Настройки > DNS-серверы > Восходящие DNS-серверы. Выберите, например, Cloudflare (TLS) или Quad9 (TLS). Quad9 особенно хорош, так как сам специализируется на блокировке угроз.
  • В Pi-hole: Потребуется установить cloudflared или аналог. Это чуть сложнее, но инструкция есть в официальной документации.

Сценарии выбора: как настроить под вашу ситуацию

Универсального решения нет. Стратегия зависит от того, кто пользуется сетью.

Сценарий 1: «У меня дома дети и пожилые родители»

Задача: Максимальная защита от случайных кликов, простота.

Решение: Используйте AdGuard Home со списком OISD Big.

Почему: OISD очень аккуратен, он почти не ломает обычные сайты, но режет 90% мусора и фишинга. Родителям не придется звонить вам с вопросом «почему не работает сайт банка», потому что ложных срабатываний будет минимум. Включите страницу блокировки, чтобы они видели, что защита работает.

Сценарий 2: «Малый офис, есть бухгалтерия и важные сервисы»

Задача: Безопасность финансов, но без риска остановить работу.

Решение: Используйте Pi-hole или AdGuard. Подключите Phishing Army + Steven Black (Unified).

Почему: Вам нужна агрессивная защита от мошенников, нацеленных на деньги. Но! Обязательно настройте «Белый список» (Whitelist). Заранее внесите туда домены ваших банков, налоговых служб и партнеров. Если список заблокирует сайт ФНС в день сдачи отчетности — это будет катастрофа. Лучше перестраховаться вручную.

Сценарий 3: «Продвинутый пользователь / Лаборатория»

Задача: Исследование угроз, тестирование.

Решение: Aggressive списки (например, списки от Curben на GitHub).

Почему: Здесь допустимы ложные срабатывания. Вы готовы вручную разблокировывать домены ради тотальной чистоты сети. Можно использовать несколько уровней фильтрации.

Частые ошибки и как их избежать

Даже с правильной настройкой можно наступить на грабли. Вот список проблем, с которыми я сталкивался чаще всего.

Ошибка 1: «Я подключил 10 списков, теперь ничего не работает»

Слишком много списков увеличивают вероятность конфликта. Один список говорит «блокируй», другой (менее актуальный) может содержать ошибки. Решение: Оставьте 1-2 крупных и качественных списка. Качество важнее количества.

Ошибка 2: Забыли про IPv6

Вы настроили DNS для IPv4, но забыли, что многие современные устройства используют IPv6. Если провайдер выдает IPv6, а вы его не фильтруете, фишинговый сайт может открыться через IPv6-адрес, обойдя вашу защиту. Решение: Либо отключите IPv6 в роутере, если он вам не нужен, либо настройте фильтрацию и для IPv6 (в AdGuard Home это включено по умолчанию, в Pi-hole требует внимания).

Ошибка 3: Блокировка легитимных сервисов (False Positive)

Иногда крупные списки могут случайно захватить домен CDN, который используют и хорошие, и плохие сайты. Например, перестает грузиться картинка на легальном сайте или не работает вход через Google/Facebook на сторонних ресурсах. Решение: Следите за логами. Если видите, что нужный сайт блокируется — добавьте его домен в «Белый список» (Whitelist) в настройках DNS-сервера.

Ошибка 4: Игнорирование обновлений

Фишинговые домены живут от нескольких часов до пары дней. Если ваш сервер обновляет списки раз в неделю, вы защищаетесь от вчерашнего дня. Решение: Проверьте расписание обновлений. В Pi-hole и AdGuard Home оно стоит по умолчанию, но убедитесь, что сервер не уходит в сон и имеет доступ к интернету.

Как проверить, что защита работает?

Не ждите, пока кто-то реально попадется на удочку. Протестируйте систему безопасно.

Существуют специальные тестовые домены, созданные исследователями безопасности. Они не содержат реальных вирусов, но числятся в черных списках как опасные.

Попробуйте перейти (с устройства в вашей сети) на один из таких адресов:

  • http://testsafebrowsing.appspot.com/ — страница от Google для тестирования.
  • Попробуйте найти актуальный тестовый домен в списке Phishing Army на их GitHub (они иногда публикуют примеры).

Если защита работает, вы увидите либо ошибку «Не удается получить доступ к сайту», либо страницу блокировки от AdGuard. Если сайт открылся — значит, списки не обновились или DNS не применяется к этому устройству.

Итог: план действий

DNS-фильтрация — это не серебряная пуля, которая защитит от всего. Она не спасет, если пользователь сам скачает и запустит вирус. Но она эффективно отрезает самый массовый вектор атак — переход по фишинговым ссылкам.

Ваш чек-лист на сегодня:

  1. Разверните Pi-hole или AdGuard Home (предпочтительно второе для простоты).
  2. Подключите списки OISD Big и Phishing Army.
  3. Настройте роутер так, чтобы он раздавал ваш DNS всем устройствам.
  4. Включите шифрование (DoH/DoT) к надежным апстримам (Quad9/Cloudflare).
  5. Проверьте работу на тестовых адресах.
  6. Добавьте в белый список критически важные ресурсы, если заметите проблемы.

Сделав это, вы закроете «дверь» для большинства автоматических атак и защитите тех, кто меньше всего разбирается в технологиях — ваших близких и коллег.

Информация в статье носит ознакомительный характер и предназначена для повышения личной кибербезопасности. Автор не несет ответственности за возможные сбои в работе сетевой инфраструктуры, возникшие в результате настройки описанного ПО. При настройке корпоративных сетей рекомендуется согласовывать изменения с системным администратором или специалистом по информационной безопасности.

Оцените статью
PEFile — Безопасность и технологии простым языком