Представьте ситуацию: вы или ваш сотрудник кликаете на ссылку в письме от «службы безопасности банка» или «курьерской службы». Ссылка выглядит почти настоящей, но ведет на мошеннический сайт. Обычно в этот момент надежда ложится на антивирус или браузерный фильтр. Но часто они срабатывают с опозданием или пропускают свежие угрозы.
DNS-фильтрация через Pi-hole или AdGuard Home работает иначе. Это не программа, которая сканирует файлы на компьютере. Это сетевой шлагбаум, который стоит на входе в вашу сеть. Если устройство пытается «позвонить» по адресу известного мошеннического домена, шлагбаум просто не открывает ворота. Запрос обрывается еще до того, как браузер успел что-то загрузить.
В этой статье я расскажу, как настроить эту защиту так, чтобы она реально отсеивала фишинг, а не просто резала рекламу. Мы разберем, где брать актуальные списки угроз, как выбрать между Pi-hole и AdGuard Home, и главное — как не заблокировать важные сервисы, оставив сеть уязвимой.
- Почему DNS-фильтрация эффективнее обычного антивируса против фишинга
- Pi-hole против AdGuard Home: что выбрать для безопасности
- Где брать списки фишинговых доменов: не все списки одинаково полезны
- Проверенные источники списков
- Пошаговая настройка защиты от фишинга
- Шаг 1. Добавление списков блокировки
- Шаг 2. Настройка перенаправления (Blocking Mode)
- Шаг 3. Настройка клиентов
- Шаг 4. Включение шифрования (Рекомендуется)
- Сценарии выбора: как настроить под вашу ситуацию
- Сценарий 1: «У меня дома дети и пожилые родители»
- Сценарий 2: «Малый офис, есть бухгалтерия и важные сервисы»
- Сценарий 3: «Продвинутый пользователь / Лаборатория»
- Частые ошибки и как их избежать
- Ошибка 1: «Я подключил 10 списков, теперь ничего не работает»
- Ошибка 2: Забыли про IPv6
- Ошибка 3: Блокировка легитимных сервисов (False Positive)
- Ошибка 4: Игнорирование обновлений
- Как проверить, что защита работает?
- Итог: план действий
Почему DNS-фильтрация эффективнее обычного антивируса против фишинга
Большинство людей думает, что защита от вирусов — это установка тяжелого антивируса на каждый компьютер. Это верно для троянов, которые уже попали на диск. Но фишинг — это другая история. Здесь угроза находится на этапе соединения.
Когда вы вводите адрес сайта или кликаете по ссылке, ваш компьютер сначала спрашивает у DNS-сервера: «Какой IP-адрес у этого домена?». Если в этот момент ваш DNS-сервер (ваш Pi-hole или AdGuard) знает, что домен числится в черном списке фишинговых ресурсов, он отвечает: «Такого адреса не существует» (возвращает 0.0.0.0). Браузер просто не может установить соединение.
Ключевые преимущества такого подхода:
- Защита всех устройств сразу. Вам не нужно ставить софт на смарт-телевизор, телефон бабушки, игровой консоль или умную лампочку. Если они используют ваш DNS, они защищены.
- Нулевая нагрузка на клиентские устройства. Проверка происходит на сервере (например, на Raspberry Pi или старом ноутбуке). Телефон или ноутбук не тормозят.
- Блокировка на уровне сети. Даже если пользователь отключил антивирус или использует Linux без защиты, фишинговый домен все равно не разрешится.
Однако важно понимать ограничение: DNS-фильтрация блокирует доступ к домену в целом. Она не умеет «заглядывать» внутрь страницы и видеть, что именно там написано, если сайт использует сложный хостинг или динамические поддомены. Поэтому качество защиты напрямую зависит от качества списков, которые вы подключите.
Pi-hole против AdGuard Home: что выбрать для безопасности
Обе системы отличные, бесплатные и решают одну задачу. Но у них разная философия, что влияет на удобство настройки именно под антифишинг.
Pi-hole — это классика. Он максимально легкий, работает даже на очень слабом железе. Его сила в огромном комьюнити и тысячах готовых списков. Если вам нужна кастомизация «до винтика» и вы любите править конфиги руками — это ваш выбор.
AdGuard Home — более современный и «коробочный» продукт. У него приятнее интерфейс, встроенные функции шифрования DNS (DoH/DoT) из коробки и более понятная логика работы со списками для обычного пользователя.
Для задачи блокировки фишинга разница минимальна, но есть нюансы в управлении списками.
| Критерий | Pi-hole | AdGuard Home |
|---|---|---|
| Интерфейс | Функциональный, но немного устаревший. Много меню. | Современный, интуитивный, вся настройка на одном экране. |
| Работа со списками | Нужно вручную добавлять URL списков. Обновление по расписанию. | Есть встроенные фильтры, но можно добавлять и свои. Удобное управление. |
| Шифрование трафика (DoH/DoT) | Требует установки дополнительного ПО (например, cloudflared). | Встроено в настройки. Включается парой кликов. |
| Логирование и статистика | Очень детальная, можно выгружать в CSV для анализа. | Наглядная, показывает топ заблокированных доменов. |
| Ресурсоемкость | Минимальная (хватит 256 МБ ОЗУ). | Чуть выше, но для современного мини-ПК незаметна. |
Моя рекомендация: Если вы настраиваете защиту для дома или малого офиса и хотите потратить минимум времени на поддержку — берите AdGuard Home. Встроенное шифрование важно, чтобы провайдер не видел, какие запросы вы делаете, и не мог подменить ответы. Если вы гик, у вас старый Raspberry Pi или нужно специфическое правило — выбирайте Pi-hole.
Где брать списки фишинговых доменов: не все списки одинаково полезны
Самая частая ошибка новичков — подключить первый попавшийся список «Anti-Phishing» и забыть. Проблема в том, что интернет меняется ежесекундно. Мошенники регистрируют тысячи доменов в день. Список, который обновляется раз в неделю, бесполезен против свежего фишинга.
Вам нужны списки, которые:
- Обновляются автоматически (минимум раз в сутки, лучше чаще).
- Имеют четкую специализацию (именно фишинг/малварь, а не просто «реклама»).
- Поддерживаются активным сообществом или компанией.
Проверенные источники списков
Вот набор списков, который я рекомендую использовать как базу. Они покрывают разные векторы угроз.
- Phishing Army — один из самых надежных и часто обновляемых списков именно фишинговых доменов. Поддерживается энтузиастами, отлично чистит сеть от поддельных банков и сервисов.
- OISD Big — «золотой стандарт» для домашнего использования. Это огромный список, который включает в себя рекламу, трекеры и, что важно, домены с вредоносным ПО и фишингом. Он славится тем, что редко ломает легитимные сайты (низкий процент ложных срабатываний).
- Steven Black’s Hosts (Unified) — классика. Объединяет несколько источников. Хорош как база, но для максимальной защиты от фишинга лучше дополнить его специализированными списками.
- NoGoogle / NoFacebook — если ваша цель не только безопасность, но и приватность от корпораций, эти списки блокируют телеметрию, но к фишингу отношения не имеют. Не путайте их с защитными списками.
Важный нюанс: Не подключайте 50 разных списков «на всякий случай». Чем больше списков, тем дольше обновление и выше шанс конфликта или ложной блокировки нужного ресурса. Лучше взять 2-3 качественных массивных списка (как OISD), чем 20 мелких.
Пошаговая настройка защиты от фишинга
Предположим, вы уже установили Pi-hole или AdGuard Home на свое устройство (будь то Raspberry Pi, виртуальная машина или Docker-контейнер). Давайте настроим его правильно.
Шаг 1. Добавление списков блокировки
Зайдите в панель управления. В Pi-hole это раздел Group Management > Adlists. В AdGuard Home — Настройки > Фильтры DNS > Списки блокировки DNS.
Добавьте следующие URL (актуальные ссылки лучше проверять на GitHub авторов, но обычно они стабильны):
- Для Phishing Army:
https://phishing.army/download/phishing_army_blocklist.txt - Для OISD Big:
https://big.oisd.nl/
После добавления нажмите кнопку «Update» (Обновить). Дождитесь завершения процесса. В логах вы увидите, сколько доменов было загружено. Если число равно нулю — проверьте, есть ли у сервера доступ в интернет.
Шаг 2. Настройка перенаправления (Blocking Mode)
Это критически важный момент. Когда система блокирует домен, она должна ответить клиенту чем-то понятным.
- IP 0.0.0.0 или NODATA: Стандартный вариант. Сайт просто не грузится. Для фишинга это отлично — соединение сбрасывается.
- Страница блокировки: AdGuard Home умеет показывать красивую страницу «Доступ запрещен». Это полезно, чтобы пользователь понял: «Ага, система сработала, я чуть не кликнул на опасную ссылку», а не подумал, что у него просто интернет отвалился.
В AdGuard Home включите отображение страницы блокировки в настройках. В Pi-hole по умолчанию используется пустой ответ, что тоже эффективно.
Шаг 3. Настройка клиентов
Самый надежный способ — настроить раздачу адреса вашего DNS-сервера через роутер (DHCP).
- Зайдите в настройки роутера.
- Найдите раздел DHCP Server.
- В поле «Primary DNS» укажите IP-адрес вашего устройства с Pi-hole/AdGuard.
- Сохраните и перезагрузите роутер.
Теперь все устройства, подключающиеся к Wi-Fi или кабелю, будут автоматически использовать вашу защиту. Переподключите устройства к сети, чтобы они получили новые настройки.
Шаг 4. Включение шифрования (Рекомендуется)
Если провайдер увидит, что вы ходите на странные DNS-серверы, он может замедлить соединение или подменить ответы (DNS-spoofing). Чтобы этого избежать, настройте вышестоящий зашифрованный DNS.
- В AdGuard Home: Настройки > DNS-серверы > Восходящие DNS-серверы. Выберите, например, Cloudflare (TLS) или Quad9 (TLS). Quad9 особенно хорош, так как сам специализируется на блокировке угроз.
- В Pi-hole: Потребуется установить cloudflared или аналог. Это чуть сложнее, но инструкция есть в официальной документации.
Сценарии выбора: как настроить под вашу ситуацию
Универсального решения нет. Стратегия зависит от того, кто пользуется сетью.
Сценарий 1: «У меня дома дети и пожилые родители»
Задача: Максимальная защита от случайных кликов, простота.
Решение: Используйте AdGuard Home со списком OISD Big.
Почему: OISD очень аккуратен, он почти не ломает обычные сайты, но режет 90% мусора и фишинга. Родителям не придется звонить вам с вопросом «почему не работает сайт банка», потому что ложных срабатываний будет минимум. Включите страницу блокировки, чтобы они видели, что защита работает.
Сценарий 2: «Малый офис, есть бухгалтерия и важные сервисы»
Задача: Безопасность финансов, но без риска остановить работу.
Решение: Используйте Pi-hole или AdGuard. Подключите Phishing Army + Steven Black (Unified).
Почему: Вам нужна агрессивная защита от мошенников, нацеленных на деньги. Но! Обязательно настройте «Белый список» (Whitelist). Заранее внесите туда домены ваших банков, налоговых служб и партнеров. Если список заблокирует сайт ФНС в день сдачи отчетности — это будет катастрофа. Лучше перестраховаться вручную.
Сценарий 3: «Продвинутый пользователь / Лаборатория»
Задача: Исследование угроз, тестирование.
Решение: Aggressive списки (например, списки от Curben на GitHub).
Почему: Здесь допустимы ложные срабатывания. Вы готовы вручную разблокировывать домены ради тотальной чистоты сети. Можно использовать несколько уровней фильтрации.
Частые ошибки и как их избежать
Даже с правильной настройкой можно наступить на грабли. Вот список проблем, с которыми я сталкивался чаще всего.
Ошибка 1: «Я подключил 10 списков, теперь ничего не работает»
Слишком много списков увеличивают вероятность конфликта. Один список говорит «блокируй», другой (менее актуальный) может содержать ошибки. Решение: Оставьте 1-2 крупных и качественных списка. Качество важнее количества.
Ошибка 2: Забыли про IPv6
Вы настроили DNS для IPv4, но забыли, что многие современные устройства используют IPv6. Если провайдер выдает IPv6, а вы его не фильтруете, фишинговый сайт может открыться через IPv6-адрес, обойдя вашу защиту. Решение: Либо отключите IPv6 в роутере, если он вам не нужен, либо настройте фильтрацию и для IPv6 (в AdGuard Home это включено по умолчанию, в Pi-hole требует внимания).
Ошибка 3: Блокировка легитимных сервисов (False Positive)
Иногда крупные списки могут случайно захватить домен CDN, который используют и хорошие, и плохие сайты. Например, перестает грузиться картинка на легальном сайте или не работает вход через Google/Facebook на сторонних ресурсах. Решение: Следите за логами. Если видите, что нужный сайт блокируется — добавьте его домен в «Белый список» (Whitelist) в настройках DNS-сервера.
Ошибка 4: Игнорирование обновлений
Фишинговые домены живут от нескольких часов до пары дней. Если ваш сервер обновляет списки раз в неделю, вы защищаетесь от вчерашнего дня. Решение: Проверьте расписание обновлений. В Pi-hole и AdGuard Home оно стоит по умолчанию, но убедитесь, что сервер не уходит в сон и имеет доступ к интернету.
Как проверить, что защита работает?
Не ждите, пока кто-то реально попадется на удочку. Протестируйте систему безопасно.
Существуют специальные тестовые домены, созданные исследователями безопасности. Они не содержат реальных вирусов, но числятся в черных списках как опасные.
Попробуйте перейти (с устройства в вашей сети) на один из таких адресов:
http://testsafebrowsing.appspot.com/— страница от Google для тестирования.- Попробуйте найти актуальный тестовый домен в списке Phishing Army на их GitHub (они иногда публикуют примеры).
Если защита работает, вы увидите либо ошибку «Не удается получить доступ к сайту», либо страницу блокировки от AdGuard. Если сайт открылся — значит, списки не обновились или DNS не применяется к этому устройству.
Итог: план действий
DNS-фильтрация — это не серебряная пуля, которая защитит от всего. Она не спасет, если пользователь сам скачает и запустит вирус. Но она эффективно отрезает самый массовый вектор атак — переход по фишинговым ссылкам.
Ваш чек-лист на сегодня:
- Разверните Pi-hole или AdGuard Home (предпочтительно второе для простоты).
- Подключите списки OISD Big и Phishing Army.
- Настройте роутер так, чтобы он раздавал ваш DNS всем устройствам.
- Включите шифрование (DoH/DoT) к надежным апстримам (Quad9/Cloudflare).
- Проверьте работу на тестовых адресах.
- Добавьте в белый список критически важные ресурсы, если заметите проблемы.
Сделав это, вы закроете «дверь» для большинства автоматических атак и защитите тех, кто меньше всего разбирается в технологиях — ваших близких и коллег.
Информация в статье носит ознакомительный характер и предназначена для повышения личной кибербезопасности. Автор не несет ответственности за возможные сбои в работе сетевой инфраструктуры, возникшие в результате настройки описанного ПО. При настройке корпоративных сетей рекомендуется согласовывать изменения с системным администратором или специалистом по информационной безопасности.
