Безопасный DNS в облаках

    Привет, Хабр!


    Позволь рассказать о проекте SkyDNS, который призван повысить безопасность и продуктивность работы в Интернет, защищая хабралюдей от опасных сайтов и нехороших личностей.



    Под катом — описание сервиса и некоторые интересные цифры. Дискуссия в комментариях приветствуется!

    Что такое SkyDNS?


    В двух словах — это бесплатный интернет-фильтр. В базе сервиса лежит информация о без малого четырех миллионах доменов, сгруппированных в несколько десятков категорий.

    SkyDNS позволяет блокировать вирусные и фишинговые сайты, баннеры, порнографию, и другие ресурсы. Никакой цензуры! Все определяется вашими личными предпочтениями.

    Некоторые факты


    Сеть DNS-серверов состоит из четырех машин, разнесенных по территории страны (в Москве, Санкт-Петербурге, Екатеринбурге и Новосибирске).

    Ежедневно сервис обрабатывает от 30 до 50 миллионов DNS-запросов (нагрузка плавает, в выходные люди серфят значительно меньше, чем в рабочие дни).

    База сайтов растет со скоростью порядка двух тысяч новых доменов в сутки.

    Для кого?


    Для вас, конечно :-) Если серьезно, существует несколько групп, для которых SkyDNS может быть очень полезен.

    Например, системные администраторы. Начиная работать с сервисом, убивают двух зайцев сразу. Во-первых, значительно страхуют себя и пользователей от ситуаций, когда чайники ходят по всяким ссылкам, рекламирующим пикантные ссылки Анны Курниковой, а потом огребают по полной через вирусы, сворованные пароли и так далее. Во-вторых, имеют право просить прибавки к жалованью, позволяя директору повысить эффективность сотрудников, ограничив доступ к социальным сетям и развлекаловке.

    Впрочем, владельцы бизнесов могут пользоваться сервисом и самостоятельно, настройка не займет много времени, и доступна любому человеку с техническим образованием (и даже без оного).

    Далее поговорим о родителях. Многие задумываются — как оградить своих чад от той чернухи, которая обильно розлита по просторам Интернета. Теперь есть решение, причем та же порнография блочится очень эффективно.

    Просто люди, уставшие от баннеров, тизеров, и всплывающих попапов, которые постоянно пытаются что-то навязать или «проинформировать».

    Как работает?


    Фильтрация сайтов выполняется на уровне протокола DNS, а значит, не тормозит серфинг, и не требует ресурсов процессора или памяти на вашем компьютере. Опасные сайты в этой схеме блокируются ДО реального обращения к содержимому страничек, а следовательно, устраняется сама возможность хоть какой-то зацепки для вирусов или мошенников. Нехорошие товарищи даже не узнают о попытке перехода на их ресурс.

    В общем случае для работы сервиса не требуется даже установки дополнительного софта на компьютер, достаточно в сетевых настройках компьютера, маршрутизатора, или модема, сменить DNS-адреса вашего провайдера на адрес SkyDNS: 193.58.251.251.

    Подробные руководства для пользователей Windows и Linux, находятся на страничке мануалов.

    Работать со SkyDNS можно из любой точки земного шара, но на данный момент мы концентрируемся на жителях России, Украины и СНГ. На Запад (а может, и на Восток) пойдем в 2011.

    Что дальше?


    Конечно, будем наращивать мощности сервиса, планируем запуск серверов во всех миллионниках России и Украины.

    Сейчас мы активно работаем над подсистемой статистики, после запуска которой пользователи смогут понять, какие сайты и категории наиболее популярны, как выглядит кривая активности посещения сайтов в течение суток, сколько фишинговых и вирусных ресурсов удалось заблокировать сервису, и так далее.

    Кроме того, еще до конца года мы планируем сделать специальное предложение для наших школ, которые смогут пользоваться всеми возможностями сервиса абсолютно бесплатно и легально — это крайне актуальная задача, учитывая постоянные проверки и придирки к учителям информатики со стороны регулярных инспеций.

    Пока не хватает ресурсов, но в 2011 обязательно реализуем API для подключения внешних сервисов. Возможность предоставить интернет-фильтр под собственным брендом может быть интересна интернет-провайдерам.

    Финита


    На этом, пожалуй, все. Большое спасибо за внимание всем тем хорошим людям, которые осилили весь текст.

    Будем внимательно следить за комментариями к топику :-)
    SkyDNS
    17,00
    Компания
    Поделиться публикацией

    Похожие публикации

    Комментарии 59

      0
      Хороший вариант вместо удаленного OpenDNS. Кстати немного оффтопик, DNS хостинг не планируете предоставлять?
        0
        Есть планы на оказание доп. услуг, в том числе DNS-хостинга, но сначала нужно нарастить мощность и создать действительно географически распределенную систему. Сейчас Яндекс такую возможность бесплатно предоставляет, а значит нам нужны интересные фишки, чтобы был весомый аргумент предпочесть для этих целей именно SkyDNS.
          0
          Идея, добавить статистику в DNS для аудита запросов, формирование кратких отчетов по запросам, возможность блокировать неугодные ип и хосты, подсети, страны, прям на уровне dns хостера, было бы идеально.
            0
            Да, классные идеи. Пока без деталей, но мы тоже потихоньку думаем в направлении некого сервиса на базе DNS, который помог бы бороться с распределенными атаками.
          0
          rejector.ru не вариант? :)
            0
            А чем плох «удаленный» OpenDNS? Сам пользуюсь…
            0
            у вас все бесплатно или все же нужно будет платить за пользование вашими услугами?
              +7
              Все бесплатно, в следующем году появятся платные аккаунты с расширенными фичами. Все возможности, доступные сейчас (фильтрация, индивидуальные черные и белые списки и т.д.) останутся бесплатными всегда. В-общем, предполагается развитие в концепции freemium.
              +1
              Судя по количеству быстрорастущих DNS серверов (открытых и бесплатных) можно с уверенностью сказать, что кто-то нашел отличный способ монетизации (не премиум аккаунты). Вероятнее всего формирование баз (статистика, сбор фильтр-предпочтении и т.д.) и последующая их продажа(?).

              Расскажите, как на самом деле обстоят дела? Понимаю, что коммерческая тайна. Но ведь открытых DNS серверов, которые зарабатывают — уже почти критическая масса набралась. Пора нубам вроде меня пояснить в чем соль :)

              PS. Симпатичный сайт, дизайн, приятная подача и задумка в целом. Спасибо.
                0
                OpenDNS за счет того, что при не правильном наборе и ошибках вставляет рекламные байнеры с контекстной рекламой и не только, платных подписок для фильтрации трафика организациям, защита от ботоводов и потенциальных угроз, всяких утечек информации, наверно и продажей статистики 3-им лицам для анализа :)
                  0
                  Не думаю, что на сторону уходит информация, не представляет она большого интереса.

                  Что касается SkyDNS, у нас на уровне Политики Конфиденциальности достаточно подробно сказано, как мы используем или планируем использовать всю информацию, которая к нам попадает:

                  www.skydns.ru/info/privacy

                  +8
                  Спасибо за отзыв, ничего секретного (или криминального) в способах монетизации нет :-) Вот перечень базовых механизмов:

                  1. Премиум-акканты для тех, кто хочет доп. фич, или гарантированной поддержки

                  2. Демонстрация контекстной рекламы на страничках блокировки

                  3. Коммерческие тарифы для бизнесов и учебных учреждений

                  4. Предоставление функционала напрямую (или в виде базы опосредованно) по OEM лицензии для сторонних заинтересованных сервисов за отдельную плату (например, интеграция в личные кабинеты провайдеров, или коммерческие интернет-шлюзы и фильтры)

                  Боюсь, что сама информация по предпочтениям фильтра или статистике, никакой особой ценности сама по себе не несет. Понятно же, что у 90% будет стандартный набор выставлен — вирусы, фишинг, порнография. А популярность тех или иных ресурсов привыкли мерить открытыми счетчиками.
                    +1
                    Спасибо за развернутый ответ.
                      0
                      Жаль такая защита на уровне DNS обходится студентами на раз :(.
                    0
                    У Вас очень интересный проект, но пару недель назад уже о Вас слышал, отложил разобраться на потом. Вот, разбираюсь.
                    В общем случае для работы сервиса не требуется даже установки дополнительного софта на компьютер, достаточно в сетевых настройках компьютера, маршрутизатора, или модема, сменить DNS-адреса вашего провайдера на адрес SkyDNS: 193.58.251.251.

                    С тех самых парунедельных времён сохранился некий SkyDNS_Agent_Setup.exe размером 806 197 байт и с MD5 D2E31D84BC870D4B2B0F552C72D5401B. При запуске распаковывается некий агент Agent.exe версии 1.2 размером 1 603 072 байт и MD5 EB23BE897A3E17717DAAFD150B9166A4.

                    Вредоносного в файле не обнаружено, он вполне корректно деинсталлируется.

                    Что сие есть и зачем? И почему сейчас об этом на сайте не указано — уже не нужно?
                      0
                      SkyDNS Agent изначально создавался для поддержки пользователей с динамическими ip-адресами в Windows. Кроме того, во время установки инсталлятор позволяет автоматически прописать наш DNS в сетевые настройки, что актуально для неопытных пользователей.

                      Судя по всему, Agent и дальше будет развиваться активно, в сторону предоставления быстрого и удобного доступа к таким функциям, как добавление исключения в индивидуальный список, или жалоба на какой-то ресурс. Подобных идей пользователи нам много подкинули в Реформале: skydns.reformal.ru
                        0
                        Ну на счёт исключений и жалоб — это звучит очень здорово. Но вот на счёт динамических ИПов я не понял — какая Вам разница, меняется ли у меня ИП или нет, если я просто пропишу Ваш адрес в качестве первичного ДНС? Я же не резервирую доменное имя у Вас, как в случае DynDNS, а просто хочу нормальный рессолв с ограничением неблагонадёжного контента.
                          0
                          А как интересно вас будет идентифицировать сам SkyDNS, чтобы применить ИМЕННО ВАШИ фильтры? Протокол DNS вроде не предполагает ничего подобного…
                            0
                            Это понятно, а разве не имеется общего варианта без настроек, точнее — с настройками по умолчанию? Или именно он и реализуется без агента?
                              0
                              по ип адресу, наверно.
                                0
                                Поидее именно он и реализуется… Другое дело, я не думаю, что там фильтры что-либо изменят — сказано же, «никакой цензуры, ваши персональные фильтры»…
                              0
                              По ip-адресу мы определяем, кто пытается резолвить имя, соответственно — какие настройки фильтров применять. Если у пользователя нет аккаунта в система (режим анонима), блокируем только вирусные и фишинговые ресурсы.
                              0
                              Хотелось бы иметь возможность прописывать для самому некоторые днс записи, например если я хочу прописать сайты из локальной сети…
                                0
                                Скорее всего, такая возможность появится в будущем.
                            0
                            не совсем понял в чем принципиальные отличии от opendns?
                              0
                              У нас сервера в России (быстрый отклик), плотная работа с местными источниками информации (качество базы по Рунету значительно лучше) и, надеюсь, более удобный и легкий интерфейс.
                              0
                              «Firefox определил, что сервер перенаправляет запрос на этот адрес таким образом, что он никогда не завершится.Эта проблема может возникать при отключении или запрещении принятия кук.»
                              Безопасный сервис который не может работать анонимно идет лесом (это цензурно).

                                +1
                                Работу с куками счас поправим, чтобы не кидало в бесконечный цикл. Что касается безопасности, нужно иметь в виду, что мы не ставим своей целью повышать анонимность серфинга в сети, для этого существуют совершенно другие инструменты.
                                  0
                                  ну это вообще-то не анонимайзер как бы совсем :)
                                  0
                                  Попробую ваш сервис, часто бывает что у провайдера DNS-сервера падают…
                                  Пока полет нормальный :)
                                    0
                                    Я вот чего не понимаю: это просто для себя вещь? Запретить самому себе доступ куда-то?
                                    Сменить ДНС на стандартный либо гугловский дело нескольких секунд.
                                    Не проще ли сверху на монитор поставить мотиватор: «Не смотри порнуху сегодня, не смотри...».
                                    А с баннерами, имхо, AdBlock уже давно успешно справился.
                                      +1
                                      Это для моей дочери сервис, которая в свои 5 лет уже тычит в браузере куда только возможно и с сайта како-го нибудь бибигона попадает в самые непредсказуемые места…
                                        0
                                        Да-да. Один из типичных вариантов использования. Друзья, далекие от компьютера, удивляются, когда узнают, что можно вот таким путем оградить своих детей от чернухи, и попытки целенаправленного поиска порно в Яндексе неизменно кидают на странички блокировки :-)
                                      +2
                                      Кто такая Анна Курникова?
                                        +1
                                        Да уж. У меня для тебя плохие новости бро;)
                                        0
                                        Простите, но строить защиту на DNS-сервисе как-то… не безопасно.
                                          0
                                          Зато как первоначальный фильтр очень эффективно.
                                            0
                                            Мы не претендуем на 100% защиту. Но как первый уровень, который многих устраивает вполне (если стоит только задача фильтрации) — очень эффективная штука. Особенно в параллель с хорошим антивирусом и файрволлом :-)
                                            0
                                            Скорее опасные сайты и нехороших личностей надо защищать от хабралюдей
                                              0
                                              Голосование за внесение сайта в определенную категорию, как у OpenDNS, тоже есть, или вы исключительно сами заполняете свои базы?
                                                +1
                                                Пока собираем базу из десятка сторонних источников, плюс собственные наработки. В будущем будет некая социальная система, которая позволит расширять базу силами пользователей.
                                                  0
                                                  как я понял, база (адресов) закрытая и модификации/просмотру пользователем не подлежит?
                                                  тогда нет преимуществ перед rejector (который кстати статистику предоставляет, что полезно)

                                                  Подключися, зашел на рутрекер оперой (вместо ФФ+Адблок) — баннеры всюду. Вердикт — не айс.
                                                  ФФ+Адблок по-прежнему лидирует.
                                                    0
                                                    Конечному пользователю скорее важен не факт открытости базы, а ее размер и качество. Иначе будут регулярно всплывать вопросы, вроде жалобы с форума Режектора на одного из активных мейнтейнеров:

                                                    «Мне вот интересно каким методом данный пользователь поределяет категорию сайта как порнографию? Если посмотреть список добавленных им сайтов, то там чуть ли ни одно порно. А там сайты школ, музеев и т.д.»

                                                    Подобные же проблемы существуют и у других открытых баз, которые мы исследовали. Поэтому внедрять у себя будем только после набора критической базы пользователей, которые смогут качественно работать с новыми доменами.
                                                      0
                                                      Да, насчет баннеров. Адблок действительно рулит, потому-что может очень гибко резать содержимое страниц. Для резки рекламы его можно включать в параллель с нашим сервисом.
                                                  0
                                                  Думаю, было бы здорово, если бы в настройках была функция перенаправления определенных сайтов на определенные ip-адреса. Мне бы лично это очень пригодилось в некоторых моментах. А так — спасибо за сервис!
                                                    0
                                                    Несколько технических вопросов:
                                                    1. Вы указали 1 ip-адрес ДНС 193.58.251.251, а как обспечивается распределение нагрузки по 4-м серверам?
                                                    2. Возможна ли модификация DNS-ответов в том плане чтобы увеличивать время (до 12 часов например) жизни «резолва» — для уменьшения времени открытия страниц на медленных соединениях
                                                    3. Как планируете решать проблему пользователей, сидящих за NAT (ДА, таких много и будет много)?
                                                      0
                                                      А какая проблема у пользователей за натом?
                                                        0
                                                        Сервис авторизует пользователей по IP. А если появятся два клиента за одним и тем же натом с разными предпочтениями по блокировке сайтов?
                                                        0
                                                        1. Единый IP-адрес для всех серверов реализуется через BGP Anycast, собственно, как и у остальных глобальных DNS-операторов. Это позволяет автоматически выбирать наиболее предпочтительный сервер в зависимости от географического положения клиента.

                                                        2. Мы не модифицируем TTL, но увеличивать его обычно и не нужно, Windows сама эффективно кеширует, плюс многие браузеры сейчас используют кеширование и предварительную выборку, это позволяет ускорять доступ независимо от того, с каким DNS-сервисом вы работаете.

                                                        3. Для пользователей NAT готовим интересное техническое решение, буквально в начале следующего года решим проблему пользователей, у которых NAT не позволяет полноценно работать через SkyDNS.
                                                        0
                                                        отстояние не особо заметно, лишь задержка из-за геогр. расстояния

                                                          0
                                                          Из какой точки шарика такая картинка? Из России обычно расклад другой — Sky идет первым, за ним выстраиваются сервисы, у которых ближайшие сервера находятся в Европе.
                                                            0

                                                            4 38 ms 59 ms 39 ms frkt-ar1.msk.ip.rostelecom.ru [80.81.194.31]
                                                            5 120 ms 119 ms 119 ms ae-0.ebrg-rgr3.ur.ip.rostelecom.ru [94.25.0.110]
                                                            6 126 ms 130 ms 126 ms customer.xe-4-2-0.ebrg-rgr3.ur.ip.rostelecom.ru [87.226.138.210]
                                                            7 119 ms 119 ms 119 ms 79.133.95.20
                                                            8 126 ms 126 ms 125 ms 193.58.251.251

                                                            Trace complete.
                                                          0
                                                          А можете рассказать как технические у вас все устроено? Какой софт, как устроена синхронизация, распределение трафика и тд.
                                                            0
                                                            Все сервера под управлением Linux, ядро сервиса написано с нуля на Си, вспомогательные вещи на Python. Распределение трафика осуществляется автоматически, так как используем BGP Anycast.
                                                            0
                                                            Очень неплохая альтернатива Google DNS и OpenDNS, в силу географического расположения серверов запросы обрабатываются несколько быстрее
                                                              0
                                                              Да, приходится учитывать размеры страны :-) Если для Европы вполне приемлем вариант с одним дата-центром, то с нашими расстояниями и качеством каналов иметь распределенную сесть серверов от Центра до Дальнего Востока жизненно необходимо.
                                                              0
                                                              Levsha, спасибо! Заработал новый DNS, даже несмотря на НАТ, стали быстрее грузиться странички, черные списки работают. Вопрос только как сделать чтобы этот ДНС распространялся на всю локалку по умолчанию, если ПК ЛАНа принимают инет через сервер Windows и используют его как шлюз.
                                                                0
                                                                А как Windows-сервер раздает сетевые настройки на компьютеры, через DHCP?

                                                                Если так, предполагаю, что два варианта: либо раздавать адрес SkyDNS всем клиентам напрямую, либо на самом Windows-сервере использовать локальную службу DNS, которая будет ходить на Sky, а на клиентах будет прописан адрес сервера.

                                                                К сожалению, не силен в серверных архитектурах Windows, надеюсь, практики подскажут правильный путь.
                                                                  0
                                                                  Спасибо, попробуем!

                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.