Alternative DNS-Server

[corun]

Hey Leute,

habt ihr euch auch schonmal mit dem Thema DNS-Server auseinandergesetzt und möchtest zukünftig einen anderen als den von Google verwenden? Falls ja, welchen alternativen DNS-Server verwendet ihr?

Hier gibt es ja eine nette Liste, aber wie vertrauenswürdig ist die, wer sagt mir z.B. dass der DNS vom CCC auch wirklich der vom CCC ist? Auf der Seite vom CCC selbst steht nämlich nirgends diese IP.

 

[fatal_error]

Der ist auch nicht von CCC sondern wird nur von ihnen empfohlen.
https://www.ccc.de/censorship/dns-howto/

 

[Andreas_]

Er war vom CCC ...

Aktuelle Ankündigungen
Wir haben den öffentlich Dienst dnscache.berlin.ccc.de offline genommen. Bislang ist nicht klar, ob und wann dieser Dienst zurückkommt. Bitte nutzt die Gelegenheit, um selber DNS-Server aufzusetzen und ggf. für alle bereitzustellen.

Quelle: berlin.ccc.de

 

[SpiII]

Ich nutze 1.1.1.1

 

[M@rsupil@mi]

1.1.1.1 wurde wohl vor 2 Tagen von den Chinesen gehackt -> https://www.borncity.com/blog/2018/05/30/cloudflare-dns-service-1-1-1-1-von-china-gehackt/

 

[Lawnmower]

Oder 9.9.9.9 (gefiltert wenn legitime Gerichtsbeschlüsse vorhanden sind) oder 9.9.9.10 (ungefiltert).
Infos: https://www.heise.de/newsticker/mel...liche-Alternative-zum-Google-DNS-3890741.html

 

[Paradox.13te]

Viel Spaß:

Domain Name Speed Benchmark

 

[Oli_P]

https://www.opennic.org/

 

[Neronomicon]

https://www.lifewire.com/free-and-public-dns-servers-2626062

 

[Oli_P]

Oh ja, es gibt soviele Möglichkeiten. Alleine schon bei OpenNIC gibts über 70 Server zur Auswahl. Wenn ich dann noch die Auflistung von Lifewire sehe... Es gibt überhaupt keinen Grund, die vom Provider vorgegebenen DNS-Server zu nutzen

 

[Neronomicon]

Richtig Oli_P. Gerade weil mir Vodafon gewisse Seiten sperrt.

 

[Oli_P]

Ich weiss gar nicht, ob Proximus (Belgien) Seiten sperrt. Ich nutze seit langem alternative DNS-Server. Hab auch schon die verschiedensten durch probiert.

 

[Hoerli]

Ich hab ein Pine ROCK64 gekauft, Pi-Hole installiert und nutze daher diesen als DNS-Server.
Als Rückfall-Server sind CloudFlare, Google, OpenDNS und die vom Provider eingetragen.

Der eingebaute AdBlock is auch ganz fein.

 

[Setrux]

Viel Spaß:

Domain Name Speed Benchmark

>Hand-coded in 100% pure assembly language
> Installation-free

Mein Plus haben die

 

[Domi83]

Moin, ich wollte kein Thema zum Thema "Sicherheit" und "DNS Server" aufmachen, wenn es hier in der Kategorie Sicherheit ein Thema zu alternativen DNS gibt Natürlich ist das Topic schon ein paar Tage älter, aber wer vor ein paar Tagen das Video von Solmecke oder SemperVideo gesehen hat, wird sich mit Sicherheit auch schon mal damit befasst haben, nicht nur sicher sondern auch ohne Zensur unterwegs zu sein.

Natürlich kann man die DNS von Cloudflare, Google oder Quad9 (und weitere) nehmen und habe gestern dann auch mal den DNS von Quad9 ausprobiert. Sowohl via IPv4 als auch IPv6 und muss sagen... läuft! Jetzt kommt das "aber", denn irgendwie ist eine Session auf einer besuchten Seite "über gesprungen" und als ich diese Webseite besucht hatte, glaubte die Webseite ich wäre ein bestimmter User und war auch als dieser eingeloggt.

Hier sind doch bestimmt auch Leute, die bei sich einen Linux Server, Pi-Hole (oder anderes) stehen haben und 'unbound' als Resolver installierten, oder? Wäre dies nicht auch eine gute oder relativ sichere Variante neben den erwähnten bekannten DNS um z.B. einer Zensur aus dem Weg zu gehen? Natürlich nur unter der Prämisse, dass der eigene DNS mit "root.hints" arbeitet und kein forwarding zu den Provider abhängigen DNS macht

Gruß, Domi

 

[crashbandicot]

Jetzt kommt das "aber", denn irgendwie ist eine Session auf einer besuchten Seite "über gesprungen" und als ich diese Webseite besucht hatte, glaubte die Webseite ich wäre ein bestimmter User und war auch als dieser eingeloggt.

Ist technisch quasi unmöglich, da DNS nur eine Namensauflösung macht und nichts mit Login, Cookies oder sonstigen Authentifizierungen zu tun hat.

Hier sind doch bestimmt auch Leute, die bei sich einen Linux Server, Pi-Hole (oder anderes) stehen haben und 'unbound' als Resolver installierten, oder?

Jo, PiHole mit wechselnden DNS Anbietern aus der Empfehlungsliste von Mike Kuketz (https://www.kuketz-blog.de/empfehlungsecke/#dns).

 

[andy_m4]

stehen haben und 'unbound' als Resolver installierten, oder? Wäre dies nicht auch eine gute oder relativ sichere Variante neben den erwähnten bekannten DNS um z.B. einer Zensur aus dem Weg zu gehen? Natürlich nur unter der Prämisse, dass der eigene DNS mit "root.hints" arbeitet und kein forwarding zu den Provider abhängigen DNS macht

Also ich hab hier tatsächlich einen unbound zu laufen den ich für DNSSEC (Absicherung, das keine verfälschten DNS-Antworten kommen), DNS-over-TLS (Verschlüsselung des DNS-Traffics) und natürlich auch Adblocking zum Einsatz kommt. Die Blockliste beziehe ich von hier:
https://github.com/EnergizedProtection/block
Und zwar nehme ich die ultimate-Liste die ziemlich viel wegfiltert aber meiner Erfahrung nach auch nicht so stark, das Webseiten kaputt gehen (und wo es tatsächlich problematisch wird, mach ich dann ein Whitelisting).

Natürlich kann man die DNS von Cloudflare, Google oder Quad9 (und weitere) nehmen und habe gestern dann auch mal den DNS von Quad9 ausprobiert.

Kommt halt darauf an, was man will. Wenn es bei DNS-Security auch um das Thema Datenschutz geht, wäre jetzt Google oder Cloudflare nicht gerade meine erste Anlaufstelle. :-)

Jetzt kommt das "aber", denn irgendwie ist eine Session auf einer besuchten Seite "über gesprungen" und als ich diese Webseite besucht hatte, glaubte die Webseite ich wäre ein bestimmter User und war auch als dieser eingeloggt.

Normalerweise korreliert so was nicht mit DNS. Ich weiß jetzt nicht, welche Seite genau und was da konkret passiert ist, würde aber so als grobe Ferndiagnose einen Zusammenhang mit DNS ausschließen.

Wäre dies nicht auch eine gute oder relativ sichere Variante neben den erwähnten bekannten DNS um z.B. einer Zensur aus dem Weg zu gehen?

Diese gängigen DNS-Sperren kriegt man damit in der Regel ausgehebelt.

 

[Tanzmusikus]

Hand-coded in 100% pure assembly language
Installation-free

Mein Plus haben die

Nutz(t)e ich auch gerne. Allerdings kann das Tool nur Nameserver mit IPv4 testen.
Bei vielen Anbietern ist IPv4 noch immer angesagt, teils sogar IPv4 only.

 

[Domi83]

Ist technisch quasi unmöglich, da DNS nur eine Namensauflösung macht

Vollkommen verständlich, "quasi" sollten sie "nur" dieses machen, ist halt wie ein Telefonbuch... war allerdings verwundert, als ich eine Seite über mein Notebook aufgerufen hatte die ich sonst eher über den PC aufrief und sofort als ein User eingeloggt war. Es kann auch ein technisches Problem des Forums gewesen sein... war aber erst einmal aufgrund des Sicherheitsaspekts irritiert. Zumal "Quad9" hier sehr oft als gute Alternative empfohlen wird! Aber es ist die IT und ich hab schon Dinge gesehen, die mal so gar keinen logischen Grund ergeben und dachte mir "spreche dieses mal an"

Jo, PiHole mit wechselnden DNS Anbietern

Da ich meinen letzten RPi jemandem vermacht hatte, der schnell einen benötigt, hatte ich keinen mehr hier. Hab aber heute gleich mal wieder einen RPi geordert, da ein Bekannter von mir (ebenfalls IT'ler) davon total begeistert ist und legte mir diesen nahe. Seine Aussage war auch, dass der wohl bald unbound bekommt und man somit seinen eigenen resolver zuhause betreiben könnte

An sich penetriert mich das Sperren von Seiten eher weniger, denn auf dem einen oder anderen root Server kann ich mir auch nen Squid oder VPN installieren und ebenfalls umgehen, aber mir geht es halt um einen generellen Austausch. Gerade wenn man bedenkt, dass dank der jetzt eingeführten "Filterung" ja auch der eine 0815 User genervt sein dürfte UND wer weiß wie weit man das noch ausdehnt.

 

[andy_m4]

Für nen Geschwindigkeitstest kann man sich zumindest unter Systemen die das übliche UNIX-command-Set zur Verfügung stellen auch mit Boardmitteln behelfen (bei Windows nimmt man dann idealerweise die PowerShell-Pendants). Und zwar einfach, indem man die Kommandos time und host kombiniert z.B.:
time host www.test.de 9.9.9.9
Wobei man für www.test.de jede beliebige Domain dastehen kann die man halt zum testen nimmt und für 9.9.9.9 dann den entsprechenden Nameserver einträgt, den man testen will.
Die Messung ist jetzt nicht 100%ig genau und ist natürlich auch nicht so komfortabel wie die diversen Spezialprogramme die es dafür gibt, aber für so mal auf die Schnelle reicht es allemal.

Zumal "Quad9" hier sehr oft als gute Alternative empfohlen wird!

Die Meinungen zu Quad9 gehen auseinander. Also zumindest wenn es um den Datenschutzaspekt geht. Filtern tun die ja angeblich nix (es sei denn, man wählt explizit den Server aus der Malware-Blocking macht, wie zum Beispiel 9.9.9.9

Hab aber heute gleich mal wieder einen RPi geordert, da ein Bekannter von mir (ebenfalls IT'ler) davon total begeistert ist und legte mir diesen nahe

Also man braucht kein Raspberry Pi um DNS(-Blocking) zu machen. Man braucht auch kein PiHole. Das ist nur eine Appliance die quasi die ein dnsmasq mit WebGUI und Filterlisten ist. Man kann das genauso gut auch direkt vom Router erledigen lassen (insbesondere wenn der mit freier Firmware wie OpenWRT bespielbar ist).
Oder ums anders zu sagen: Man kann es mit nem RasPi machen und man kann PiHole nehmen, aber das ist jetzt nicht unbedingt notwendige Voraussetzung.

Gerade wenn man bedenkt, dass dank der jetzt eingeführten "Filterung" ja auch der eine 0815 User genervt sein dürfte UND wer weiß wie weit man das noch ausdehnt.

Wobei es allein dafür reicht, wenn man sich ein "uncensored" DNS-Server konfiguriert. Da braucht man keinen eigenen Resolver betreiben. Eigentlich jeder Router erlaubt es eigene DNS-Server einzutragen (so das die dann auch gleich fürs Ganze LAN gelten). Und die weitverbreiteten Fritz!Boxen erlauben sogar schon Sachen wie DNS-over-TLS und so.