PublicDNS - Besser nicht
Ich stehe all diesen Providern eher skeptisch gegenüber, denn sie versprechen zwar eine "sehr schnelle Namensauflösung" aber wichtiger ist mir, die "richtige Antwort", damit mein Client auch den nächsten und schnellsten Server für die Applikation erreicht.
PublicDNS in Kürze
Bei der klassischen Konfiguration fragt ihr Client einen DNS-Service, den er per DHCP zugewiesen bekommen hat. Im Homeoffice ist dies in der Regel ihr DSL-Router und in der Firma meist ein Windows DNS-Server, der zugleich auch lokale AD-Domains auflösen.
Wenn es um externe Namen geht, müssen beide Dienste eine "Upstream"-Service nutzen. Ihr Router im Homeoffice bekommt vom Internet-Provider dazu einen DNS-Services des Providers, welcher die gewünschten Informationen aus dem Internet besorgt. In Firmen können Administratoren nun überlegen, ob sie die Auflösung über einen weitere DNS-Forwarder zum Provider senden oder direkt die Root-Server fragen, um dann über "Referrals" letztlich vom DNS-Server für eine Domain die Antwort zu bekommen.
Leider gibt es immer mal wieder Provider, deren eigene DNS-Dienste nicht zuverlässig genug sind oder sie glauben einfach der Werbung von Public-DNS-Anbietern, dass deren Service viel schneller eine Antwort liefert und vielleicht als Mehrwert noch Malware/Spam/Jugendschutz-Filter umsetzt. Teilweise ohne Bezahlung, aber daher nicht kostenfrei oder als Bezahlservice.
Als Privatanwender tragen Sie einfach den gewünschten DNS-Service in ihrem Client oder ihrem Internet-Router ein. Manchmal übernimmt dies sogar eine ebenfalls kostenfrei angebotene Software des DNS-Anbieters zur Installation auf ihrem Client. Ob sie dem dann vertrauen sollten, müssen sie selbst entscheiden. In Firmen kann der DNS-Administrator natürlich ebenfalls den eigenen Provider oder die Root-Server umgehen und einen öffentlichen DNS-Service konfigurieren. Das Versprechen lautet daher:
- Ganz schnelle Auflösung
Das gilt natürlich nur, wenn der Weg zu dem PublicDNS-Service nicht viel weiter ist als der DNS-Service des Providers. - Domainfilter
Es gibt nachweislich Domains, die je nach Alter nicht angesurft werden dürfen. Wenn Sie als Elternteil z.B. den Zugangs zu Pornoseiten oder Werbenetzwerke blocken wollen, dann können Sie dies über eine DNS-Sperre tun. Mit "PiHole" u.a. gibt es solche Funktionen auch für das LAN. Denken Sie aber dran, dass sie dann den kompletten Domainnamen sperren und nicht einzelne URLs und über die IP-Adresse ist das Ziel vielleicht weiter erreichbar. - Vertipper/Unbekannte Domains
Einige Anbieter lieferten früher auch bei nicht existenten Namen, eine Adresse aus, die dann auf eine Webseite des Anbieters (mit Werbung) und passenden Suchergebnissen führte. Dieser Unfug ist mittlerweile wohl Vergangenheit, da die meisten Browser per Default keinen Wechsel von HTTPS zu HTTP erlauben.
Technisch nutzen alle DNS-Anbieter mittlerweile Anycast-IP-Adressen, so dass sie als Nutzer nur noch eine IP-Adresse eintragen müssen, die dann anhand des IP-Routings zum nächsten DNS-Server geroutet wird.
Datenschutz
Die Umstellung der Namensauflösung über diese "öffentlichen DNS-Server" ist schnell gemacht aber wenn ihnen jemand etwas "schenkt", dann sollten Sie erst noch einmal nachdenken. Ja, es gibt selbstlose Menschen, die ohne Hintergedanken etwas verschenken. Aber diese sind fast so selten wie Einhörner. Wer etwas von Wert verschenkt, gibt ja was ab und schenken ist nur leicht, wenn man selbst nichts dabei verliert, z.B. Freude, Liebe oder auch einfach zu kopierende elektronische Informationen, die quasi ohne Kosten kopiert werden können. Der Betrieb von DNS-Servern im Internet mit so "schönen" IP-Adressen wie 1.1.1.1, 8.8.8.8, 9.9.9.9 ist aber ein hartes Geschäft und natürlich bezahlen sie auf die ein oder andere Weise mit ihren Daten. Der DNS-Betreiber bekommt nämlich drei Informationen kostenfrei und unverschlüsselt geliefert.
- Zeitpunkt
Die Anbieter können also den zeitlichen Verlauf der Anfragen analysieren - IP-Adresse
Damit kann der DNS-Anbieter z.B. auch den Provider ausfindig machen. - Abgefragter Name
Der Anbieter sieht, welche Adressen Sie per DNS auflösen wollen
Das scheint erst einmal unkritisch zu sein, wenngleich die IP-Adresse schon zu den personenbezogenen Daten gehört. Es geht aber noch mehr. Hier ein paar Beispiele:
- Interne Informationen
Wenn ihre Firmennotebook im Home-Office ist, dann versucht er dennoch z.B. Domain Controller zu finden. Diese Abfragen sind aus dem Internet nicht erfolgreich aber lassen Rückschlüsse zu, zu welcher Firma vermutlich ein Client gehört. Wenn ihre Firma viele Notebooks hat, kann der DNS-Anbieter schon eine Landkarte der "Homeoffice-User" bauen und über die Zeit auch Betriebszeiten erkennen. - Profiling
Die IP-Adresse ist meist für einige Stunden oder länger "gleich" und so kann der DNS-Anbieter einen Zeitstrahl mit den Hostnamen ermitteln. Da verschiedene Personen im Grunde bevorzugte Seiten haben, kann man die Person recht gut einordnen. Wenn sie z.B. per DNS dann Firmware-Seiten zu Apple, AVm o.a. abfragen oder IoT-Hubs nutzen, dann weiß der DNS-Anbieter schon recht viel. - Verknüpfung
Besonders interessant sind Querverbindungen. 8.8.8.8 ist ja "Google" und Cloudflare (1.1.1.1) ist ja ein Content Delivery Network, welches auch Client per HTTPS mit Inhalten versieht und so sie noch genauer kennt. Wenn Sie nun auch noch deren DNS-Server nutzen, dann erhält der Anbieter auch noch ihren gesamten anderen Besuchsverlauf
Die Betreiber haben also durchaus ein native Interesse, dass möglichst viele Anwender auch DNS nutzen, um das Bild zu komplettieren. Das sie dann den DNS-Service selbst "Kostenfrei" anbieten und sogar noch mit eine "Malware-Filter" gegen böse Hostnamen versehen, ist für das Marketing natürlich ein weiteres Argument. Sie bezahlen aber, wie immer, mit ihren Daten. Siehe auch In den Händen der Werbenetzwerk - Tracking im Internet
Anbieter
Es gibt einige Firmen und Institutionen, die einen öffentlichen DNS-Service bereitstellen. Damit sind natürlich Kosten verbunden und "Werbung" können Sie in einer DNS-Antwort eigentlich nicht unterbringen. Die meisten Firmen werden wohl nicht selbstlos so ein Angebot bereitstellen, zumal Sie durchaus größere Datenmengen generieren und geografisch verteilt sein sollten. Der "Gewinn" für diese Firmen ist sicherlich die Information, welche Client-IP welchen DNS-Namen aufruft und damit eine Fingerabdruck hinterlässt. Damit erhalten diese Anbieter durchaus Metadaten, die verkauft werden können. Weitere Details finden Sie weiter unten beim Datenschutz.
| Anbieter | IPv4 | IPv6 | Beschreibung |
|---|---|---|---|
| Google Public DNS | Google for Developers https://developers.google.com/speed/public-dns?hl=de |
8.8.8.8 8.8.4.4 |
2001:4860:4860::8888 2001:4860:4860::8844 |
Sicher einer der bekanntesten DNS-Server. Da viele Personen auch Google als Suchmaschine und andere Dienste nutzen, kann Google sehr einfach eine IP-Adresse zu einer Person verbinden und damit auch sehen, was die Nutzer ansurfen, auch wenn sie nicht über Google danach gesucht haben. |
| Quad9 | A public and
free DNS service for a
better security and privacy https://quad9.net/de/ |
9.9.9.9 |
2620:fe::fe – 2620:fe:0:0:0:0:0:fe 2620:fe::9 – 2620:fe:0:0:0:0:0:9 2620:fe::10 – 2620:fe:0:0:0:0:0:10 2620:fe::fe:10 – 2620:fe:0:0:0:0:fe:10 2620:fe::11 – 2620:fe:0:0:0:0:0:11 2620:fe::fe:11 – 2620:fe:0:0:0:0:fe:11' |
Hauptsponsor ist https://globalcyberalliance.org/, die 2014 von der Polizei in UK und NY gestartet wurde, um Werkzeuge gegen Cyberkriminalität bereitzustellen. |
| Cloudflare 1.1.1.1 DNS-Resolver
| Cloudflare https://www.cloudflare.com/de-de/learning/dns/what-is-1.1.1.1/ |
1.1.1.1 |
2606:4700:4700::64 2606:4700:4700::6400 |
Als eines der größeren Content Delivery Netzwerke kann Cloudflare damit auch Werbung für seine DNS-Dienste machen.
|
| OpenDNS https://www.opendns.com/ |
208.67.222.222 208.67.220.220 |
2620:119:35::35 2620:119:53::53 |
Auch wenn der Name "OpenDNS" ist, so ist dahinter doch das Cisco Umbrella-Netzwerk und ein kommerzielles Standbein.
|
| dns0.eu
— The
European
public DNS
that makes
your
Internet
safer https://www.dns0.eu/ Kids — A childproof version of the Internet — dns0.eu https://www.dns0.eu/kids |
Offen 193.110.81.0 185.253.5.0 Kids 193.110.81.1 185.253.5.1 |
Offen 2a0f:fc80::9 2a0f:fc81::9 Kids 2a0f:fc80::1 2a0f:fc81::1 |
Sehr spät als Projekt der EU gestartet, um
von US-Firmen unabhängige Resolver
bereitzustellen. Angeblich betreibt dns0.eu 62
Server in 55 Datencentern in 27 europäischen
Städten, filtert Phishing-Domains und Domains
mit Schad-Inhalten und versteht modernen DNS-
und Verschlüsselungsstandards. Gründer ist aber nicht etwas die EU, sondern die Inhaber von NextDNS, die 2022 eine französische "Non Profit"-Organisation gegründet haben. |
| 114 DNS - Anti-attack DNS, ultra-high
reliability, and intelligent DNS resolution. https://www.114dns.com/ |
Offen 114.114.114.114 115.115.115.115 Kinderschutz 114.114.114.110 114.114.115.110 Phishingschutz 114.114.114.119 114.114.115.119 |
2402:4e00:800::1 2402:4e00:801::1 |
Die ersten Server standen in China und waren meine Teststellen für GeoDNS-Prüfungen. Mittlerweile sind aber auch Server in Europa platziert worden. |
Die Liste ist eine Momentaufnahme, ist nicht vollständig und stellt keine Bewertung oder Empfehlung der Anbieter dar.
- Public DNS Server
https://www.publicdns.xyz/
Ich rate meinen Kunden immer dazu, die DNS-Server des Providers oder die Root-Server zu fragen, damit die angefragten Systeme auch wissen, woher die Anfrage stammt und entsprechend eine GeoIP-Adresse ausliefern können.
False Positive
Aufgefallen ist dieses Verhalten das erste Mal bei einem Kunden, der PublicDNS als "DNS-Forwarder" statt dem Provider oder der Root-Server genutzt hat und ich von Audiocodes eine Software herunter laden wollte. Der Link verweist dazu auf redirect.audiocodes.com und warum auch immer wurde diese Adresse von PublicDNS als Phishing-Seite angesehen. Im Browser habe ich dann folgende Meldung gesehen:
So war ein Download erst mal nicht möglich. Das ist OK, wenn es richtige böse Seiten erwischt UND sie wissentlich PublicDNS als DNS-Resolver eingebunden haben.
PublicDNS und Office 365
Damit war natürlich meine Neugierde geweckt und ich habe PublicDNS hinsichtlich Office 365-Einträge gefragt. Wenn alles richtig läuft, dann sollte der DNS-Resolver die gleichen Zugangsdaten liefern, wie eine normale direkte Anfrage.
Ich habe in dem Moment in einem Hotel in Brno mit der IP-Adresse 62.209.224.147 gearbeitet, welche dem Provider "T-Mobile Czech Republic" zugewiesen ist.
Zuerst also wieder die normale Anfrage eines Clients, der NICHT PublicDNS nutzt. Wir wissen ja schon, dass "outlook.office365.com" als CNAME auf den Namen "outlook.ms-acdc.office.com" verweist und daher der folgende Aufruf die Azure Eingangstür liefert.
PS C:\> (Resolve-DnsName outlook.ms-acdc.office.com)[-1].name FRA-efz.ms-acdc.office.com Routenverfolgung zu 52.97.152.210 über maximal 30 Hops 1 4 ms 4 ms 1 ms 192.168.10.1 2 7 ms 4 ms 5 ms 62.209.224.145 3 7 ms 9 ms 7 ms 62.168.33.113 4 8 ms 11 ms 10 ms 213.29.165.78 5 9 ms 8 ms 8 ms 213.29.165.78 6 16 ms 29 ms 16 ms ae-2.fra2027-ex1.gtsce.net [193.85.195.94] 7 16 ms 19 ms 17 ms msft-decix-01-fra.ntwk.msn.net [80.81.194.52]
Die Anfrage bei Microsoft von dem aktuellen Provider verweist mich Richtung Frankfurt. Das ist schon interessant, da geografisch sogar Wien näherliegen würde aber anscheinend hat die Telekom kein Peering Richtung Microsoft in CZ oder Österreich und routet den Verkehr nach Frankfurt. Nun nutze ich vom gleichen Client aus die PublicDNS-Server
PS C:> (Resolve-DnsName outlook.ms-acdc.office.com -Server 208.67.222.222)[-1].name sxf-efz.ms-acdc.office.com
Bei der Abfrage über PublicDNS bekam ich nun "Berlin Schönefeld" als Zugangsknoten zu sehen. Beim anschließenden Traceroute war der Weg bis zum Microsoft Global Netzwerk (MGN) aber identisch und laut DNS-Namen der Router auch in Frankfurt. Nur innerhalb des MGN wurde der Verkehr natürlich dann anderweitig weiter geleitet.
Auch wenn der Weg durch den Carrier gleich war, ist der Zugangspunkt Berlin, den mir PublicDNS geliefert hat, weiter entfernt und tendenziell schlechter.
Lassen Sie es sich eine Warnung sein, wenn Sie angeblichen Propheten vertrauen und DNS-Server in ihrem Firmennetzwerk nutzen, deren Funktionsweise und Auswirkungen sie nicht vollständig verstanden habe.
Weitere Links
- Anycast-IP
- Office 365 DNS-Routing
- PublicDNS Provider und Probleme
- In den Händen der Werbenetzwerk - Tracking im Internet
- DataCenter Locations
https://www.PublicDNS.com/data-center-locations/ - Get Started | Public DNS | Google
for Developers
https://developers.google.com/speed/public-dns/docs/using
