Ein gemeinschaftliches, offenes Projekt (DNS Privacy Project) zur Förderung, Implementierung und Bereitstellung von sicheren DNS Abfragen und dem Schutz vor institutionaler Überwachung der DNS Abfragen.
DNS mit Schutz vor Überwachung
Es ist bekannt, dass die NSA die Tools MORECOWBELL und QUANTUMDNS eingesetzt hat, um den DNS-Verkehr verdeckt zu überwachen, massenhaft zu kontrollieren und zu kapern.
Einige Internetanbieter protokollieren DNS-Anfragen beim Resolver und geben diese Informationen auf eine Weise an Dritte weiter, die den Endnutzern nicht bekannt oder offensichtlich ist.
Diese Non-Profit Gruppe im Internet hat sich der Einhaltung der protokollfreien (No-Logs) DNS Server verschrieben. Dazu wird ebenso „DNS over TLS“ verwendet, um das Anfangen der DNS Abfragen zu verhindern.
DNS Privacy Server gelten auch in Fachkreisen als sehr sicher und schnell.
Inhaltsverzeichnis
DNS-Server, die von den Stubby-Entwicklern betrieben werden
- DNS-over-TLS
Hostname: tls://getdnsapi.net IP: 185.49.141.37 und IPv6: 2a04:b900:0:100::37 - DNS-over-TLS
Provider: Surfnet Hostname tls://dnsovertls.sinodun.com IP: 145.100.185.15 und IPv6: 2001:610:1:40ba:145:100:185:15 - DNS-over-TLS
Provider: Surfnet Hostname tls://dnsovertls1.sinodun.com IP: 145.100.185.16 und IPv6: 2001:610:1:40ba:145:100:185:16
Andere DNS-Server mit ’no logging‘-Richtlinie
- DNS-over-TLS
Provider: UncensoredDNS Hostname tls://unicast.censurfridns.dk IP: 89.233.43.71 und IPv6: 2a01:3a0:53:53::0 - DNS-over-TLS
Provider: UncensoredDNS Hostname tls://anycast.censurfridns.dk IP: 91.239.100.100 und IPv6: 2001:67c:28a4:: - DNS-over-TLS
Provider: dkg Hostname tls://dns.cmrg.net IP: 199.58.81.218 und IPv6: 2001:470:1c:76d::53 - DNS-over-TLS, IPv4
Hostname: tls://dns.larsdebruin.net IP: 51.15.70.167 - DNS-over-TLS
Hostname tls://dns-tls.bitwiseshift.net IP: 81.187.221.24 und IPv6: 2001:8b0:24:24::24 - DNS-over-TLS
Hostname tls://ns1.dnsprivacy.at IP: 94.130.110.185 und IPv6: 2a01:4f8:c0c:3c03::2 - DNS-over-TLS
Hostname tls://ns2.dnsprivacy.at IP: 94.130.110.178 und IPv6: 2a01:4f8:c0c:3bfc::2 - DNS-over-TLS, IPv4
Hostname: tls://dns.bitgeek.in IP: 139.59.51.46 - DNS-over-TLS
Hostname tls://dns.neutopia.org IP: 89.234.186.112 und IPv6: 2a00:5884:8209::2 - DNS-over-TLS
Provider: Go6Lab Hostname tls://privacydns.go6lab.si IPv6: 2001:67c:27e4::35 - DNS-over-TLS
Hostname: tls://dot.securedns.eu IP: 146.185.167.43 und IPv6: 2a03:b0c0:0:1010::e9a:3001
DNS-Server mit minimaler Protokollierung/Einschränkungen
Diese Server verwenden ein gewisses Maß an Protokollierung, selbstsignierte Certs oder keine Unterstützung für den Strict-Modus.
- DNS-over-TLS
Provider: NIC Chile Hostname dnsotls.lab.nic.cl IP: 200.1.123.46 und IPv6: 2001:1398:1:0:200:1:123:46 - DNS-over-TLS
Provider: OARC Hostname tls-dns-u.odvr.dns-oarc.net IP: 184.105.193.78 und IPv6: 2620:ff:c000:0:1::64:25
Häufige Fragen
Fast jede Aktivität im Internet beginnt mit einer DNS-Abfrage (und oft mehreren). Eine Schlüsselfunktion des DNS ist die Zuordnung von für Menschen lesbaren Namen (z.B. example.com) zu IP-Adressen, die Computer benötigen, um sich miteinander zu verbinden.
Diese Abfragen können nicht nur Aufschluss darüber geben, welche Websites eine Person besucht, sondern auch Metadaten über andere Dienste wie die Domänen von E-Mail-Kontakten oder Chat-Diensten.
Während die Daten im DNS öffentlich sind, sollten die einzelnen Transaktionen eines Endnutzers nicht öffentlich sein.
DNS-Anfragen werden jedoch im Klartext (über UDP oder TCP) gesendet, was bedeutet, dass passive Lauscher alle durchgeführten DNS-Lookups beobachten können.
Das DNS ist ein weltweit verteiltes System, das internationale Grenzen überschreitet und oft Server in vielen verschiedenen Ländern verwendet, um Ausfallsicherheit zu gewährleisten.
Es ist bekannt, dass die NSA die Tools MORECOWBELL und QUANTUMDNS eingesetzt hat, um den DNS-Verkehr verdeckt zu überwachen, massenhaft zu kontrollieren und zu kapern.
Einige Internetanbieter protokollieren DNS-Anfragen beim Resolver und geben diese Informationen auf eine Weise an Dritte weiter, die den Endnutzern nicht bekannt oder offensichtlich ist.
Einige ISPs betten Benutzerinformationen (z. B. eine Benutzerkennung oder MAC-Adresse) in DNS-Anfragen ein, die an den ISP-Resolver gehen, um Dienste wie den Kinderschutzfilter anzubieten. Auf diese Weise können Fingerabdrücke von einzelnen Nutzern erstellt werden.
Einige CDNs betten Nutzerinformationen (Client-Subnetze) in Anfragen von Resolvern an autoritative Server ein (um Endnutzer geografisch zu lokalisieren). So können Abfragen mit bestimmten Subnetzen korreliert werden.
Beachte, dass einige VPNs deine DNS-Anfragen unverschlüsselt an deinen Internetanbieter senden, auch wenn du ein VPN benutzt. Nutze das nette Tool von anonymyster.com, um zu überprüfen, ob dies bei deinem VPN der Fall ist!
DNS-Zonentransfers werden im Klartext übertragen, was Angreifern die Möglichkeit gibt, den Inhalt einer Zone durch Abhören von Netzwerkverbindungen zu sammeln. Der Inhalt der Zone könnte Informationen wie die Namen von Personen enthalten, die in den Namen von Hosts verwendet werden. Die beste Praxis ist, keine persönlichen Informationen für Domainnamen zu verwenden, aber es gibt viele solcher Domainnamen. Der Inhalt der Zone könnte auch Verweise auf Orte enthalten, die Rückschlüsse auf den Standort der Personen zulassen, die mit der Organisation der Zone verbunden sind. Er könnte auch Verweise auf andere Organisationen enthalten.
Das MORECOWBELL-Programm nutzt eine spezielle verdeckte Überwachungsinfrastruktur, um aktiv DNS-Server abzufragen und HTTP-Anfragen durchzuführen, um Metainformationen über Dienste zu erhalten und deren Verfügbarkeit zu prüfen. Trotz des offenen Charakters des DNS tut die NSA dies verdeckt, um sicherzustellen, dass die Tausenden von DNS-Abfragen pro Stunde nicht der US-Regierung (USG) zugeschrieben werden. Die Server, die die NSA für die Überwachung des DNS und die Überprüfung von Webservern über HTTP gemietet hat, befinden sich in Malaysia, Deutschland und Dänemark ), so dass die NSA die Überwachung verdeckt durchführen kann und einen globalen Überblick über die DNS-Namensauflösung und die Verfügbarkeit der Dienste erhält. … Mehr…
Verschiedene Dokumente der NSA, die sich auf DNS beziehen, zeigen, dass bestehende verdeckte Angriffe auf DNS Massenüberwachung und aktive Angriffe ermöglichen. [38] Durch die Enthüllungen über die QUANTUMTHEORY-Projektfamilie der NSA mit Unterprojekten wie QUANTUMDNS wissen wir, dass mächtige Angreifer wie z. B. Nationalstaaten nicht nur den DNS-Verkehr abhören, sondern auch DNS-Antworten einspeisen können, um das Ergebnis der Namensauflösung zu verändern oder sie sogar komplett scheitern zu lassen. Da DNS keine Vertraulichkeit bietet, um die Privatsphäre der Nutzer zu schützen, ist es ein Leichtes, ein Profil der Nutzer und ihres Surfverhaltens im Web zu erstellen. … Mehr…
Weitere öffentliche DNS Server
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...
Weiterlesen...