> > > > Cloudflare bietet unter 1.1.1.1 einen offenen DNS an

Cloudflare bietet unter 1.1.1.1 einen offenen DNS an

Veröffentlicht am: von

dns-1111Wann immer eine Internetadresse wie www.hardwareluxx.de im Browser eingegeben wird, sorgt das Domain Name System (DNS) für die Namensauflösung in die entsprechende IP-Adresse des Servers. Ohne DNS bestünde unser Internet nur aus IP-Adressen, was spätestens im Falle von IPv6 zu einer komplizierten Angelegenheit werden würde.

Viele ISPs betreiben ihre eigenen DNS-Server und tragen diese auch automatisch in ihre Router ein. Selten können diese DNS mit besonderer Leistung aufwarten – stattdessen begrüßen sie den Internetnutzer mit ernüchternden Hinweisen bei Tipfehlern in der Adresszeile. Außerdem können die DNS-Abfragen ebenso viel über das Surfverhalten eines Nutzers verraten wie ein direktes Tracking auf den verschiedenen Webseiten.

Doch es gibt Alternativen zum ISP-DNS. Zahlreiche Organisationen betreiben OpenDNS-Dienste. Hinzu kommen Angebote von großen Internet-Konzernen wie Google oder Cisco. Die Auswahl an DNS-Servern ist groß und viele davon versprechen besonders schnell zu sein oder keinerlei Daten zu den Anfragen zu speichern. Wem man hier vertrauen möchte, ist jedem selbst überlassen.

Ab dem Osterwochenende bietet Cloudflare unter der Adresse 1.1.1.1 einen offenen DNS-Server an. Cloudflare ist ein US-Unternehmen, welches vor allem als Content Delivery Network und als Anbieter einer DDoS-Mitigation bekannt ist. Aber auch geschlossene DNS-Dienste gehörten bereits zum Portfolio. Für den offenen DNS arbeitet Cloudflare mit APNIC zusammen. APNIC ist das Asia-Pacific Network Information Centre, welches IP-Adressen, AS-Nummern, DNS-Einträge im asiatischen und pazifischen Raum verwaltet.

Interessant ist der DNS-Server von Cloudflare vor allem durch das verwendete TLS-Zertifikat. Denn auch wenn eine per HTTPS verschlüsselte Seite aufgerufen wird – die DNS-Anfrage läuft derzeit in den meisten fällen unverschlüsselt. Für https://1.1.1.1 soll dies anders sein. Außerdem sind unverschlüsselte DNS-Anfragen gerne ein Ziel von Man-In-The-Middle-Attacken. DNSSEC kann dieses Problem beheben, allerdings verwenden nur wenige Seiten DNSSEC. Der von Cloudflare angebotene DNS-Server bietet ein HTTPS-Zertifikat und damit einen entsprechend verschlüsselten Endpunkt.

Cloudflare will mit dem DNS-Server Geschwindigkeit und Sicherheit in derzeit bestmöglicher Form zusammengebracht haben. DNSPerf.com führt 1.1.1.1 als derzeit schnellsten DNS – weltweit und regional.

Um einen neuen DNS-Server einzutragen, können die entsprechenden Einstellungen für das eigene Netzwerk zentral im Router oder aber in jedem Endgerät einzeln vorgenommen werden. Unter https://1.1.1.1 ist für die verschiedenen Betriebssysteme dazu auch jeweils eine Anleitungen zu finden. Ob es nun der offene DNS von Cloudflare sein muss oder eine Alternative, in jedem Fall sollte man sich mit diesem Thema einmal genauer beschäftigen. Die Nutzung von HTTPS nimmt zu, viele Nutzer achten auf ihre Privatsphäre, bei den DNS-Anfragen sind diese Problematiken nicht derart offensichtlich und werden daher oft auch nicht beachtet. Der interessierte Nutzer sollte sich aber ein paar Minuten nehmen sich mit diesem Thema zu beschäftigen.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (32)

#23
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
SN
Moderator
Beiträge: 33693
Hat er das!?
Du weist offenbar absolut nicht, was es braucht um diese Datenmengen in Echtzeit auszuwerten... Denn bist du langsamer als der Traffic, der erzeugt wird, wertest du alte Daten aus - und die interessiert für solche Geschäfte doch kein Mensch...
Es geht hier eher um Verhältnismäßigkeiten. Denn ab einem gewissen Punkt ist es einfach nicht mehr rentabel, den kompletten Traffic zu sniffern, vor allem dann, wenn es einfachere Methoden gibt an das gewünschte Ziel zu kommen. Und die gibt es.


Mal davon ab - wo snifferst du? Damit man allen Traffic erfasst müsste man alle Verbindungen überwachen... Was schon fast an Unmöglichkeit grenzt. Selbst die Übergänge zwischen den ISP zu überwachen bringt nix, wenn im eigenen Backbone dann Cache-Server die Daten der großen Cloud-Anbieter (Akamai, Amazon und Co.) anbieten. Und auch das ist gängige Praxis.
#24
customavatars/avatar11878_1.gif
Registriert seit: 14.07.2004
viva colonia
Kapitän zur See
Beiträge: 3865
Wer sich schon sorgen um seine Privatsphäre bei DNS macht, der sollte sein Internet am besten ganz abschalten.

Gefühlt liegt heute jede Webseite hinter einem Anti DDoS Service wie Prolexic, Cloudflare, oder ist direkt bei einem US Unternehmen wie Amazon AWS gehostet.

Und selbst das Mitsniffen von einzelnen IPs auf einem 100GBit/s Link ist kein Problem mehr. Die meisten Geräte unterstützen Filter, welche sich bis auf Port ebene herunterbrechen lassen, sodass man einzelne Datenstreams debuggen kann.

Auch das in Echtzeitloggen von solch Daten sollte mit entsprechend großen ElasticSearch o.ä Datenbanken heutzutage kein Problem mehr darstellen.


Aber mal zum Thema Infrastruktur: Mich würde echt mal interessieren, wie viele Server Cloudflare dafür einsetzt und wie viele Anfragen da pro Sekunde etwa ankommen.
#25
customavatars/avatar63700_1.gif
Registriert seit: 10.05.2007

GUI-abhängig
Beiträge: 13745
Und wer das finanziert. Und wer selbst Sites wie hardwareluxx angreift. :confused:
#26
customavatars/avatar189210_1.gif
Registriert seit: 27.02.2013
München
Admiral
Beiträge: 11958
Zitat Seratio;26248587

Und selbst das Mitsniffen von einzelnen IPs auf einem 100GBit/s Link ist kein Problem mehr. Die meisten Geräte unterstützen Filter, welche sich bis auf Port ebene herunterbrechen lassen, sodass man einzelne Datenstreams debuggen kann.

Auch das in Echtzeitloggen von solch Daten sollte mit entsprechend großen ElasticSearch o.ä Datenbanken heutzutage kein Problem mehr darstellen.


Nicht nur Layer3, Palo Alto pumpt mit der 7000er Serie 200G im Layer7 und loggt das nebenbei noch weg. Wir haben hier ein paar 5250er, sowie ein paar kleinere, absolut lecker Geräte. Filtern bis runter auf Anwendungsebene mit dem nötigen Throughput ist damit absolut kein Problem.
#27
Registriert seit: 03.08.2006

Leutnant zur See
Beiträge: 1090
Zitat fdsonne;26246276
Und nun?
Was möchte uns der Herr "Fefe" damit sagen?
Das hab ich schon halbwegs verstanden. Ich weiß grad eher nicht was "uns" der Herr "fdsonne" sagen möchte?
Daß 1.1.1.1 keine Lösung ist? Ja. Check. Darum ging es dem Herrn Fefe glaub ich auch...

Zitat
Selbst der Spaß mit "ich betreibe nen eigenen Resolver" - toll, bringt aber genau nichts, da wird einfach am Root geschaut wer welche Domains anfragt und fertig... Denn der eigene Resolver lernt seine Namen und IP Zuordnung ja nicht durch Zauberrei, sondern weil er die nächst höhere Instanz befragt - in dem Fall die Rootserver, zuständig für die jeweils angefragten TLDs oder eben nen externen Resolver...
Ich bin mir nicht ganz sicher, ob er die Erwähnung dessen dirket im Zusammenhang mit der News oder eher allgemein getätigt hat. Du? Und was sonst noch zu seiner BERUFLICHEN Infrastruktur gehört weiß ich auch nicht.
Daher weder beurteile ich das noch hervorhebe ich das extra bei seinem Kommentar zu der News. Ich wüßte auch nicht wozu das gut sein sollte (?)

@Fallwrrk
Mal ernst. Hast du EIN Wort von seinem Eintrag dazu verstanden? So in etwa wie DragonTear? Da kam aber wenigstens sofort die Einsicht und es wurde ohne Umwege :fresse: direkt auf fefes Soziales umgeschwenkt. Da weiß man wenigstens, ok, nix kappiert aber Redebedürftig, also schnell abgelenkt. So in etwa:
"Schau mal dieser Typ hat diesjahr ein Baby aus einem brennenden Auto geholt!"
"... trägt er auf dem Foto allen ernstes eine rote Krawatte?!"

Aber du? Bin leicht enttäuscht...
#28
customavatars/avatar166338_1.gif
Registriert seit: 11.12.2011
NRW
Kapitän zur See
Beiträge: 3867
Ich glaube ich hab seinen geistigen Erguss da besser verstanden als du.
#29
Registriert seit: 22.05.2009

Bootsmann
Beiträge: 700
Was war denn dann deiner Meinung nach falsch an seiner Aussage zum 1.1.1.1?
#30
customavatars/avatar166338_1.gif
Registriert seit: 11.12.2011
NRW
Kapitän zur See
Beiträge: 3867
Meine Kritik richtet sich nicht an die Aussagen zu 1.1.1.1, sondern erst vorzuschlagen keinen DNS-Server mehr zu verwenden (wie auch immer das praktikabel funktionieren soll) und dann sagen, dass man ja selber eigenen eigenen DNS-Resolver betreibt. Der DAU denkt, dass das die Lösung ist, ohne sich Gedanken zu machen woher die Infos im eigenen Resolver kommen, was das Ganze absolut sinnlos werden lässt.
#31
Registriert seit: 06.04.2012

Kapitänleutnant
Beiträge: 1809
Der DAU kennt nicht den Unterschied zwischen einem rekursiven Resolver und einem autoritativen Nameserver.
#32
Registriert seit: 03.08.2006

Leutnant zur See
Beiträge: 1090
Zitat Fallwrrk;26250299
Ich glaube ich hab seinen geistigen Erguss da besser verstanden als du.
Ja. Dann glaub das mal.

"DAU"s klicken nicht bei fefe rum... :rolleyes: Bzw. verstehen das eh nicht und denken sich daher auch nichts. Auch nicht das Falsche. Wenn du dich um Daus sorgst, hättest du direkt und umgehend HIER die Meldung selbst angreifen müßen. Erstens.

Zweitens schreibt fefe "OK, was sind die Alternativen?". Das sind keine Vorschläge derartiges zu machen. Das ist durch unzählige Erfahrungswerte vorauseilende Vorsorge sowas direkt anzuschneiden, bevor wieder in 4h 260 Mails im Postfach liegen, mit dem Inhalt "Ja und was nun? Was tun? Was soll man sonst machen? Was ist das sicherste was du empfehlen kannst?" usw. usw.

Und was steht da als Antwort? So und so müßte man eigentlich, aber das ist eben mühsam/lästig und weder trivial noch eben einfach. Oder man vertraut Tor (auch nicht so glasklar ;)). Und TLS1.3 hätte das wohl bisschen entschärfen können, wenn denn aber [...]
DAS WARS auch.

Wenn man das nicht schnallt, hat man nicht den IQ dafür. Wenn man das nicht schnallen will, möchte man nicht objektiv sein. In beiden Fällen sollte man da weder rumklicken noch mit Quark die Meldungen rezensieren, in der Hoffnung, man könnte sich dadurch als der wahre Checker profilieren.

Ob es Luxx Ansehen schadet solche Platzpatronen zu copypasten lass ich mal außen vor. Ich definiere Luxx über die paar Tausend aus der Community. Was die Redaktion macht oder machen soll ist oft lobenswert, gelegentlich aber auch nur nebensächlich. Und um das was ärgerlich sein könnte kümmert sich eben umgehend die Community.

Von daher alles gut :bigok:
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

MagentaZuhause GIGA: Gigabit per Glasfaseranschluss von der Telekom

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM

Die immer wieder wegen des schleppenden Glasfaserausbaus in der Kritik stehende Deutsche Telekom hat auf der IFA einen neuen Tarif für ihre bestehenden Glasfaseranschlüsse angekündigt, der in Teilen auch endlich das Potenzial der Glasfasertechnik nutzen soll. Der neue Tarif namens... [mehr]

Mozilla Firefox befindet sich auf direktem Weg in die Nische

Logo von IMAGES/STORIES/2017/MOZILLA_FIREFOX

Mozilla Firefox war eine ganze Zeit lang auf Erfolgskurs. Doch in den letzten Jahren ging es für den Browser immer weiter bergab: Die Marktanteile im Desktop-Bereich schwinden und auf Smartphones und Tablets ist zumindest unter Android aktuell zwar ein Wachstum zu verbuchen, im direkten... [mehr]

Landesmedienanstalt NRW fordert weitere Streamer auf Rundfunklizenzen zu...

Logo von IMAGES/STORIES/2017/LANDESMEDIENANSTALT

Die Landesmedienanstalt NRW verschickt aktuell wieder Briefe an Streamer im deutschen Bundesland. In der Vergangenheit wurden von der Behörde bereits bekannte Let‘s-Player wie Gronkh und PietSmiet aufgefordert eine Rundfunklizenz zu beantragen oder andernfalls mit hohen Bußgeldern zu... [mehr]

Telekom baut VDSL-Anschlüsse zurück und kündigt 30.000 Anschlüsse

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Kurz vor dem Wochenende tauchten die ersten Meldungen über massenhaft gekündigte VDSL-Anschlüsse in Niedersachsen auf. 30.000 Anschlüsse sollen dort davon betroffen sein. Als Grund werden fehlgeschlagene Verhandlungen mit EWE über einen Mietvertrag für VDSL-Leitungen... [mehr]

RTL schickt kostenlose Streaming-Plattform Watchbox ins Rennen

Logo von IMAGES/STORIES/2017/WATCHBOX_LOGO

RTL hat sich von seiner Marke Clipfish verabschiedet. Stattdessen schickt die Mediengruppe nun Watchbox ins Rennen. Dabei handelt es sich aber durchaus um mehr als ein umgetauftes Clipfish, denn im Zuge der Einführung der neuen Marke folgt auch eine strategische Neuausrichtung. Während... [mehr]

Vodafone garantiert bei 500-Mbit/s-Anschlüssen nur 200 Mbit/s

Logo von IMAGES/STORIES/2017/VODAFONE_LOGO

Vodafone hat schon vor einigen Monaten mit der Vermarkten von Anschlüsse mit 500 Mbit/s über das Kabelnetz begonnen. Der Ausbau ist in der Zwischenzeit vorangeschritten und das Unternehmen meldet, dass fast 30 % der angebundenen Haushalte auf die derzeit höchste Geschwindigkeit zugreifen... [mehr]