Cloudflare bietet unter 1.1.1.1 einen offenen DNS an

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.945
dns-1111.jpg
Wann immer eine Internetadresse wie www.hardwareluxx.de im Browser eingegeben wird, sorgt das Domain Name System (DNS) für die Namensauflösung in die entsprechende IP-Adresse des Servers. Ohne DNS bestünde unser Internet nur aus IP-Adressen, was spätestens im Falle von IPv6 zu einer komplizierten Angelegenheit werden würde.Viele ISPs betreiben ihre eigenen DNS-Server und tragen diese auch automatisch in ihre Router ein. Selten können diese DNS mit besonderer Leistung aufwarten – stattdessen begrüßen sie den Internetnutzer mit ernüchternden Hinweisen bei Tipfehlern in der Adresszeile. Außerdem können die DNS-Abfragen...

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Was ist jetzt besser ... Google oder APNIC als DNS zu benutzen? Wer will weniger Daten? :d
 
Cloudflare verpricht halt nach 24 Stunden die Protokolle zu löschen :-)

Hab das mal eingerichtet, ist etwas schneller als google

Cloudflare wird doch wahrscheinlich direkt von der NSA betrieben.

Und google nicht?
 
Was ist jetzt besser ... Google oder APNIC als DNS zu benutzen? Wer will weniger Daten? :d

Die APNic hat mit dem DNS Server nichts am Hut. Von dieser kommen nur die IP Adressen und das AS.

Würde das Netz 1.0.0.0/8 zur RIPE gehören, würde da eben die RIPE stat der APNIC stehen.
 
Wer hat hier mal wieder was von der NSA zu verbergen? lol >_>

Das Argument dass dies geheimer als über einen, von seinem IPS gestellten Dienst wäre, klingt aber unlogisch. Der IPS stellt einem schließlich später die Verbindung bereit. D.h. er weiss auf jeden Fall wohin man Anfragen schickt, woher sie kommen usw. und nur der Inhalt selbst kann über https verschlüsselt werden.
Ist auch logisch bzw. nötig z.B. für die Rechnung im Falle von gedrosselten Flatrates.
 
Es empfiehlt sich, sich über Netzwerkdienste zu informieren und auch wie eine Drossel funktioniert und Dienste dafür ausgeschlossen werden können ist gut dokumentiert. Dafür muss der Traffic nicht derart auseinandergenommen werden.
 
Nichts mit dns am Hut sondern dem cloudflare Dienst; dem Bode schon per e-mail geschrieben aber da tut sich irgendwie nichts: Mit den Fritzen von cloudflare in Verbindung setzen und einstellen bestimmten Benutzer mit z.B. ip-adresse x den Zugang nicht für unendlich zu verwehren, sondern für einen bestimmten Zeitraum, sagen wir mal 1 Woche oder so.
Man versucht hier mit vpn die Seite zu besuchen, blos um die Meldung zu sehen "ip adresse geblockt", und das seit Uhrzeiten.
Besucher x den Zugang zu undendlich lange zu verwehren nur weil Besucher y mit der ip-adresse geblockt wurde,ist ein Unding.
Lösungsvorschlag oben.
 
Es empfiehlt sich, sich über Netzwerkdienste zu informieren und auch wie eine Drossel funktioniert und Dienste dafür ausgeschlossen werden können ist gut dokumentiert. Dafür muss der Traffic nicht derart auseinandergenommen werden.
Empfiehlt sich in der Tat 1.!.1.1.
 
Zuletzt bearbeitet:
Tut mir bitte einen Gefallen und ersetzt "HTTPS-Zertifikat" durch "TLS-Zertifikat". DNS ist kein HTTPS. Und Cloudflare bietet kein DNS über HTTPS, sondern DNS über TLS.

Edit: Okay, ich seh grad, dass das ja tatsächlich DNS über HTTPS ist. Das kam jetzt unerwartet. :eek:
 
Zuletzt bearbeitet:
ich verspreche gerne meine Daten zu löschen, wenn ich die Daten vorher bereits an NSA oder sonstjemand übermittelt habe...

Cloudflare ist ein US-Unternehmen
 
Wenn man keinem externen DNS traut kann man die Seiten auch direkt per IP anwählen :P
 
Da muss ich Dir mal Recht geben, habe diese Argumentation auch noch nie verstanden, den ISP beim DNS auszusperren aber dann doch die Verbindung damit herstellen.
Es mag ja vielleicht einen kleinen Schritt einfacher sein, wenn der ISP quasi keinen reverse Lookup machen muss. Aber dies würde wohl keinen ISP überfordern.

Und was bringt dir der reverse lookup?
Vor allem wo Websites primär in der Cloud bei sonstwelchen Anbietern gehostet werden und oft/meist dazu sogar noch irgendwelche shared Instanzen ohne brauchbaren PTR...

Da wäre es doch viel witziger zu wissen, dass du Home - Hardwareluxx angesurft hast und nicht 104.20.55.243 oder 104.20.56.243, welche gar nicht der Hardwareluxx Media GmbH "gehört" oder wenigstens zuzuordnen geht, sondern im konkreten Fall Cloudflare...

Empfiehlt sich in der Tat 1.!.1.1.

Und nun?
Was möchte uns der Herr "Fefe" damit sagen?
Die Amis sind mist - check
Die ISPs sind auch mist - check
Alternativen gibts keine - check

Aber surfen wollen se alle... Ne Lösung hat aber Keiner. Henne/Ei...


Das einzige mir bekannte mögliche Verhalten wäre schlicht und ergreifend auf eine Namensauflösung zu verzichten, dann ist man nicht mehr auf Dritte Dienste zur Auflösung angewiesen.
Selbst der Spaß mit "ich betreibe nen eigenen Resolver" - toll, bringt aber genau nichts, da wird einfach am Root geschaut wer welche Domains anfragt und fertig... Denn der eigene Resolver lernt seine Namen und IP Zuordnung ja nicht durch Zauberrei, sondern weil er die nächst höhere Instanz befragt - in dem Fall die Rootserver, zuständig für die jeweils angefragten TLDs oder eben nen externen Resolver...
 
Empfiehlt sich in der Tat 1.!.1.1.

Wow, erst empfehlen, gar keinen DNS-Server mehr zu verwenden (soll ich jetzt bei den Webseiten anrufen und deren IP-Adressen erfragen oder was?) und dann die Leute ermutigen sich nen eigenen Resolver ins Netzwerk zu setzen. Was bringt der bitte? Entweder zieht der alle Zonefiles von praktisch allen Seiten (dafür hab ich zufälligerweise die Serverfarm nicht) oder der zieht sich alles auf Anfrage bei einem anderen Resolver, was sich dann wohl Proxy Cache schimpft und so ziemlich gar nichts bringt. Für einen normalen Menschen möglich wäre nur Option B, für Datenschutz hilft nur Option A, manipulierbar sind beide. Hervorragend.
 
Zuletzt bearbeitet:
Der Typ ist noch immer genau so verrückt wie vor ~8 jahren als ich mal auf den Gestoßen war und fast zum Anhänger wurde (dank eines bestimmten ICQ chats voll mit seinen Fans).

Frag mich echt wie sein RL aussieht. So kann man doch nicht wirklich leben ohne chronisch depressiv zu werden o_O
Höchstwahrscheinlich macht er irgendwie Geld damit und das ordentlich.
 
Zuletzt bearbeitet:
Oder ist es tatsächlich so, dass unter der selben IP-Adresse unterschiedliche Websites erreichbar sind?

Jap.

Wenn ja würde mich interessieren wie das geht.

Easy. Wenn du einen Domainnamen "www.hardwareluxx.com" auflöst und da dann beispielsweise die IP-Adresse 1.1.1.1 :-)fresse:) bei rumkommt, dann verbindet sich der Client eben mit dieser IP-Adresse und dem angegebenen Port (bzw. per Default 80/TCP bei HTTP oder 443/TCP bei HTTPS). Wenn die Verbindung hergestellt wurde, wird der HTTP-Request geschickt, der in seiner simpelsten Form so aussieht:

Code:
GET / HTTP/1.1
Host: www.hardwareluxx.com

"GET" ist hier die HTTP-Methode, mit der der Server z.B einfach unterscheiden kann, ob da ne normale Seite aufgerufen oder ein Formular abgeschickt wurde etc. Dann kommt die Route abzüglich des Protokolls, des Domainnamen und des Ports, die die Startseite also "/" oder für das Impressum "/impressum.html". Und as letztes in der ersten Zeile kommt die HTTP-Version, bei den meisten Seiten heute noch Version 1.1.

Der Webserver kann mehrere virtuelle Serverkonfigurationen haben, nennt man vHosts. Hier spielt dann der Host-Header eine Rolle, der da oben in der zweiten Zeile des Requests steht. Wenn ein Request reinkommt, kann der Webserver anhand dieses Host-Headers festmachen welche Seite eigentlich angefragt wurde, falls mehrere vHosts konfiguriert sind. Ist der Host-Header nicht gesetzt, wird bei fast allen Webservern einfach der zuerst konfigurierte vHost gewählt. Somit kann ein und der selbe Server so ziemlich beliebig viele verschiedene Seiten hosten. Im Falle von HTTPS ist es für den Provider daher nicht möglich zu wissen welche Seite eigentlich genau angefragt wurde, da der HTTP-Request mit dem Host-Header ja verschlüsselt ist. Im Falle von Hardwareluxx sehen die eigentlich nur, dass eine Verbindung zu einem Cloudflare-Server über Port XY hergestellt wurde. Mehr nicht. Das bringt denen nicht sonderlich viel.

Es gibt allerdings noch immer einen Weg. Verschiedene vHosts/Domainnamen haben in der Regel verschiedene HTTPS/TLS-Zertifikate. Wie will der Webserver nach dem Verbindungsausbau und während dem TLS-Handshake herausfinden, welche Seite eigentlich angefragt wurde und somit welches Zertifikat benutzt werden soll? Das kann er prinzipiell erst, wenn die Verbindung vollständig zustande gekommen ist und der HTTP-Request beginnt. Dann ist der TLS-Handshake allerdings schon abgeschlossen und möglicherweise wegen einem Zertifikat für eine andere Domain abgebrochen worden. Zu spät um das Zertifikat zu wechseln. Um das zu lösen gibt es für TLS eine Erweiterung namens SNI (Server Name Indication). Damit wird die Domain während dem TLS-Handshake schon im Klartext mitgeschickt und der Webserver weiß welcher vHost/welches Zertifikat benutzt werden soll. Diese Domain, die via SNI mitgeschickt wird, ist natürlich wieder lesbar und mitschneidbar für den ISP oder allen anderen Man-in-the-Middle. Die Lösung hierfür heißt TLS 1.3, welches auch die SNI-Domain verschlüsselt und dessen Standard vor ein paar Tagen final wurde. Du weißt also jetzt sicherlich wieso Regierung, ISPs etc. wegen TLS 1.3 so am Teller drehen. :d
 
Zuletzt bearbeitet:
Diese Domain, die via SNI mitgeschickt wird, ist natürlich wieder lesbar und mitschneidbar für den ISP oder allen anderen Man-in-the-Middle. Die Lösung hierfür heißt TLS 1.3, welches auch die SNI-Domain verschlüsselt und dessen Standard vor ein paar Tagen final wurde. Du weißt also jetzt sicherlich wieso Regierung, ISPs etc. wegen TLS 1.3 so am Teller drehen. :d

Wobei man allerdings erwähnen sollte, dass für aktives Mitsniffern jeglichen Traffics durch den ISP schon ne ganze Ecke mehr dazu gehört als die DNS Resolver Logs einfach auszuwerten oder weiter zu geben.
Klar steht da der Name im Klartext drin - aber um an diese Pakete zu kommen brauchst du den Mann in der Mitte und/oder musst ISP (für den Client Internet Eintrittspunkt, den Ziel Internet Austrittspunkt oder irgendwo dazwischen) sein.
Hätte ICH Interesse an diesen Daten, wäre es viel einfacher eben globale DNS Dienste zu "verpflichten" als die ganzen HTTP(S) Pakete abzufingern... Damit ich da flächendeckend Erfolg habe müsste ich ja quasi an fast jedem Backbone in Echtzeit die Daten auswerten.
 
Hat er das!?
Du weist offenbar absolut nicht, was es braucht um diese Datenmengen in Echtzeit auszuwerten... Denn bist du langsamer als der Traffic, der erzeugt wird, wertest du alte Daten aus - und die interessiert für solche Geschäfte doch kein Mensch...
Es geht hier eher um Verhältnismäßigkeiten. Denn ab einem gewissen Punkt ist es einfach nicht mehr rentabel, den kompletten Traffic zu sniffern, vor allem dann, wenn es einfachere Methoden gibt an das gewünschte Ziel zu kommen. Und die gibt es.


Mal davon ab - wo snifferst du? Damit man allen Traffic erfasst müsste man alle Verbindungen überwachen... Was schon fast an Unmöglichkeit grenzt. Selbst die Übergänge zwischen den ISP zu überwachen bringt nix, wenn im eigenen Backbone dann Cache-Server die Daten der großen Cloud-Anbieter (Akamai, Amazon und Co.) anbieten. Und auch das ist gängige Praxis.
 
Wer sich schon sorgen um seine Privatsphäre bei DNS macht, der sollte sein Internet am besten ganz abschalten.

Gefühlt liegt heute jede Webseite hinter einem Anti DDoS Service wie Prolexic, Cloudflare, oder ist direkt bei einem US Unternehmen wie Amazon AWS gehostet.

Und selbst das Mitsniffen von einzelnen IPs auf einem 100GBit/s Link ist kein Problem mehr. Die meisten Geräte unterstützen Filter, welche sich bis auf Port ebene herunterbrechen lassen, sodass man einzelne Datenstreams debuggen kann.

Auch das in Echtzeitloggen von solch Daten sollte mit entsprechend großen ElasticSearch o.ä Datenbanken heutzutage kein Problem mehr darstellen.


Aber mal zum Thema Infrastruktur: Mich würde echt mal interessieren, wie viele Server Cloudflare dafür einsetzt und wie viele Anfragen da pro Sekunde etwa ankommen.
 
Und selbst das Mitsniffen von einzelnen IPs auf einem 100GBit/s Link ist kein Problem mehr. Die meisten Geräte unterstützen Filter, welche sich bis auf Port ebene herunterbrechen lassen, sodass man einzelne Datenstreams debuggen kann.

Auch das in Echtzeitloggen von solch Daten sollte mit entsprechend großen ElasticSearch o.ä Datenbanken heutzutage kein Problem mehr darstellen.

Nicht nur Layer3, Palo Alto pumpt mit der 7000er Serie 200G im Layer7 und loggt das nebenbei noch weg. Wir haben hier ein paar 5250er, sowie ein paar kleinere, absolut lecker Geräte. Filtern bis runter auf Anwendungsebene mit dem nötigen Throughput ist damit absolut kein Problem.
 
Und nun?
Was möchte uns der Herr "Fefe" damit sagen?
Das hab ich schon halbwegs verstanden. Ich weiß grad eher nicht was "uns" der Herr "fdsonne" sagen möchte?
Daß 1.1.1.1 keine Lösung ist? Ja. Check. Darum ging es dem Herrn Fefe glaub ich auch...

Selbst der Spaß mit "ich betreibe nen eigenen Resolver" - toll, bringt aber genau nichts, da wird einfach am Root geschaut wer welche Domains anfragt und fertig... Denn der eigene Resolver lernt seine Namen und IP Zuordnung ja nicht durch Zauberrei, sondern weil er die nächst höhere Instanz befragt - in dem Fall die Rootserver, zuständig für die jeweils angefragten TLDs oder eben nen externen Resolver...
Ich bin mir nicht ganz sicher, ob er die Erwähnung dessen dirket im Zusammenhang mit der News oder eher allgemein getätigt hat. Du? Und was sonst noch zu seiner BERUFLICHEN Infrastruktur gehört weiß ich auch nicht.
Daher weder beurteile ich das noch hervorhebe ich das extra bei seinem Kommentar zu der News. Ich wüßte auch nicht wozu das gut sein sollte (?)

@Fallwrrk
Mal ernst. Hast du EIN Wort von seinem Eintrag dazu verstanden? So in etwa wie DragonTear? Da kam aber wenigstens sofort die Einsicht und es wurde ohne Umwege :fresse: direkt auf fefes Soziales umgeschwenkt. Da weiß man wenigstens, ok, nix kappiert aber Redebedürftig, also schnell abgelenkt. So in etwa:
"Schau mal dieser Typ hat diesjahr ein Baby aus einem brennenden Auto geholt!"
"... trägt er auf dem Foto allen ernstes eine rote Krawatte?!"

Aber du? Bin leicht enttäuscht...
 
Zuletzt bearbeitet:
Ich glaube ich hab seinen geistigen Erguss da besser verstanden als du.
 
Was war denn dann deiner Meinung nach falsch an seiner Aussage zum 1.1.1.1?
 
Meine Kritik richtet sich nicht an die Aussagen zu 1.1.1.1, sondern erst vorzuschlagen keinen DNS-Server mehr zu verwenden (wie auch immer das praktikabel funktionieren soll) und dann sagen, dass man ja selber eigenen eigenen DNS-Resolver betreibt. Der DAU denkt, dass das die Lösung ist, ohne sich Gedanken zu machen woher die Infos im eigenen Resolver kommen, was das Ganze absolut sinnlos werden lässt.
 
Der DAU kennt nicht den Unterschied zwischen einem rekursiven Resolver und einem autoritativen Nameserver.
 
Ich glaube ich hab seinen geistigen Erguss da besser verstanden als du.
Ja. Dann glaub das mal.

"DAU"s klicken nicht bei fefe rum... :rolleyes: Bzw. verstehen das eh nicht und denken sich daher auch nichts. Auch nicht das Falsche. Wenn du dich um Daus sorgst, hättest du direkt und umgehend HIER die Meldung selbst angreifen müßen. Erstens.

Zweitens schreibt fefe "OK, was sind die Alternativen?". Das sind keine Vorschläge derartiges zu machen. Das ist durch unzählige Erfahrungswerte vorauseilende Vorsorge sowas direkt anzuschneiden, bevor wieder in 4h 260 Mails im Postfach liegen, mit dem Inhalt "Ja und was nun? Was tun? Was soll man sonst machen? Was ist das sicherste was du empfehlen kannst?" usw. usw.

Und was steht da als Antwort? So und so müßte man eigentlich, aber das ist eben mühsam/lästig und weder trivial noch eben einfach. Oder man vertraut Tor (auch nicht so glasklar ;)). Und TLS1.3 hätte das wohl bisschen entschärfen können, wenn denn aber [...]
DAS WARS auch.

Wenn man das nicht schnallt, hat man nicht den IQ dafür. Wenn man das nicht schnallen will, möchte man nicht objektiv sein. In beiden Fällen sollte man da weder rumklicken noch mit Quark die Meldungen rezensieren, in der Hoffnung, man könnte sich dadurch als der wahre Checker profilieren.

Ob es Luxx Ansehen schadet solche Platzpatronen zu copypasten lass ich mal außen vor. Ich definiere Luxx über die paar Tausend aus der Community. Was die Redaktion macht oder machen soll ist oft lobenswert, gelegentlich aber auch nur nebensächlich. Und um das was ärgerlich sein könnte kümmert sich eben umgehend die Community.

Von daher alles gut :bigok:
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh