ComputerBase Menü
Aktuelles

DNS Benchmark (wie umgeht das Tool meine eingetragenen DNS)

A

akia47

Cadet 4th Year
Registriert
Dez. 2023
Beiträge
70
Vorab, ich bin jetzt nicht kein Experte auf diesem Gebiet, daher frage ich mich gerade folgendes:

Ich nutze AdGuard Home (unter Home Assistant, in der Fritz.box ist die IP von Home Assistant als DNS angeführt) und hab dort 5 unterschiedliche DNS eingetragen. Das Tool DNS Benchmark testet jetzt aber die Antwortzeiten von anderen DNS....wie funktioniert das, wie kommen die bei den fixen DNS vorbei?
 
Indem einfach ein anderer DNS-Resolver angegeben wird. Kann ich z.B. bei "nslookup" ja auch machen.
Code: 
nslookup computerbase.de 8.8.8.8
...benutzt z.B. einfach den Google-DNS-Resolver, obwohl ich in meinem System einen ganz anderen DNS-Resolver eingestellt hab.

Edit: Und falls du per "geschlossener" Firewall (die meisten Firewalls sind "halboffen") alles dicht machen willst, es gibt auch noch DoH, wo die DNS-Auflösung über das normale HTTPS-Protokoll abläuft.
 
  • Gefällt mir
Reaktionen: Der Lord und Raijin
Jedes Tool / Browser etc. Kann doch eigene DNS konfiguriert haben. Die Systemeinstellungen sind nicht verpflichtend :)

Daher mache ich in der Firewall ein Redirect wenn der angesprochene DNS-Server nicht mein Konfigurierter ist. Somit kann kein Tool oder Gerät im Netzwerk „Blödsinn“ anstellen :)
 
  • Gefällt mir
Reaktionen: Paxter und Phil_81
akia47 schrieb:
wie funktioniert das, wie kommen die bei den fixen DNS vorbei?
Zum Vergrößern anklicken....
Der DNS den du per DHCP verteilst ist nur eine "Empfehlung", da muss sich kein Programm dran halten.
Ergänzung ()

matthias3000 schrieb:
Daher mache ich in der Firewall ein Redirect wenn der angesprochene DNS-Server nicht mein Konfigurierter ist. Somit kann kein Tool oder Gerät im Netzwerk „Blödsinn“ anstellen :)
Zum Vergrößern anklicken....
Auch dann kann man trotzdem am gewünschten DNS vorbei, es ist nur etwas aufwändiger.
 
  • Gefällt mir
Reaktionen: Aduasen, qiller, H3llF15H und eine weitere Person
*edit Ihr Arschgeigen wart mal wieder schneller :schluck: *edit


Es wird schlicht und ergreifend ein gezielter DNS-Query an einen anderen DNS-Server geschickt. Mit

Start --> cmd --> nslookup computerbase.de 8.8.8.8

kannst du zB direkt den google-DNS befragen. Änderst du 8.8.8.8 gegen 1.1.1.1 wird eben cloudflare gefragt. So macht das der Benchmark eben auch. Wenn du einfach so nur nslookup computerbase.de ohne DNS-IP dahinter eingibst, verwendet nslookup wie jedes andere Programm auch implizit den im System hinterlegten DNS, in deinem Falle dann also Adguard.

DNS wird nicht erzwungen wie du vielleicht denkst. Es ist sozusagen nur eine Standardeinstellung im System, die "empfohlen" wird, wenn Anwendungen nicht explizit andere DNS fragen wollen. So passiert es beispielsweise auch, wenn man im Browser den Incognito-Modus einschaltet, weil der Browser dabei meistens explizit einen anderen DNS verwendet.

Zwar könnte man theoretisch im Router ausgehende Anfragen an Port 53 (=DNS) umbiegen und auf den lokalen Adguard DNS umleiten, aber das funktioniert nur solange tatsächlich nacktes DNS verwendet wird. Schaltet man im Browser beispielsweise DoH ein, also DNS-over-Https, gibt es für den Router nichts zu blocken bzw. umzubiegen, weil DNS dann verschlüsselt als https Traffic rausgeht, wie ein normaler Webseitenaufruf und quasi nicht blockbar, wenn man sich nicht selbst vom Großteil des Internets aussperren möchte.
 
  • Gefällt mir
Reaktionen: ulrich_v, azereus, AndyMutz und 3 andere
NJay schrieb:
Der DNS den du per DHCP verteilst ist nur eine "Empfehlung", da muss sich kein Programm dran halten.
Ergänzung ()


Auch dann kann man trotzdem am gewünschten DNS vorbei, es ist nur etwas aufwändiger.
Zum Vergrößern anklicken....

Kannst du kurz beschreiben wie?
 
Sorry, das Stand beim Absenden meines Beitrags noch nicht da ;).
Danke!

Ok, verhindert man durch Deep-Inspection.

Edit
Ja, ist nicht für jeden / alles praktikabel ;)
 
matthias3000 schrieb:
Kannst du kurz beschreiben wie?
Zum Vergrößern anklicken....
Siehe letzter Absatz in meinem Beitrag.

Herkömmliches DNS nutzt tcp/udp 53 als Port. Das kann man als ausgehende Verbindung am Router abfangen und mittels DNAT zum gewünschten DNS umleiten. Sobald aber eine der verschlüsselten Varianten von DNS zum Einsatz kommt, sei es DoH oder DoT, kann der Router diesen DNS-Traffic gar nicht als solchen erkennen. Bei DoH ist das beispielsweise eine ganz normale ausgehende https-Verbindung und wenn der Router diese blocken würde, könnte man auf so ziemlich keiner Webseite mehr surfen. Wenn, dann müsste man die Ziel-IP sperren, aber dann verwendet derjenige eben einen anderen DoH-Server. Man kann dagegen also kaum etwas tun.
Ergänzung ()

matthias3000 schrieb:
Ok, verhindert man durch Deep-Inspection.
Zum Vergrößern anklicken....
Da es sich um verschlüsselte Verbindungen handelt, bringt dir das nix, weil du nicht reingucken kannst. Genau das ist ja der Sinn der Verschlüsselung. Man kann höchstens einschlägig bekannte DoH-Server blocken. Mir wäre keine andere Möglichkeit bekannt, DoH zu blocken ohne https ebenfalls zu blocken...
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: qiller
DoH wurde ja auch explizit für das Umgehen von DNS-Sperren entwickelt. Soll ja Länder geben, da sind DNS-Redirects oder DNS-Sperren vom Staat gesetzlich vorgegeben. Und selbst hier in Deutschland/EU gibts immer wieder Bestrebungen in den DNS-Traffic Einfluss zu nehmen. Sei es durchs Urheberrecht, oder Kinderpornos, oder Terrorismus. War/Ist alles schonmal in der Mache gewesen. Aktuell ists wohl wieder das Urheberrecht, was herhält. Könnte man ein BINGO-Spiel draus basteln :x.
 
  • Gefällt mir
Reaktionen: Raijin
Raijin schrieb:
Siehe letzter Absatz in meinem Beitrag.

Herkömmliches DNS nutzt tcp/udp 53 als Port. Das kann man als ausgehende Verbindung am Router abfangen und mittels DNAT zum gewünschten DNS umleiten. Sobald aber eine der verschlüsselten Varianten von DNS zum Einsatz kommt, sei es DoH oder DoT, kann der Router diesen DNS-Traffic gar nicht als solchen erkennen. Bei DoH ist das beispielsweise eine ganz normale ausgehende https-Verbindung und wenn der Router diese blocken würde, könnte man auf so ziemlich keiner Webseite mehr surfen. Wenn, dann müsste man die Ziel-IP sperren, aber dann verwendet derjenige eben einen anderen DoH-Server. Man kann dagegen also kaum etwas tun.
Ergänzung ()


Da es sich um verschlüsselte Verbindungen handelt, bringt dir das nix, weil du nicht reingucken kannst. Genau das ist ja der Sinn der Verschlüsselung. Man kann höchstens einschlägig bekannte DoH-Server blocken. Mir wäre keine andere Möglichkeit bekannt, DoH zu blocken ohne https ebenfalls zu blocken...
Zum Vergrößern anklicken....

SSL Deep Inspektion funktioniert genau dafür.
Ist privat kein großer Spaß (hab ich bei mir im Einsatz mit einer FortiGate und entsprechenden Lizenzen), aber im Unternehmen ja Standard.
Zusätzlich liefern die Hersteller ja auch entsprechende Listen mit Servern die ggf geblockt werden.
Ist wie alles kein 100%iger Schutz, aber in der Regel kommt kein Gerät raus…

Driftet aber vom eigentlichen Thema des TE ab :)
 
Ich selber benutze übrigens DoT in meinem Resolver. Hier sind mehrere DNS-Resolver hinterlegt, die DoT können und DNS-Anfragen werden da reium an diese Server gestellt. Ein Mittelweg aus Privatsphäre und administrativen Eingriffen. So werden die DNS-Anfragen verschlüsselt übertragen und gleichzeitig gestreut, so dass auch die DNS-Resolver nicht die komplette DNS-Auflösung zu sehen bekommen. Aber ein DoH kann ich damit auch nicht verhindern.
 
Raijin schrieb:
Man kann höchstens einschlägig bekannte DoH-Server blocken. Mir wäre keine andere Möglichkeit bekannt, DoH zu blocken ohne https ebenfalls zu blocken...
Zum Vergrößern anklicken....
Jup, DNS und IP block listen verwenden welche öffentlich verfügbar sind.

https://github.com/hagezi/dns-blocklists?tab=readme-ov-file#bypass
https://github.com/firehol/blocklist-ipsets
https://github.com/dibdot/DoH-IP-blocklists
https://github.com/trickest/resolvers
https://github.com/jpgpi250/piholemanual
...

Dazu am besten alle TLDs blockieren welche zu 99.9% nicht verwendet werden und dann nur whitelisten was auch wirklich notwendig ist.

Port 53 requests auf den DNS server im Heimnetz umleiten, port 853 komplett blockieren.

Tor und proxies können auch sehr gut mit öffentlichen Listen blockiert werden.
 
matthias3000 schrieb:
Ok, verhindert man durch Deep-Inspection.
Zum Vergrößern anklicken....
Naja du kannst das Paket droppen, wenn es dir von außen nicht gefällt, aber reinschauen kannst du nicht.
 
  • Gefällt mir
Reaktionen: qiller
Dann betreibt irgendwer seinen DoH-Resolver auf nem *AWS und was dann? Blockierst komplett *AWS?

*Ersetze AWS mit anderen Cloudanbieter/Mulithostern.
 
  • Gefällt mir
Reaktionen: NJay
matthias3000 schrieb:
SSL Deep Inspektion funktioniert genau dafür.
Zum Vergrößern anklicken....
Funktioniert halt nur, wenn alle Geräte einem deiner certs trusten. Wenn das eine Anwendung aber einfach ignoriert, kannst du wieder nicht reinschauen.
 
NJay schrieb:
Naja du kannst das Paket droppen, wenn es dir von außen nicht gefällt, aber reinschauen kannst du nicht.
Zum Vergrößern anklicken....

Natürlich geht das. Was macht SSL Deep Inspektion denn sonst? ;)
Ja, muss konfiguriert werden….
Und ja, SSL wird aufgebrochen. Dafür wird ein entsprechendes Zertifikat benötigt.

Edit:
Genau, was nicht untersucht werden kann bekommt ein block. Viele IoT Devices haben dann ein Fallback auf Plain-HTTP
 
Aber die Anwendung (Malware?) kann (wird) dein ganzes CA-System auch einfach ignorieren und damit ist dieses ganze "Deep SSL-Inspection" Schlangenöl.
 
Nochmals: wo nicht „reingeschaut“ werden kann, wird verworfen.
Wenn das Schlangenöl nicht funktionieren würde, wäre ein Firmennetz nicht absicherbar…..

Ist aber echt off topic :)
 
Achso, ja, das kannste natürlich machen. Solang das dann datenschutzrechtlich geregelt ist, why not.
 
  • Gefällt mir
Reaktionen: matthias3000
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

E
Managed Switch keine DNS-Auflösung?
Antworten
10
Aufrufe
2.462
Joe Dalton
Joe Dalton
N
FritzBox + externer DNS + private IP-Adressen geht schief
Antworten
12
Aufrufe
2.789
nachtwächter123
N
Der Kabelbinder
Systemlatenz von lokalem DNS-Proxy messen
Antworten
6
Aufrufe
1.202
Der Kabelbinder
Der Kabelbinder
D
AdguardHome unter HomeAssistant mit Fritzbox - Router einziger Client
Antworten
6
Aufrufe
13.717
dabooster
D
Ro155
Treiber aktuell halten? Driver Management Software?
2
Antworten
21
Aufrufe
1.109
Firefly2023
F
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz