Julkiset DNS-palvelut

  • Keskustelun aloittaja Keskustelun aloittaja east
  • Aloitettu Aloitettu
  • Avainsanat Avainsanat
    dns
=JP= sanoi:
Itse käytän NextDNS mobiilivehkeissä, koska helppo saada mainoksia pois. Laittanut/ehdottanut myös muillekin tuota luureihin ja ilmaisena on riittänyt niille käyttäjille, en tiedä miten jollekin luurin suurkuluttajalle riittäisi ilmaisen raja, voi joutua maksamaan.

Tietokoneilla on sitten Quad9 käytössä, koska mainosestot tarvii vain selaimessa ja siihen taasen uBlock on ylivoimainen.
Napsauta laajentaaksesi...

Eli ilman dedikoitua sisäverkon DNS-palvelinta vaihtuvilla IP-osoitteilla operoitaessa helpointa mennä halutun blokkitason palvelimella Cloudflaren tai Quad9 kanssa. Nopeuksissa ei ilmeisesti mainittavia eroja ole, tuskin ainakaan hitaampaa kuin operaattoreiden omilla?

Boogy sanoi:
Itse olen tykännyt Controld DNS-palvelusta. Tuossa ei liene mitään sen isompia eroja NextDNS:ssään kuin se että voi ohjata yksittäisiä domaineja eri maihin proxyn avulla. Kätevää kun pystyy esimerkiksi Samsungin TV:ssä blokkaamaan Twitchin mainokset laittamalla liikenteen ohjautumaan vaikka Ukrainan kautta ja HBO Max jenkkien kautta jotta näkee heidän sisältönsä (tämä lopetti tosin toimimisen hetki sitten kun siellä muuttui palvelu pelkäksi Maxiksi mutta näin esimerkkinä).

Controld:n saa puoleen hintaan jos on voimassa oleva Windscribe tilaus (myös lifetime tilaus sisältyy tähän nykyään).
Napsauta laajentaaksesi...
Miksei tuollakin joskus voisi käyttöä olla. Nopeus samoissa noiden ykkösten ja ysien kanssa?
 
NextDNS varmaan helpoin ratkaisu, jos ei paljoa jaksa säätää.

Itselläkin se on käytössä, tosin lähinnä pelkästään DoH tuen vuoksi ja koska en halua antaa Googlelle ja Cloudflarelle yhtään enempää dataa, missä lähiverkkoni käyttäjät selailevat.

Oma setuppi menee näin:
LAN/VPN Client -> DNS 53 -> Pi-Hole -> DNS 53 -> pfSense -> NDNS CLI DoH 443 -> NextDNS (WAN)
 
NextDNS kanssa voisin siis käyttää DDNS:ää jolla ratkeaisi muuttuvien IP-osoitteiden ongelma. 3 WAN-yhteyttä, jokaisella oma DDNS-osoite ja sitten NextDNS:n kaikille kolmelle sama profiili?
 
Siis DDNS (tai mikä tahansa muu dynamic DNS palveluntarjoaja) ei riipu tai roiku mihin DNS palvelimelle nimitiedustelusi laitat menemään tai toisin päin. Itselle ei nyt oikein aukea miten DDNS tähän liittyy? Eri palvelut kyseessä.

Yhtä hyvin voit käyttää vaikka No-IP jos haluat omiin verkkoihin päästä kiinni jonkun muuttumattoman domain nimen kautta ja laittaa laitteiden nimikyselyt menemään esimerkiksi Googlelle.
 
Infinity sanoi:
Siis DDNS (tai mikä tahansa muu dynamic DNS palveluntarjoaja) ei riipu tai roiku mihin DNS palvelimelle nimitiedustelusi laitat menemään tai toisin päin. Itselle ei nyt oikein aukea miten DDNS tähän liittyy? Eri palvelut kyseessä.

Yhtä hyvin voit käyttää vaikka No-IP jos haluat omiin verkkoihin päästä kiinni jonkun muuttumattoman domain nimen kautta ja laittaa laitteiden nimikyselyt menemään esimerkiksi Googlelle.
Napsauta laajentaaksesi...
Saadakseni NextDNS käyttöön reititintasolla? Sinnehän pitää linkittää IP, jotta profiilit toimivat? Tällöin reitittimelle riittää kun määrittelen NextDNS osoitteet käyttöön, ja reititin ilmoittaa omat WAN IP-osoitteensa vaikka No-IP:lle jonka kautta saan sitten muuttuneen IP:n tiedoksi NextDNS?
 
Enhancer sanoi:
Saadakseni NextDNS käyttöön reititintasolla? Sinnehän pitää linkittää IP, jotta profiilit toimivat?
Napsauta laajentaaksesi...
Vain jos käyttää salaamatonta DNS portista 53, mitä ei kyllä voi hirveästi suositella vuonna 2023.

Suositeltavampaa on joko asentaa reitittimelle NDNS CLI jolloin kyselyt lähtevät salattuna HTTPS portista 443 DoH:lla NextDNS:lle - tai sitten jokaiselle laitteelle erikseen DoH/DoT kenttään NextDNS IP/domain tai lataamalla NDNS oma appi joka käyttää DoH.

Edit: Apple laitteille voi myös ladata suoraan profiilin NextDNS sivulta ja laitteet käyttää myös silloin natiivisti DoH eikä tarvitse viritellä DDNS reitittimelle.
 
Infinity sanoi:
Vain jos käyttää salaamatonta DNS portista 53, mitä ei kyllä voi hirveästi suositella vuonna 2023.

Suositeltavampaa on joko asentaa reitittimelle NDNS CLI jolloin kyselyt lähtevät salattuna HTTPS portista 443 DoH:lla NextDNS:lle - tai sitten jokaiselle laitteelle erikseen DoH/DoT kenttään NextDNS IP/domain tai lataamalla NDNS oma appi joka käyttää DoH.

Edit: Apple laitteille voi myös ladata suoraan profiilin NextDNS sivulta ja laitteet käyttää myös silloin natiivisti DoH eikä tarvitse viritellä DDNS reitittimelle.
Napsauta laajentaaksesi...

Mikä hyöty tuosta salatusta DNS:stä on?
 
SamCer sanoi:
Mikä hyöty tuosta salatusta DNS:stä on?
Napsauta laajentaaksesi...
Jokainen välietappi kotisi ja käyttämäsi DNS palvelimen välillä ei pysty lukemaan cleartextinä millä sivuilla/palveluilla seikkailet.

(Joo, kyllä IP/domain taulukoilla pystyy yhä tutkimaan missä liikutaan, mutta salattu DNS tuo silti huomattavasti yksityisyyttä)
 
Jos tekee useita NextDNS profiileja niin jokaiseen voi linkittää oman DDNS-osoitteen.
1685274082273.png
 
Infinity sanoi:
Jokainen välietappi kotisi ja käyttämäsi DNS palvelimen välillä ei pysty lukemaan cleartextinä millä sivuilla/palveluilla seikkailet.
Napsauta laajentaaksesi...

Se ei kyllä siihen vaikuta mitenkään... ISP näkee kyllä ilman mitään ongelmia minne olet menossa, kuten kaikki muutkin koneesi ja sivun välille minne olet menossa.
 
SamCer sanoi:
Se ei kyllä siihen vaikuta mitenkään... ISP näkee kyllä ilman mitään ongelmia minne olet menossa, kuten kaikki muutkin koneesi ja sivun välille minne olet menossa.
Napsauta laajentaaksesi...
Salatulla DNS:llä näkevät IP:n, eivät domainia. Pointtini oli, että jokainen palveluntarjoaja ja verkon ylläpitäjä pystyy lukemaan DNS kyselysi matkan varrella leikiten.

Ja kuten sanoin, jos tarpeeksi riittää haluja niin toki voi yhä seurata. Vain VPN on keino jos täyttä yksityisyyttä haluaa.

Salattu DNS kuitenkin laittaa kapuloita rattaisiin eikä datan kerääminen ole niin naurettavan simppeliä kuin salaamattomalla.
 
user9999 sanoi:
Jos tekee useita NextDNS profiileja niin jokaiseen voi linkittää oman DDNS-osoitteen.
1685274082273.png
Napsauta laajentaaksesi...
mikajh sanoi:
Ei tuo NextDNS näytä tukevan kuin yhtä linked IP:tä kerrallaan
Napsauta laajentaaksesi...
Niin, ymmärsin että jokaiseen profiiliin voi linkittää tosiaan oman, jolloin saisin kaikki 3 WAN-osoitetta hoidettua.

Taas käytännössä, etenkin tuo kolmas eli varayhteyden varayhteys nyt voisi pudota vaikka profiilien ulkopuolellekin mutta samalla toimenpiteellä sen hoitaisi kuin 2 muutakin.

Tuo salaamaton liikenne on tietysti sitten yksi asia, mutta salaamatonta se on tainnut olla tähänkin asti.
 
Yhteenvetona siis, mikäli reititin ei pysty pyörittämään erillistä softaa, on ainoa vaihtoehto käyttää suoria DNS-osoitteita ja NextDNS:n tapauksessa linkittää IP-osoite palveluun tavalla tai toisella jos haluaa profiilit käyttöön. Tietenkin verkossa pyörivä erillinen kilke voidaan määrittää palvelimeksi reitittimelle.

Tällöin joka tapauksessa DNS-kyselyt lähtevät reitittimeltä eteenpäin salaamattomina, siinä missä ne lähtevät myös clienteiltä jos jokainen client saa DHCP:llä vaikkapa palveluntarjoajan DNS-osoitteet?
 
Voi sitä verkkoon laittaa vaikka Raspin missä ajelee NextDNS CLI ja työntää Raspin IP DNS:ksi laitteille. Suositeltavin sinun tapauksessasi olisi yhä käyttää natiivia DoH/DoT eikä tuota IP linkitystä, jos kerran useampi WAN laite yhteen NextDNS tunnukseen olisi tarkoitus saada. Bonuksena saa salatun DNS, vaikka siitä ei välittäisikään.

Itsellä on autotallissa sillatun Huawei 4G modeemin perässä ikivanha pari kymppiä maksanut Asuksen AC68U reititin, missä on natiivi DoT tuki ainakin Merlinin firmiksellä. Siihen vain heitti NextDNS DoT infot ja yhdellä NextDNS tunnarilla on nyt koti, autotalli, kuin kaikki mobiililaitteetkin, eikä tarvitse veivata montaa profiilia tai tehdä hirveää urakkaa, että saa IP linkityksen DDNS kera.
 
Infinity sanoi:
Voi sitä verkkoon laittaa vaikka Raspin missä ajelee NextDNS CLI ja työntää Raspin IP DNS:ksi laitteille. Suositeltavin sinun tapauksessasi olisi yhä käyttää natiivia DoH/DoT eikä tuota IP linkitystä, jos kerran useampi WAN laite yhteen NextDNS tunnukseen olisi tarkoitus saada. Bonuksena saa salatun DNS, vaikka siitä ei välittäisikään.

Itsellä on autotallissa sillatun Huawei 4G modeemin perässä ikivanha pari kymppiä maksanut Asuksen AC68U reititin, missä on natiivi DoT tuki ainakin Merlinin firmiksellä. Siihen vain heitti NextDNS DoT infot ja yhdellä NextDNS tunnarilla on nyt koti, autotalli, kuin kaikki mobiililaitteetkin, eikä tarvitse veivata montaa profiilia tai tehdä hirveää urakkaa, että saa IP linkityksen DDNS kera.
Napsauta laajentaaksesi...
Juuri näin.

Itse asiassa ilmeisesti viime kuun puolivälissä on tullut tarjolle Omada-sarjaan uusi softa, joka on tuonut DNS Proxyn tarjolle, ja siten tukisi myös natiivisti DNSSEC, DoT ja DoH. Täytyypä tutustua jos tuolla saisi sittenkin homman toimimaan ilman patentteja.

Koko homman juju olisi pitää kaikki rauta tuon saman Omada-hallinnan alla.
 
Tuore testi eri DNS-palvelujen haittallisten sivustojen estokyvyistä. Mukana mm. Google, Cloudflare, Quad9, Comodo, DNS0.eu yms

techblog.nexxwave.be

Public DNS malware filters tested

How well do public DNS resolvers that claim to block malware domains really score? Which provider is the safest? We did the test!
techblog.nexxwave.be techblog.nexxwave.be

PROVIDERCLOUDFLARE UNFILTEREDGOOGLE PUBLIC DNSTELENETPROXIMUSOPENDNSQUAD9CLOUDFLARE FOR FAMILIESDNS0.EUDNS0.EU ZEROCLEANBROWSING SECURITY FILTERCOMODO SECURE DNS
Resolved hosts445424451644387444584449397133869925102452576244502
Not resolved hosts0.00%0.06%0.35%0.19%0.11%78.19%13.12%94.36%94.50%87.06%0.09%

1686117084176.png

Pitää jossain vaiheessa tehdä vastaavan testin näin Suomessa asuvan näkökulmasta, viiveiden yms näkökulmien vuoksi.
 
Hyvältä vaikuttaa tuo dns0, käytännössä näyttää olevan valtaosa nextdns:n käyttämistä asetuksista viety tuonne sellaisenaan ilman konfigurointimahdollisuuksia.
 
Tulipas erikoinen ongelma vastaan, kun olisin laittanut dns0:n reitittimeen suoraan, mutta eihän nuo osoitteet kelvannut sille.

Näköjään tämä Huawei AX3 ei hyväksy dns-osoitteita mitkä päättyy .0 eli viimeisen pisteen jälkeen on pelkkä nolla. No muuten sama, mutta .9 eli dns0 zero serverit kelpaa reitittimelle niin laitoin nyt ne sitten.

Käytössä on muutenkin NextDNS profiilit laitekohtaisesti niin tiedä sitten kuinka suuri hyöty on. Ainakin melkein naapurissa yksi Suomen serveri, jos ei muuta :D
 

Liitteet

  • Screenshot 2023-06-07 144743.png
    Screenshot 2023-06-07 144743.png
    12 KB · Luettu: 72
  • Screenshot 2023-06-07 144758.png
    Screenshot 2023-06-07 144758.png
    11,3 KB · Luettu: 70
vrmx sanoi:
Miksiköhän sitten dns-palvelulle on annettu osoite mikä päättyy .0, jos sitä (tunnetusti?) ei voi käyttää kaikissa laitteissa?
Napsauta laajentaaksesi...

Pientä kettuilua tai painostusta huonolaatuisten verkkolaitteiden valmistajia kohtaan, että siirtyisivät nykyaikaan aikamatkaltaan 90-luvun alusta ennen CIDR-osoitteiden käyttöönottoa? Tai opettavat kuluttajia tunnistamaan huonolaatuisen laitteen, jossa on varmaan n+1 muutakin bugia, ja jota siksi ei kannattaisi käyttää?

En muuten itse tuota DNS0-palvelua ainakaan privacy-mielessä välttämättä käyttäisi. Katsoin huvikseni, missä heidän palvelimensa sijaitsevat verkkoteknisesti Elisan ja DNA:n verkoista katsoen, ja näytti liikenne menevän RETN:n kautta. Itse ainakin haen mieluummin DNS-vastaukseni ihan suomalaiselta operaattorilta, joilla tietosuoja-asiat ovat pääosin hyvällä mallilla, kuin lähettäisin kaiken DNS-liikenteeni Venäläisen operaattorin kautta. RETN:n on pohjimmiltaan venäläinen, henkilöstö pääosin venäläistä ja iso osa toiminnoista Venäjältä hoidettu.
 
mikajh sanoi:
Eipä siltä vaikuta tässä tilanteessa:
whois 193.110.81.0

inetnum: 193.110.81.0 - 193.110.81.127
netname: DNS0-3
route: 193.110.81.0/24
descr: dns0.eu primary
Napsauta laajentaaksesi...

Tuo, onko .0 -osoite verkon alussa vai keskellä on kyseisen verkon sisäinen asia, millä ei ole mitään merkitystä kenellekään jossain toisessa verkossa sijaitsevalle. Whois-tieto saattaa pitää paikkaansa tai saattaa olla pitämättä, mutta se, että kyseistä IP-osoitetta ei voi johonkin toisessa verkossa sijaitsevaan laitteeseen konfiguroida kohdeosoitteeksi on täysin yksiselitteisesti bugi kyseisen laitteen softassa.
 
oongee sanoi:
Tuo, onko .0 -osoite verkon alussa vai keskellä on kyseisen verkon sisäinen asia, millä ei ole mitään merkitystä kenellekään jossain toisessa verkossa sijaitsevalle. Whois-tieto saattaa pitää paikkaansa tai saattaa olla pitämättä, mutta se, että kyseistä IP-osoitetta ei voi johonkin toisessa verkossa sijaitsevaan laitteeseen konfiguroida kohdeosoitteeksi on täysin yksiselitteisesti bugi kyseisen laitteen softassa.
Napsauta laajentaaksesi...
dns0.eu/NextDNS:n whois-tieto näyttää olevan osin persiillään, koska se viittaa IPv4 CIDR block -osoiteformaattiin a.b.c.d/25
Tässä host d ei voi olla 0 eikä 128 Classless Inter-Domain Routing - Wikipedia
 
Viimeksi muokattu:
oongee sanoi:
En muuten itse tuota DNS0-palvelua ainakaan privacy-mielessä välttämättä käyttäisi. Katsoin huvikseni, missä heidän palvelimensa sijaitsevat verkkoteknisesti Elisan ja DNA:n verkoista katsoen, ja näytti liikenne menevän RETN:n kautta.
Napsauta laajentaaksesi...
Kyselin heiltä pitääkö tuo paikkaansa ja pyysivät esimerkkiä väitteestä. Saatko laitettua mulle, niin toimitan heille? Pyyhi pois kaikki sinuun kohdistuvat IP:t yms.
 
escalibur sanoi:
Kyselin heiltä pitääkö tuo paikkaansa ja pyysivät esimerkkiä väitteestä. Saatko laitettua mulle, niin toimitan heille? Pyyhi pois kaikki sinuun kohdistuvat IP:t yms.
Napsauta laajentaaksesi...

Kannattaa tutustua traceroute / mtr / jne. työkaluihin. Niillä näkee helposti, että liikenne menee ainakin DNA:lta ja Elisalta Tukholmaa kohden. Heidän ISP/hostaaja siellä on ilmeisesti firma nimeltä Anexia ja Anexian upstream on RETN, eli RETN hoitaa liikenteen välityksen heidän ruotsalaiselle ISP:lle Suomesta.

Koodi: 
                             My traceroute  [v0.95]
XXX -> 193.110.81.0 (193.110.81.0)    2023-06-11T10:12:53+0300
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                       Packets               Pings
Host                                Loss%   Snt   Last   Avg  Best  Wrst StDev
1. XXX                               0.0%     3    0.2   0.5   0.2   0.9   0.4
2. XXX                               0.0%     3   10.5  14.0  10.5  18.7   4.2
3. XXX                               0.0%     3   10.8  11.2  10.8  11.5   0.4
4. (waiting for reply)
5. XXX                               0.0%     3    9.8  10.3   9.8  10.7   0.4
6. XXX                               0.0%     2   10.1  11.4  10.1  12.6   1.8
7. hel1-sr1.dnaip.fi                 0.0%     2   12.7  18.2  12.7  23.7   7.7
8. retn-T1024302.o.dnaip.fi          0.0%     2   11.4  13.5  11.4  15.6   3.0
9. ae4-9.RT.TC1.STO.SE.retn.net      0.0%     2   15.5  16.2  15.5  16.9   1.0
10. GW-ANEXIA.retn.net                0.0%     2   21.9  21.9  21.9  21.9   0.0
11. dns0.eu                           0.0%     2   20.6  18.8  17.0  20.6   2.6


antero sanoi:
Onhan tuolla johtajissa paljon venäläisiä nimiä, mutta toimii britannissa.
RETN CAPITAL LTD. people - Find and update company information - GOV.UK (company-information.service.gov.uk)
Napsauta laajentaaksesi...

No ne on pyrkineet häivyttämään venäläistä identiteettiään nykytilanteessa ja profiloitumaan enemmän kansainväliseksi firmaksi, vaikka juuret ovat hyvin tiukasti Venäjällä. Kuka tahansa ISP-markkinoita ja niiden historiaa tunteva tietää, että kyseessä on suuri venäläinen ISP, vaikka sivuilla nykyään kerrotaankin pääkonttorin sijaitsevan Britanniassa.

Tämä ilmenee esim. siten, että katsot heidän sivuilta mitä tahansa kohtaa, niin siellä kerrotaan, että vastaavat yhteydenottoihin englanniksi ja venäjäksi. Ja he kertovat välittävänsä 33% Venäjän transit-liikenteestä. Voidakseen välittää kolmasosan Venäjän ulkomaan liikenteestä, välien Venäjän valtioon täytyy olla hyvät.

Ja RIPE-jäsensivulta ilmenee vielä todellinen osoite, mistä hommaa pääosin pyöritetään. Unohtunut varmaan "päivittää":

JSC "RetnNet"
NIZHNY SUSALNY PER., D. 5, STR. 19
05064 Moscow
RUSSIAN FEDERATION
 
Viimeksi muokattu:
Tuon DNS0.eu on perustaneet samat henkilöt kuin NextDNS palvelun.

NextDNS tapauksessa vähän erilainen reitti.

Elisa:
5 elisa-sto.cdn77.com
6 xe2-0.x01.sto02.se.misaka.io
7 dns1.nextdns.io

DNA:
5 dna-sto.cdn77.com
6 xe2-0.x01.sto02.se.misaka.io
7 dns1.nextdns.io

RIPE tiedot (cdn77.com ja misaka.io)

Datacamp Limited

RIPE NCC Local Internet Registry: Datacamp Limited
www.ripe.net www.ripe.net

Misaka Network, Inc.

RIPE NCC Local Internet Registry: Misaka Network, Inc.
www.ripe.net www.ripe.net

Edit: Noissa tracerouteissa käytin oman NextDNS profiilin DNS palvelimien IP-osoitteita.
DNA tapauksessa, jossa NextDNS CLI on käytössä niin ping osoittaa hetzner-hel (ultralow1) osoitteeseen.
 
Viimeksi muokattu:
Puhelimessa Telian liittymä.

6 hls-b3-link.ip.twelve99.net
7 s-bb2-link.ip.twelve99.net
8 s-b3-link.ip.twelve99.net
9 telia-gw.dcr01.anx52.sto.se.anexia-it.net
10 dns0.eu

RIPE tiedot ( twelve99.net ja anexia-it.net):

Arelion Sweden AB

RIPE NCC Local Internet Registry: Arelion Sweden AB
www.ripe.net www.ripe.net

ANEXIA Internetdienstleistungs GmbH

RIPE NCC Local Internet Registry: ANEXIA Internetdienstleistungs GmbH
www.ripe.net www.ripe.net
 
Miten olette toteuttaneet DNS-liikenteen hallinnan muuritasolla?

Oma ajatus olisi nyt käyttää reititintasolla DoH, ja NextDNS-määrittelyä joka blokkaisi mainokset, sekä lapsilta kielletyn sisällön yms. tarpeettoman. Aikuisten käytössä oleviin laitteisiin sitten laitekohtaisesti sallivampi NextDNS-määrittely myös DoH käyttäen?

Oletteko blokanneet kaiken sisäverkosta uloslähtevän salaamattoman DNS-liikenteen, vaiko pakko-ohjanneet sen vain reitittimelle?

Selainten yms. omat oletus DoT / DoH -kyselyt olisi hyvä saadaan myös haltuun, periaatteessa DoT-kyselyt voisi myös reitittää reitittimelle ja estää suoraan ulkomaailmaan mutta DoH käytännössä mahdotonta kun se kulkee niin salatun liikenteen seassa.
 
Muistutuksena, että koska DoT on salattu, niin vaikka sen portin 853 voi pakko-ohjata reitittimelle, niin kyselyt hajoavat eivätkä tee mitään, koska TLS avaimet ei mätsää, jos reitittimen DNS palvelin ylipäätään yrittää kätellä uudelleenohjattua TLS kyselyä.

Helpoin on blokata molemmat DoH ja DoT, paitsi tietysti itse reitittimeltä ulos lähteviin DoH/DoT palvelimiin. Noin ei sitten ainakaan "hardcoded" appit ja laitteet pääse ohittamaan DNS suodatusta ja lataamaan mainoksia ja analytiikkaa salakavalasti DoH kautta.
 
Infinity sanoi:
Muistutuksena, että koska DoT on salattu, niin vaikka sen portin 853 voi pakko-ohjata reitittimelle, niin kyselyt hajoavat eivätkä tee mitään, koska TLS avaimet ei mätsää, jos reitittimen DNS palvelin ylipäätään yrittää kätellä uudelleenohjattua TLS kyselyä.

Helpoin on blokata molemmat DoH ja DoT, paitsi tietysti itse reitittimeltä ulos lähteviin DoH/DoT palvelimiin. Noin ei sitten ainakaan "hardcoded" appit ja laitteet pääse ohittamaan DNS suodatusta ja lataamaan mainoksia ja analytiikkaa salakavalasti DoH kautta.
Napsauta laajentaaksesi...
Aivan niin, ”pieni” ajatusvirhe tuossa salatun liikenteen kääntämisessä.

DoT on helppo blokata portin 853 blokkaamisella, mutta eikös DoH mene samaa 443 porttia pitkin kuin muukin HTTPS-liikenne?

Eli voisi käyttää DoH eteenpäin reitittimeltä, ja myöskin laitteiden omissa löysemmissä profiileissa, ja sitten blokata portin 853 ja sekä pakottaa suojaamattoman porttia 53 pitkin yrittävän DNS:n reittimen DNS-välitykseen.
 
oongee sanoi:
Kannattaa tutustua traceroute / mtr / jne. työkaluihin. Niillä näkee helposti, että liikenne menee ainakin DNA:lta ja Elisalta Tukholmaa kohden. Heidän ISP/hostaaja siellä on ilmeisesti firma nimeltä Anexia ja Anexian upstream on RETN, eli RETN hoitaa liikenteen välityksen heidän ruotsalaiselle ISP:lle Suomesta.

Koodi: 
                             My traceroute  [v0.95]
XXX -> 193.110.81.0 (193.110.81.0)    2023-06-11T10:12:53+0300
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                       Packets               Pings
Host                                Loss%   Snt   Last   Avg  Best  Wrst StDev
1. XXX                               0.0%     3    0.2   0.5   0.2   0.9   0.4
2. XXX                               0.0%     3   10.5  14.0  10.5  18.7   4.2
3. XXX                               0.0%     3   10.8  11.2  10.8  11.5   0.4
4. (waiting for reply)
5. XXX                               0.0%     3    9.8  10.3   9.8  10.7   0.4
6. XXX                               0.0%     2   10.1  11.4  10.1  12.6   1.8
7. hel1-sr1.dnaip.fi                 0.0%     2   12.7  18.2  12.7  23.7   7.7
8. retn-T1024302.o.dnaip.fi          0.0%     2   11.4  13.5  11.4  15.6   3.0
9. ae4-9.RT.TC1.STO.SE.retn.net      0.0%     2   15.5  16.2  15.5  16.9   1.0
10. GW-ANEXIA.retn.net                0.0%     2   21.9  21.9  21.9  21.9   0.0
11. dns0.eu                           0.0%     2   20.6  18.8  17.0  20.6   2.6




No ne on pyrkineet häivyttämään venäläistä identiteettiään nykytilanteessa ja profiloitumaan enemmän kansainväliseksi firmaksi, vaikka juuret ovat hyvin tiukasti Venäjällä. Kuka tahansa ISP-markkinoita ja niiden historiaa tunteva tietää, että kyseessä on suuri venäläinen ISP, vaikka sivuilla nykyään kerrotaankin pääkonttorin sijaitsevan Britanniassa.

Tämä ilmenee esim. siten, että katsot heidän sivuilta mitä tahansa kohtaa, niin siellä kerrotaan, että vastaavat yhteydenottoihin englanniksi ja venäjäksi. Ja he kertovat välittävänsä 33% Venäjän transit-liikenteestä. Voidakseen välittää kolmasosan Venäjän ulkomaan liikenteestä, välien Venäjän valtioon täytyy olla hyvät.

Ja RIPE-jäsensivulta ilmenee vielä todellinen osoite, mistä hommaa pääosin pyöritetään. Unohtunut varmaan "päivittää":

JSC "RetnNet"
NIZHNY SUSALNY PER., D. 5, STR. 19
05064 Moscow
RUSSIAN FEDERATION
Napsauta laajentaaksesi...


Kiitos! Tracert on tuttu, mutta tuo Anexian sidonnaisuus selittääkin, miksi en nähnyt koko Retn:ia omissa kokeiluissa.

Yhteisön hyväksi raportoin tämän heille, niin toivottavasti asiaan saadaan muutosta. Ennen sitä palvelua ei tietenkään voi suositella.
 
@oongee @antero ja @user9999 Ajatteko traceroute-testit uudelleen DNS0:n supportin pyynnöstä?

Ajoin itsekin äsken kahdella eri laitteella, jotka ovat eri liittymien takana.

Koodi: 
C:\Users\......>tracert 193.110.81.0

Tracing route to dns0.eu [193.110.81.0]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  .... [......]
  2     *        *        2 ms  dns0.eu [193.110.81.0]
  3     3 ms     2 ms     3 ms  dns0.eu [193.110.81.0]
  4     8 ms     8 ms     8 ms  dns0.eu [193.110.81.0]
  5     9 ms     8 ms     8 ms  dns0.eu [193.110.81.0]
  6    32 ms    32 ms    32 ms  dns0.eu [193.110.81.0]
  7    38 ms    38 ms    39 ms  dns0.eu [193.110.81.0]
  8    38 ms    38 ms    38 ms  dns0.eu [193.110.81.0]
  9    39 ms    39 ms    39 ms  dns0.eu [193.110.81.0]
 10    45 ms    45 ms    45 ms  dns0.eu [193.110.81.0]
 11    39 ms    39 ms    39 ms  dns0.eu [193.110.81.0]
 12     *        *        *     Request timed out.
 13    38 ms    38 ms    38 ms  dns0.eu [193.110.81.0]

Trace complete.

C:\Users\.....>tracert 193.110.81.0

Tracing route to dns0.eu [193.110.81.0]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ...... [.....]
  2     *        *        *     Request timed out.
  3     3 ms     3 ms     3 ms  dns0.eu [193.110.81.0]
  4     8 ms     9 ms     8 ms  dns0.eu [193.110.81.0]
  5     8 ms     8 ms     8 ms  dns0.eu [193.110.81.0]
  6    33 ms    32 ms    32 ms  dns0.eu [193.110.81.0]
  7    39 ms    39 ms    39 ms  dns0.eu [193.110.81.0]
  8    38 ms    38 ms    39 ms  dns0.eu [193.110.81.0]
  9    39 ms    39 ms    39 ms  dns0.eu [193.110.81.0]
 10    45 ms    45 ms    45 ms  dns0.eu [193.110.81.0]
 11    39 ms    39 ms    39 ms  dns0.eu [193.110.81.0]
 12     *        *        *     Request timed out.
 13    38 ms    38 ms    38 ms  dns0.eu [193.110.81.0]

Trace complete.

C:\Users\.....>

Koodi: 
traceroute 193.110.81.0
traceroute to 193.110.81.0 (193.110.81.0), 30 hops max, 60 byte packets
 1  172.xx.xx.1 (172.xx.xx.1)  7.484 ms  7.453 ms  7.429 ms
 2  13245.your-cloud.host (95.x.1xx.x)  1.203 ms  1.379 ms  1.347 ms
 3  * * *
 4  spine1.x.hel1.hetzner.com (88.x.247.185)  3.717 ms  3.945 ms spine2.x.hel1.hetzner.com (88.x.247.189)  2.261 ms
 5  x.hel1.hetzner.com (88.198.x.89)  29.778 ms x.hel1.hetzner.com (88.198.x.93)  2.015 ms x.hel1.hetzner.com (88.198.x.253)  1.991 ms
 6  x.sto.hetzner.com (213.x.224.22)  7.819 ms x.sto.hetzner.com (213.x.252.226)  6.667 ms x.sto.hetzner.com (213.x.245.70)  7.448 ms
 7  netnod-ix-ge-b-sth-1500.anexia-it.com (194.68.128.18)  7.426 ms netnod-ix-ge-a-sth-1500.anexia-it.com (194.68.123.18)  6.803 ms netnod-ix-ge-b-sth-1500.anexia-it.com (194.68.128.18)  6.585 ms
 8  213.227.185.32 (213.227.185.32)  7.725 ms  7.304 ms *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *
 
DNA:

2 rai1-sr21.net.dnaip.fi (62.78.100.209)
3 148.122.10.42 (148.122.10.42)
4 ae64.edge1.Stockholm1.Level3.net (213.249.107.89)
5 ae2.3209.edge5.Paris1.level3.net (4.69.143.170)
6 213.242.121.14 (213.242.121.14)
7 et20-1.core-2.csd5.gandi.net (173.246.102.25)
8 et53-1.core-1.sd5.gandi.net (173.246.102.7)
9 * * *
10 * * *
11 dns0.eu (193.110.81.0)

ELISA:

2 213.192.186.82 (213.192.186.82)
3 ae3.bbr1.hel2.fi.ip4.elisa.net (213.192.186.81)
4 213.192.184.185 (213.192.184.185)
5 equinix-ix.ld6.lon.acorus.net (185.1.104.90)
6 100.99.0.227 (100.99.0.227)
7 100.100.0.229 (100.100.0.229)
8 et20-1.core-2.csd5.gandi.net (173.246.102.25)
9 et53-1.core-1.sd5.gandi.net (173.246.102.7)
10 * * *
11 * * *
12 dns0.eu (193.110.81.0)

Molemmat menee Ranskaan.
 
escalibur sanoi:
@oongee @antero ja @user9999 Ajatteko traceroute-testit uudelleen DNS0:n supportin pyynnöstä?
Napsauta laajentaaksesi...

Juu, vahvistan myös, että DNA:lta menee nyt Telenorin ja Cogentin tai välillä Lumenin (Level3) kautta Ranskaan Gandille. Elisalta menee heidän omaa yhteyttä pitkin Lontooseen ja sieltä F5 Networksin (Acorus) kautta Ranskaan Gandille. Privacy/tietoturva/jne. perspektiivistä varmaankin selvä parannus (kaikki liikennettä välittävät tahot ovat tunnettuja länsimaisia yrityksiä), mutta latenssin kannalta tosiaan huononnus, kuten yllä todettiinkin.

Koodi: 
                            My traceroute  [v0.95]
XXX -> 193.110.81.0 (193.110.81.0)  2023-06-12T19:30:22+0300
Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                       Packets               Pings
Host                                Loss%   Snt   Last   Avg  Best  Wrst StDev
1. XXX                               0.0%    15    0.8   3.3   0.7  34.1   8.6
2. XXX                               0.0%    15   36.1  14.3  10.1  36.1   6.4
3. XXX                               0.0%    15   12.0  14.3  10.5  24.5   3.7
4. XXX                              57.1%    15   11.0  16.0  11.0  35.9   9.8
5. XXX                               0.0%    15   14.2  12.8  11.4  15.1   1.1
6. hel7-sr22.net.dnaip.fi            0.0%    15   17.8  14.3  10.4  33.3   5.6
7. 148.122.10.42                     0.0%    15   17.8  20.2  16.4  32.6   5.0
8. (waiting for reply)
9. be3376.ccr21.sto03.atlas.cogentc  0.0%    15   28.9  20.1  17.9  28.9   3.0
10. be2555.rcr21.cph01.atlas.cogentc  0.0%    15   30.4  28.9  26.6  30.8   1.2
11. be2496.ccr41.ham01.atlas.cogentc  0.0%    15   35.5  37.6  35.5  42.2   2.1
12. be2815.ccr41.ams03.atlas.cogentc  0.0%    15   40.1  41.6  39.5  46.8   1.9
13. be12265.ccr41.par01.atlas.cogent  0.0%    15  100.4  63.3  51.7 100.4  18.2
14. be3593.rcr21.b019498-0.par01.atl  0.0%    15   53.9  56.5  52.3  82.6   7.9
15. 149.11.0.62                       0.0%    15   57.5  55.6  53.2  57.5   1.4
16. et18-1.core-2.csd4.gandi.net      0.0%    15   47.9  49.5  47.4  50.8   1.0
17. et53-1.core-1.sd4.gandi.net       0.0%    15   48.5  48.4  47.0  49.7   1.0
18. (waiting for reply)
19. dns0.eu                           0.0%    14   56.6  57.9  53.9  77.8   5.9
 
Viimeksi muokattu:
Täytyy sanoa että mielenkiintoinen ketjua ollut seurata ja täytyy arvostaa että porukka tutkii näitä :tup:
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
257 566
Viestejä
4 477 222
Jäsenet
73 957
Uusin jäsen
helzinki

Hinta.fi

Back
Ylös Bottom