14 berichten aan het bekijken - 1 tot 14 (van in totaal 14)
  • Q:
    Moderator
    Night

    Kan een DNS je kans op malware verminderen?

    Bijdrager
    KarelWillem

    Klinkt dan echter ook weer als: kan een DNS je Internet-verkeer vertragen? JA.

    Maar misschien zie ik dat verkeerd.

    Moderator
    Night

    Dat kan je eenvoudig testen met PING (onderdeel van Network Utility, standaard op je Mac); Ping de Google DNS (8.8.8.8) en vergelijk dat met die van QuadNine (9.9.9.9). Hoe groot zijn die verschillen en weeg dat af tegen de extra veiligheid.

    Google:

    --- 8.8.8.8 ping statistics ---
    10 packets transmitted, 10 packets received, 0.0% packet loss
    round-trip min/avg/max/stddev = 12.460/15.216/18.611/1.864 ms

    QuadNine

     
    --- 9.9.9.9 ping statistics ---
    10 packets transmitted, 10 packets received, 0.0% packet loss
    round-trip min/avg/max/stddev = 12.998/16.300/21.304/2.585 ms
     

    Zover als ik kan zien, scheelt dat gemiddeld 1 milliseconde bij het éénmalig opvragen van een webadres. Ga je dat merken? Ik denk het niet. Dit weegt niet op tegen de tijd dat bv. Safari nodig heeft om een website op te bouwen.

    Bijdrager
    madcat

    ik denk dat een adblocker meer opleverd, met een dns server creeer je ook een man-in-the-middle attack mogelijkheid open.

    Bijdrager
    McPim

    Interessante tip @Night. Bij mij zelfs iets sneller dan Google DNS maar het gaat inderdaad om minder dan milliseconden. Voor wie dit wil gebruiken: het is handiger om dit op je router in te stellen. Dan werken al je devices in huis met deze DNS en hoef je op je apparaten niets te veranderen.

    madcat op 26 november 2017

    ik denk dat een adblocker meer oplevert, met een dns server creëer je ook een man-in-the-middle attack mogelijkheid

    Een adblocker en deze DNS service zijn verschillende dingen. De DNS filtert geen advertenties, de adblocker voorkomt niet dat je op foute websites komt. Kan dus prima samen gebruikt worden. En je tweede punt geldt voor elke DNS, ook die van je provider. Dus niet relevant in dit geval.

    Bijdrager
    madcat

    Klopt, maar de DNS van je provider is vertrouwd en een random DNS server is dat niet.

    Bijdrager
    McPim

    We hebben in dit geval niet over een ‘random’ DNS server maar over een zeer betrouwbare organisatie die met dit initiatief komt. Bovendien loggen zij geen IP adressen, dat doet je provider waarschijnlijk wel.

    Bijdrager
    Shmoo

    Bovendien loggen zij geen IP adressen, dat doet je provider waarschijnlijk wel.

    Als dat je basis van discussies is dan ga ik even softijsjes kopen.. ?

    Bijdrager
    McPim

    Haha, grapjas. Ik denk dat ik het vrijwel zeker weet :-P . Maar dat was niet echt de discussie hè.

    Moderator
    Night

    IK heb ook nooit beweerd dat dit adware voorkomt. Zoals McPim al zegt: het zijn alle stappen sámen om je Mac veilig en schoon te houden, ook al struin je alle hoeken van het internet af. Dus een DNS die – nagenoeg realtime – voorkomt dat je op bewezen foute sites komt, samen met een addblocker, Malwarebytes (liefst de betaalde versie, die werkt pro-actief) een VPN én een dosis gezond verstand, kom je een heel eind.

    En inderdaad; privacy staat bij deze organisatie – net als bij de meeste VPN’s – hoog in het vaandel en je hoeft dus niet bang te zijn voor personal logging.

    Bijdrager
    EagerB0bNerd

    Klinkt dan echter ook weer als: kan een DNS je Internet-verkeer vertragen? JA.
    Maar misschien zie ik dat verkeerd.

    Ik gebruik een pi-hole als DNS server en, aangezien die zich in mijn eigen netwerk bevindt, gaat een DNS lookup echt veel sneller dan een publieke DNS server. Weet niet wat een complete lookup kost aan tijd (sturen, verbinden, wachten, ontvangen) maar een ping naar de lokale DNS gaat in minder dan 2 milliseconden, terwijl een ping naar Google of OpenDNS tussen de 10 en 14 milliseconden duurt.

    Verder gebruikt de pi-hole de malware blocklists van o.a. zeustracker en een flink aantal lijsten van (dubieuze) adverteerders om verkeer vanaf die adressen te blokkeren. Op dit moment zijn dat meer dan 100.000 ip adressen.

    Als je dat teveel gedoe vindt kan je ook de gratis of betaalde DNS servers van OpenDNS instellen in je mac of router.

    Bijdrager
    tinus_omt

    Met het ping commando stuur je een pakketje naar een server en die stuurt zo ongeveer hetzelfde pakketje weer terug, en dan kijk je hoe lang dat duurt.

    Een DNS server stel je vragen en die moet daar dan even over nadenken en eventueel weer aan iemand anders vragen en er dan een antwoord van maken. Dat kun je dus niet echt met ping vergelijken.

    Voor wat betreft de veiligheid, dit soort trucages kunnen inderdaad simpele malware tegenhouden, maar zeker niet alle. De malware die tegengehouden wordt wordt waarschijnlijk ook tegengehouden door de filters die je bij Safari en de andere browsers meegeleverd krijgt. Dat is echter in beide gevallen niet alles dus je moet nog steeds alert blijven. Net zoals virusscanners is dit niet effectief tegen aanvallen die specifiek voor jou gemaakt zijn, die zo nieuw zijn dat ze nog niet in de lijst zitten of die omdat de aanvaller de overheid is niet geblokkeerd worden.

    Houd ook in je achterhoofd dat dit een flinke dienst is om op te zetten, en dat doen ze echt niet uit liefdadigheid. Jij betaalt de rekening, waarschijnlijk ofwel doordat ze je surfgedrag analyseren of doordat ze je richting advertenties dirigeren.

    Bijdrager
    Soulshaker
    madcat op 26 november 2017

    ik denk dat een adblocker meer opleverd, met een dns server creeer je ook een man-in-the-middle attack mogelijkheid open.

    Bedoel je een DNS cache poisoning ?

    Bijdrager
    madcat

    onder anderen, voor elk webadres wat je gebruikt wordt het nagevraagd bij de DNS server.

    Zo kan inderdaad een verkeert ip worden doorgestuurd, maar ook verzameld die server prive gegevens van je.
    hetzelfde geld voor VPN servers, die zijn ook niet altijd even betrouwbaar en zijn letterlijk een man-in-the-middle.

    Let gewoon een beetje op wanneer je dit soort zaken gebruikt.

14 berichten aan het bekijken - 1 tot 14 (van in totaal 14)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.