Alleen wat nodig is voor de correcte werking.

Dezelfde als de DNS servers van UPC. UPC stuurt DNS verzoeken toch door naar de root servers.

Nee, verzoeken worden niet "doorgestuurd naar de root servers" . De rootserver instances zijn verspreid over de wereld (en dus niet impliciet 'allemaal in de VS' ), en worden door een resolver maar incidenteel gecontacteerd.

Wat de rootservers weten zijn NS records voor toplevel domeinen (.com, .net , .nl , .be etc).
Die antwoorden worden een resolver langdurig (hoge TTL) gecached .

OpenDNS houdt bij welke hostnames er zijn bezocht. Dat is ook inzichtelijk via hun control panel. Het heeft ook wel voordelen: zo was OpenDNS de eerste DNS provider die actief connecties van de Mac Flash trojan blockte. En DNS zone updates komen vaak wat sneller door. Alternatief voor OpenDNS is Google Public DNS (8.8.8.8 en 8.8.4.4). Is alleen een 'platte' DNS provider zonder inzage zoals je wel hebt bij OpenDNS.

Doorsturen was misschien niet het juiste woord. Het eerste request is naar een van de root servers om te vragen wie er bijv. het .com TLD heeft. Vervolgens wordt bij een van die servers het bewuste .com domain opgevraagd. Dat ze cachen klopt maar de root servers worden wel degelijk geraadpleegd.

Het merendeel van de root servers staat in de VS, 10 stuks. Verder staat er 1 in Amsterdam, 1 in Stockholm en 1 in Tokyo.

En dat is dus volkomen onzin: http://www.root-servers.org/

rootservers worden, zoals ik schreef, _zo af en toe_ geraadpleegd. Omdat de TTL voor toplevel records erg lang is.
rootservers zien dus (gelukkig) qua load maar een heel erg kleine fractie van de queries die resolvers doen.
(De .nl NS records hebben een TTL van 2 dagen ! )

En dus is "monitoren van rootservers", wat je lijkt te impliceren, erg kansloos als het gaat om security/surveillance.

Ik schreef "instances" omdat ik weet hoe (root) DNS werkt.
Er zijn veel meer dan 13 root DNS'en. De 13 magische adressen worden ge-anycast (op meer plekken aangeboden), waarbij verkeer naar de "dichtsbijzijnde" (qua network topologie) gaat.
Er is K-root in "Amsterdam", dwz, RIPE is de operator, maar die draait op een aantal plekken over de wereld.

Idem voor het overgrote deel van de andere root DNS'en, die zijn ook ge-anycast.

De google resolvers doen dat kunstje ook; Ik zit , in Nederland op 6-8 msec van 8.8.8.8 . Die kan dus niet veel verder dan 800 KM van mij af staan. Het is echt niet zo dat google's publieke DNS resolver (alleen) in de EU staat....

Hmmm, dank voor de reacties. Is het nu dus aan te raden om een Public DNS in te zetten? Voor mij nog steeds een beetje onduidelijk.

Kijk eens naar de operator, hoeveel niet-Amerikaanse bedrijven/instellingen zie jij daar tussen staan?

Als je met een nieuwe server begint zal die eerste keer toch echt gedaan moeten worden. Dat die informatie (lang) gecached wordt is een tweede. Het eerste verzoek zal hoe dan ook naar de root servers moeten.

Dat klopt.

Ik impliceer helemaal niets. De OP heeft het over "bijkomende" gevaren. Ik zeg alleen dat het niet zo gek veel uitmaakt of je de DNS van je provider gebruikt of wanneer je een eigen 'caching-only' server opzet.

Aan te raden voor wat ?
Als je interessant bent voor de nederlandse overheid maakt het echt geen verschil, want die tappen je lijn dus of je nu UPC of een andere DNS gebruikt, ze zien die queries (en de rest van de data) toch wel, of ze nu naar de ene of naar de andere DNS gaan.

Of de amerikaanse overheid massaal publieke DNS resolvers (opendns, google dns) die in de VS gevestigd zijn aftapt en ook nog wat zinvols weet te vinden in die datavolumes (laat staan dat jij iemand bent die interessant is) weet ik niet.
Gok maar, of zo.

Technische kwaliteit zal allemaal wel behoorlijk zijn, ondanks die recente storing van UPC.
Sommige DNS diensten bieden extras, zoals het niet-beantwoorden van queries voor een "malware" hostname, of eventueel een pornosite hostname. Dat is gewoonlijk een extra dienst waarvoor je moet inschrijven.

Ik weet niet of hetzij UPC, hetzij de 'algemene' (google,opendns) publieke DNSen misschien standaard bijvoorbeeld malware of botnet controller hostnamen al niet resolven.
Als je dat juist wel of juist niet wilt moet je een tijdje zoeken naar policies en hearsay om daarop je keus te baseren.

Het eerste verzoek van _iemand_ die een verse (of gereloade) resolver gebruikt gaat langs _een_ root server instance .
OP was aan het kiezen tussen UPC resolvers en publieke DNSen.

Dus _een_ DNS request van iemand per paar dagen (van de tig duizend per seconde, voorzichtig geschat) van de UPC resolvers triggert een refresh van toplevel records en komt dus langs _een_ root server instance.

De kans voor OP dat het precies zijn request is (en dan nog...) dat langs _een_ rootserver instance ergens (grotere kans op een root server 'dichtbij') is wel erg klein.

En qua verkeersanalyse is het de UPC resolver die als IP source gezien wordt op de root DNS.

Op een security forum, bij een vraag over gebruik van "US based" publieke DNS diensten die eventueel logfiles bijhouden

impliceer je helemaal niets door te stellen dat requests "toch ook doorgestuurd worden naar root DNSen" en dat "10 van de 13" root servers Amerikaans zijn ?

OP heeft het alleen over UPC DNS in vergelijking met publieke maar US-based DNS resolver. Pas in deze post noem je een eigen caching resolver als (derde) optie.

Bij gebruik van de UPC resolver is qua IP verkeer niet zichtbaar wie de query doet buiten het UPC netwerk; Het zijn de caching resolvers die hun eigen IP adres gebruiken bij queries in de DNS boom.
Als OP zelf een full resolver gaat draaien (geen forwarder naar UPC) zijn alle DNS queries afkomstig van zijn eigen IP.

Onjuist. Enkel de eerste query voor een nieuw top-level domain]/b] zal een onge'cache'te hit op een root-nameserver opleveren. De rest van de query komt nooit in de buurt van een root-nameserver.

'.' (root) krijgt een vraag voor '.nl' en geeft als antwoord de nl-nameservers. De nl-nameservers krijgen '.security.nl.' als query en verwijzen naar Pine. Pine krijgt een query voor 'www.security.nl.' en geeft 213.156.0.140 als antwoord. Uitgaande van dat jij de eerste bent die de query doet. Als alles in de query-cache staat krijg je alle of bijna alle antwoorden uit de cache van je resolver.

En dan heb je natuurlijk ook nor Norton DNS. Deze blokkeerd ook de malware, en eventueel nog meer.

Mooie bug hoor Security.nl, dat als je BB code's niet afsluit dat de volgende posts dit ook gewoon krijgen. Daar kan je leuk mee spelen Daarnaast zijn alle opties onder me ook "vet" gedrukt.

Edit: Dank u Security.nl

Om toch even On-Topic te gaan, ik gebruik zelf gewoon de DNS van mijn provider omdat ik nog steeds niet echt een reden zie om dit te veranderen. Maar soms gebruik ik DNS van Google wat ook uitstekend werkt.

Offtopic:
Wie heeft het hier over bedrijven?

http://code.google.com/p/namebench/
Gewoon even een benchmark test doen dan weet je snel genoeg of je beter kan overstappen of blijven.
Ik zou voor de snelste gaan in mijn geval was dat de DNS van mijn ISP.

OpenDNS heeft wel wat andere voordelen, maar vind ik zelf niet echt boeiend genoeg.

Ik gebruik opendns,heb ik in de router ingesteld als standaard dns,zowel primary als secundary.
Daarnaast gebruik ik ook dnscrypt,alles onder Linux.
Namelijk ik heb het idee dat inderdaad deze dns sneller is dan die van UPC.
Ook heeft opendns zijn voordelen,want dan heb je als het goed is ook minder of geen last van al dat data mining gedoe van de bewaarplicht telecomgegevens.
Die bewaarplicht slaat nergens op.
Ik heb wel eens waar niks te verbergen,maar het geeft mij geen fijn gevoel dat overheden zonder pardon dus alles bewaren wat met telecom te maken heeft.
Het gaat ze immers niks aan,hoe lang ik met wie mail,bel en zo voort.