image

Acht gratis dns-providers op prestaties en privacy vergeleken

dinsdag 3 april 2018, 16:03 door Redactie, 28 reacties

De meeste internetgebruikers maken gebruik van de dns-servers van hun eigen internetprovider, maar het is ook mogelijk om een andere aanbieder te kiezen die extra features biedt. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen.

Door het instellen van de dns-server van een andere aanbieder vragen internetgebruikers niet aan hun eigen provider waar het ip-adres van een bepaalde domeinnaam te vinden is, maar aan de ingestelde aanbieder. Een blogger genaamd "Nykolas Z" besloot acht gratis dns-providers met elkaar te vergelijken op prestaties en privacy, te weten: CleanBrowsing, CloudFlare, Comodo DNS, Google, Norton DNS, OpenDNS, Quad9 en Yandex DNS.

Bij het onderdeel privacy werd gekeken of de dns-aanbieders de dns-verzoeken van gebruikers niet opslaan of met andere partijen delen, alsmede welke security- en privacy-features ze gebruiken, zoals DNSCrypt en DNS over HTTPS. Als het gaat om het delen en opslaan van dns-verzoeken zeggen Google, CloudFlare, Quad9 en Cleanbrowsing dit niet te doen.

Voor de prestatietest werden vanaf 18 locaties wereldwijd dns-lookups voor populaire domeinen uitgevoerd. Alle dns-providers scoren goed in Europa en Noord-Amerika, met een responstijd van onder de 15 milliseconden. Voor 72 procent van de locaties is CloudFlare de snelste aanbieder, gevolgd door Google en Quad9. Quad9 was sneller dan Google in Europa en Noord-Amerika, maar presteerde weer slechter in Azië en Zuid-Amerika. Nykolas merkt op dat de providers niet één op één met elkaar te vergelijken zijn, aangezien sommige specifieke features aanbieden die voor enige vertraging kunnen zorgen. Zo blokkeren bijvoorbeeld Comodo en Quad9 de toegang tot kwaadaardige domeinen.

Image

Reacties (28)
03-04-2018, 17:13 door Anoniem
puur om het feit dat hij googles dns als privacy vriendelijk beschouwt maakt deze hele tabel al onbetrouwbaar
03-04-2018, 17:29 door Anoniem
Ik had goede ervaringen met comodo dns,
maar dat veranderde vanwege blokkade's van normale legale websites zoals facebook,
en legale websites die iedereen dagelijks bezoekt,na het verwijderen van de comodo dns settings,
naar mijn default isp dns instellingen verdwenen de problemen als sneeuw voor de zon.
03-04-2018, 17:58 door Anoniem
Jammer dat ze FreeDNS zijn vergeten!

https://freedns.zone/en/
03-04-2018, 18:08 door Anoniem
Misschien ook handig voor huis- tuin- en keukengebruikers om in het modem toegang tot alle overige DNS servers te blokkeren.
03-04-2018, 18:19 door Anoniem
Stel dat Jan en zijn 8 broers allemaal een van die DNS Servers gebruiken tijdens hun internetgebruik.
Wat staat hen dan te wachten na 5 jaar, in termen van privacy issues ? en de daaruit vloeiende problemen ?
of maken we ons druk om niks,en voldoet je standaard DNS gewoon prima ?
03-04-2018, 19:06 door Anoniem
Door Anoniem: Jammer dat ze FreeDNS zijn vergeten!

https://freedns.zone/en/
Kan je zelf toevoegen aan het script.
Zojuist uitgevoerd en het laat een (gemiddeld) 3-voudige ping tijd zijn tov cloudfare of google
03-04-2018, 19:09 door Anoniem
De kolom privacy mag je met een vaatje zout nemen. Als je een DNS van derden gebruikt geef je aan die partij door welke sites etc. je bezoekt. Gebruik de DNS van je eigen provider, dat is bijna altijd sneller en meer prive. Bij een grote provider gaan je queries op in de massa. De meeste providers loggen geen DNS.

Als je bang bent dat je afgeluisterd wordt, dan is een andere DNS gebruiken sowieso onvoldoende.
03-04-2018, 19:11 door [Account Verwijderd]
Door Anoniem: puur om het feit dat hij googles dns als privacy vriendelijk beschouwt maakt deze hele tabel al onbetrouwbaar

https://developers.google.com/speed/public-dns/privacy
03-04-2018, 19:59 door Anoniem
Door [Account Verwijderd]:
Door Anoniem: puur om het feit dat hij googles dns als privacy vriendelijk beschouwt maakt deze hele tabel al onbetrouwbaar

https://developers.google.com/speed/public-dns/privacy

ja, want googles belofte is ook werkelijk betrouwbaar..... een gevalletje van de slager die zijn eigen vlees keurt als je het mij vraagt.
03-04-2018, 20:24 door Anoniem
Door Anoniem: puur om het feit dat hij googles dns als privacy vriendelijk beschouwt maakt deze hele tabel al onbetrouwbaar

Ja hoe hebben ze dat gecontroleerd?
03-04-2018, 21:12 door katamarom
Een onderschat probleem is dat bij het forwarden naar een externe resolver, zoals deze "free" exemplaren, de forwarding name server zo voorspelbaar wordt dat cache poisoning aanvallen mogelijk worden. Een absolute minimum bescherming is dat de forwarding name server DNSSEC validatie uitvoert. Maar dan moet de externe resolver zelf wel DNSSEC ondersteunen.

En slechts 4 op de 9 (als ik FreeDNS erbij reken) voldoen :
Google : 8.8.8.8 supports DNSSEC : Yes
Cloudflare : 1.1.1.1 supports DNSSEC : Yes
Quad9 : 9.9.9.9 supports DNSSEC : Yes
Umbrella : 208.67.222.222 supports DNSSEC : No (OpenDNS is nu Cisco Umbrella)
Nortondns : 199.85.126.20 supports DNSSEC : Yes
Cleanbrowsing : 185.228.168.168 supports DNSSEC : No
Yandex : 77.88.8.7 supports DNSSEC : No
Comododns : 8.26.56.26 supports DNSSEC : No
FreeDNS : 37.235.1.174 supports DNSSEC : No
03-04-2018, 21:22 door Anoniem
denk dat dns bheerders zelf thuis gewoon de dns van hun isp gebruiken. en naieve securityfreaks zoiets als quad9 of opendns.
03-04-2018, 22:16 door Anoniem
Door katamarom: Een onderschat probleem is dat bij het forwarden naar een externe resolver, zoals deze "free" exemplaren, de forwarding name server zo voorspelbaar wordt dat cache poisoning aanvallen mogelijk worden.

Zo makkelijk ligt dat niet. De grote jongens werken allemaal met anycast adressen en daar achter hele clusters van servers.
04-04-2018, 08:11 door Anoniem

Kan je zelf toevoegen aan het script.
Zojuist uitgevoerd en het laat een (gemiddeld) 3-voudige ping tijd zijn tov cloudfare of google

Welk script ? Ik kan geen script vinden in het originele artikel. Ik wil mijn eigen provider wel eens vergelijken.
04-04-2018, 08:47 door Anoniem
Ik mis https://www.opennic.org OpenNIC in dit verhaal
04-04-2018, 08:53 door Anoniem
Door Anoniem: denk dat dns bheerders zelf thuis gewoon de dns van hun isp gebruiken. en naieve securityfreaks zoiets als quad9 of opendns.

Het gaat ook om snelheid. Met Cloudflare DNS laden mijn internet pagina's merkbaar sneller dan met de DNS van mijn provider.
04-04-2018, 08:56 door katamarom
Door Anoniem:
Door katamarom: Een onderschat probleem is dat bij het forwarden naar een externe resolver, zoals deze "free" exemplaren, de forwarding name server zo voorspelbaar wordt dat cache poisoning aanvallen mogelijk worden.

Zo makkelijk ligt dat niet. De grote jongens werken allemaal met anycast adressen en daar achter hele clusters van servers.

Integendeel :
als een attacker een query ziet komen van 74.125.44.0/24 (en nog veel meer), dan kan hij spoofen met 8.8.8.8;
komt de query van 74.63.24.0/23, dan kan hij spoofen met 9.9.9.9;
...
(anders gezegd : het is helemaal geen kunst om te weten welke servers queries sturen voor welke anycast adressen)

En wat moet in de spoofed reply staan ?
Een forwarding name server kan niet anders dan alles aanvaarden wat in de reply staat.
Een resolver die de DNS hierarchie volgt, heeft nog "not in bailiwick" bescherming (tegen cache poisoning). Maar een forwarding name server heeft die optie niet.
Een reply voor www.visa.com. :
www.visa.com. IN CNAME <-some.domain->
<-some.domain-> IN A a.b.c.d (malicious IP)
maakt bij een resolver die DNS hierarchie volgt, geen kans.
Maar een forwarding name server slikt dit als zoete koek ...

Momenteel is het "echte" antwoord op www.visa.com. ook een CNAME,
maar de authoritatieve NS van visa.com. voegt geen A-records toe.
Die moeten, apart, gehaald worden van de bevoegde ("in bailiwick") authoritatieve name server.
Zoals gezegd : door te forwarden schakel je deze bescherming uit ...
04-04-2018, 09:01 door Patje-RedFan
Door Anoniem: De kolom privacy mag je met een vaatje zout nemen. Als je een DNS van derden gebruikt geef je aan die partij door welke sites etc. je bezoekt. Gebruik de DNS van je eigen provider, dat is bijna altijd sneller en meer prive. Bij een grote provider gaan je queries op in de massa. De meeste providers loggen geen DNS.

Als je bang bent dat je afgeluisterd wordt, dan is een andere DNS gebruiken sowieso onvoldoende.
Waarom denk je dat al veel mensen de DNS van hun provider niet meer gebruiken ? omdat ze al hier en daar websites blokkeren en dat ze OOk jou gegevens loggen.... dus een alternatieve DNS gebruiken doen ze dan.
04-04-2018, 09:07 door Patje-RedFan
Door Anoniem: Misschien ook handig voor huis- tuin- en keukengebruikers om in het modem toegang tot alle overige DNS servers te blokkeren.
Dat heeft weinig zin en help ook niet, want als je deze alternatieve DNS servers instelt op uw pc zelf dan wordt de modem overgeslagen ;)
04-04-2018, 09:25 door Anoniem
Hey hallo mensen,

Ik wil effe zeggen dat een secure DNS instellen pure tijdsverspilling is,en juist je privacy minder zeker maakt.
de (echte) techneuten hier kunnen dit wellicht duidelijk maken
ik gebruik zeer zeker geen alternatieve encrypted DNS servers. door schade wijs geworden,

Prettige dag nog !
04-04-2018, 10:04 door Briolet
Door Patje-RedFan:
Door Anoniem: Misschien ook handig voor huis- tuin- en keukengebruikers om in het modem toegang tot alle overige DNS servers te blokkeren.
Dat heeft weinig zin en help ook niet, want als je deze alternatieve DNS servers instelt op uw pc zelf dan wordt de modem overgeslagen ;)

Juist niet. Een PC kan nooit een modem 'overslaan', tenzij je er ook een 3G/4G dongle in stopt, waarlangs hij het internet op kan.
04-04-2018, 10:13 door katamarom
Door Anoniem:
Door katamarom: Een onderschat probleem is dat bij het forwarden naar een externe resolver, zoals deze "free" exemplaren, de forwarding name server zo voorspelbaar wordt dat cache poisoning aanvallen mogelijk worden.

Zo makkelijk ligt dat niet. De grote jongens werken allemaal met anycast adressen en daar achter hele clusters van servers.

En waarschijnlijk een misverstand : het is niet de cache poisoning van die "grote jongens", maar van de cache van de name server die verplicht wordt te forwarden. Van wie de beheerder zich niet bewust is van het gevaar waaraan hij zijn service bloot stelt.
04-04-2018, 20:26 door Anoniem
In de pihole staat tegenwoordig ook Quad9 erbij, samen met dnssec wellicht een optie om te gebruiken.
05-04-2018, 17:31 door Patje-RedFan
Vb ik stel een DNS in op de pc, dus mijn modem kan die niet tegenhouden.... dat is wat ik bedoel.
05-04-2018, 22:04 door Anoniem
Neem anders ff een kijkje op https://www.grc.com/dns/dns.htm
06-04-2018, 23:32 door Patje-RedFan
Lees hier maar verder :

https://www.computeridee.nl/nieuws/cloudflare-lanceert-privacyvriendelijke-dns-dienst/?utm_source=copernica&utm_medium=email&utm_campaign=CID_Nieuwsbrief_20180406&source=Copernica&profileid=66792
11-04-2018, 17:06 door Anoniem
https://1.1.1.1/
01-10-2018, 13:59 door [Account Verwijderd]
Door Anoniem: De kolom privacy mag je met een vaatje zout nemen. Als je een DNS van derden gebruikt geef je aan die partij door welke sites etc. je bezoekt. Gebruik de DNS van je eigen provider, dat is bijna altijd sneller en meer prive. Bij een grote provider gaan je queries op in de massa. De meeste providers loggen geen DNS.

Als je bang bent dat je afgeluisterd wordt, dan is een andere DNS gebruiken sowieso onvoldoende.

Volgens mij heb je niet zoveel verstand van de gang van zaken tegenwoordig...

Punt 1: Een DNS van je provider is juist in 99% van de gevallen langzamer dan een DNS als Google of Cloudflare. NIET sneller. Jouw provider is niet bezig met een zo snel mogelijke DNS op te zetten, een bedrijf als Cloudflare wat een hele aparte DNS afdeling heeft is dat wel. Daarom is dat in 99% van de gevallen de snelste DNS die er is.

Punt 2: Juist als je meer privacy wil zou je een andere DNS moeten gebruiken. Jouw provider slaat namelijk DNS-verzoeken op en deze kunnen opgevraagd worden (of ze kunnen gehackt worden). Bovendien is steeds vaker in het nieuws dat providers deze informatie delen met derden of zelfs doorverkopen. Een DNS zoals die van Cloudflare is dus wel degelijk privacy-vriendelijker én sneller.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.