Door Anoniem: Is een pihole met de optie DHCP ingeschakeld (in pihole) geen goede oplossing van dit probleem?
Ik neem aan dat je bedoelt dat de PiHole (i.p.v. modem/router) als DHCP server werkt en daar ook daadwerkelijk voor gebruikt wordt. Dat helpt wellicht iets. Je kunt overigens in de meeste PC-besturingssystemen zelf DNS-servers configureren (daarmee de via DHCP verstrekte DNS-server gegevens negeren).
Maar persoonlijk zou ik niet willen dat iemand vanaf internet iets in mijn router kan wijzigen. Zelfs als aanvallers aanvankelijk alleen maar DNS-server instellingen kunnen wijzigen, loop je het risico dat de router zelf op onveilige wijze op updates checkt (via http, of via https maar het servercertificaat niet goed controleert) en updates niet of onvoldoende checkt op authenticiteit.
Zodra criminelen verdergaande toegang tot een router hebben (en software kunnen toevoegen of zelfs firmware vervangen) en zij netwerkverkeer kunnen sniffen en/of netwerkpakketjes wijzigen (inclusief, on-the-fly, IP-adressen van internetservers) en/of verkeer met specifieke servers blokkeren (OS updates, antivirus updates, OCSP/CRL's, ntp etc.) kan dat al flinke consequenties hebben voor apparatuur aan je LAN of Wi-Fi. Er is nog steeds veel software (ook apps op smartphones/tablets) die via niet-authenticeerde protocollen communiceert of certificaten niet goed checkt, en blokkeren kan ongeacht het gebruikte protocol.
M.a.w., zelfs als je DoH hebt ingesteld in jouw browser, een domeinnaam zoals
example.com intikt (zonder https:// ervoor) en de browser daar een correct IP-adres voor ontvangt, kan jouw router (met NAT aan de internetzijde) jou nog steeds met een andere server laten verbinden. Als dat een server is die HSTS ondersteunt en die je niet te lang geleden met die browser hebt bezocht, lukt zo'n aanval niet (je ziet dan een certificaatfoutmelding die je niet kunt omzeilen). Maar helaas ondersteunen nog steeds veel servers HSTS niet of niet op correcte wijze, en er zijn er nog zeer veel servers die (tevens) ongeauthenticeerde verbindingen (zoals http i.p.v. https) ondersteunen.
Tip 8: zorg dat je router up-to-date is qua patches. Koop een nieuwe als er geen support meer voor is. En zorg dat er niet vanaf internet op kan worden ingelogd en je, ondanks het voorgaande, sowieso het standaard admin-wachtwoord ervan gewijzigd hebt (om CSRF aanvallen te bemoeilijken). Wees alert op "vreemde gebeurtenissen" zoals de persoon in
https://www.bleepingcomputer.com/forums/t/715480/coronavirus-dns-router-hijack-covid-19-informator-browser-extension/. Kijk af en toe in je router of de juiste instellingen er nog staan.