Alternative DNS-Server: Google DNS, Norton DNS, OpenDNS, ClearCloud …

Möglicherweise wissen Sie gar nicht, wozu man DNS überhaupt braucht? Daher zuerst:

Ein kleiner Exkurs: Was ist DNS?

Das Web besteht keineswegs aus Namen wie www.dasendedesinternet.de oder www.facebook.com, sondern nur aus Zahlen, den mit denen kann der Computer umgehen. Damit wir Menschen dennoch Namen verwenden können, existiert ein allgemeines Mache-Namen-zu-Zahlen-Dingsbums, liebevoll Domain Name System (DNS) genannt.

Ein Beispiel: Wenn Sie im Browser die Webadresse www.example.com eingeben, fragt der Browser erst mal Windows: Sach ma, kennst Du die Zahl (IP-Adresse), die zu www.example.com gehört?, aber Windows kennt sie nicht und fragt deswegen seinerseits den nächsten “DNS-Server” (heutzutage: Ihr DSL-WLAN-Router), und der wiederum fragt den DNS-Server Ihres Internet-Zugangsproviders (Telekom, Vodafon, Alice …), und die wiederum haben die Zahlen von anderen Servern, doch das würde zu weit führen und deswegen soll hier das Ziel erreicht sein:

Manuelle DNS-Server-Abfrage: nslookup bei Windows 7

Manuelle DNS-Server-Abfrage: nslookup bei Windows 7, im gezeigten Netz kommt die Antwort vom DNS-Server des DSL-Routers

Ja, der DNS-Server der Telekomiker kennt die Antwort: 192.0.32.10 ist die Zahl (IP-Adresse) von www.example.com, und sobald auch der Herr Browser das endlich mitgekriegt hat, kann er die Seite aufrufen. (Falls es Sie interessiert: Man kann das auch „manuell machen“. Wenn Sie network-tools.com besuchen und eine beliebige www-Adresse eingeben, wird Ihnen das Tool die zugehörige IP-Adresse geben. Dasselbe macht in einer Windows-Eingabeaufforderung das Kommando nslookup www.example.com, siehe Bild rechts.)

Das passiert jedes Mal, wenn Sie eine Webadresse wie rapidshare.com/xyz… eingeben, jedes Mal, wenn Sie auf ein Suchergebnis bei Google klicken (und so eine Webadresse aufrufen) und jedes Mal, wenn eine auf der Website eingebettete Werbung nachgeladen wird oder ein Bild (auch: ein Zähl-Pixel) oder sonst was. Es passiert auch, wenn Ihr Mailprogramm Nachrichten bei pop.gmx.de abholt oder Ihr Messenger seinen jeweiligen Messenger-Server kontaktiert.

Soweit die Basics. Eine besonders verständliche Einführung hat imho Rainer Gerhards hier geschrieben. Mehr DNS-Infos auf Wikipedia, Google, Microsoft , zytrax und diesem Kurs.

Gründe für alternative DNS-Server

Anders gesagt: Sie brauchen einen DNS-Server. Nicht, weil Sie ohne ihn gar nichts könnten: Sie könnten nämlich einfach https://213.251.145.96/ aufrufen, und hätten Wikileaks, oder https://207.46.232.182/, und Sie hätten Microsoft (ganz so einfach ist es nicht, aber grob).

Wer aber soll sich die ganzen Zahlen merken?
Niemand. Der DNS-Server nimmt uns diese Arbeit ab. 
Wozu also wechseln?

Es gibt Gründe. Vielleicht ist der Server der Telekom / Vodafone / 1&1 / Alice … mal nicht erreichbar oder gerade ausgefallen.
Oder Sie mögen ihn einfach nicht.

Domain Name Speed Benchmark

DNS-Benchmark: Bei mir sind die Alternativen tatsächlich schneller

Oder er ist Ihnen zu langsam und sie glauben, dass Googles DNS-Server schneller sind.

Sind die wirklich schneller? Das können Sie für Ihren persönlichen DSL-Anschluss individuell überprüfen: mit Steve Gibsons DNS-Benchmark (der übrigens auch weitere nutzbare DNS-Server nennt). Mit dem habe ich (siehe Bild rechts) mal Google / Norton / OpenDNS gegen 217.237.151.115 / 217.237.148.102 (die meinem Router zugewiesenen Telekomiker-DNSse) antreten lassen. Ergo: Ja, schneller, zumindest bei mir und sofern der Benchmark was taugt, was ich nicht zu beurteilen wage, bei Steve aber angenommen werden darf. (Mac-User greifen zu Namebench für Mac OSX & Windows.)

Oder Sie wollen die Sicherheits-Features von Diensten wie Norton DNS, OpenDNS oder DnyDNS Internet Guide nutzen, nämlich, Webseiten zu blockieren, die man im Hause Symantec oder anderswo für bedenklich hält. Das geht technisch, weil wenn zum Beispiel jeder Webadressen-Aufruf erst über den Norton-DNS läuft, und zugleich Norton infizierte Website-Adressen kennt, der Norton-DNS statt der richtigen Antwort (=der Adresse der möglicherweise infizierten Website) eine Umleitung auf ein Warnschild ausgeben kann. (Ich finde das für Einsteiger gar nicht schlecht.)

Oder Sie wollen ein Netz, der Domainendungen kennt wie .glue oder .free – die es im “normalen Web” nicht gibt. (Das ist einen eigenen Beitrag wert und soll hier nur der Vollständigkeit halber erwähnt sein.)

Wenn das so ist, dann stellen Sie einfach ein, dass Sie einen anderen DNS-Server nutzen wollen. Wie das geht, lesen Sie im Beitrag Alternative DNS-Server für Windows 7, Vista, XP konfigurieren.

Doch erst mal stelle man sich die Frage, ob man das überhaupt möchte.

Gründe gegen alternative DNS-Server

Vertrauen?

Mit der Einrichtung eines alternativen DNS legen Sie ihr Internet komplett in andere Hände. Beispiel: Wenn Sie die Adresse Ihrer Bank eingeben, dann müssen Sie sich darauf verlassen, dass wirklich die Website Ihrer Bank angezeigt wird – doch der DNS entscheidet, welcher Server Ihnen präsentiert wird, wenn Sie die Adresse Ihrer Bank eingeben.

Wird der DNS-Server von einem Gauner betrieben, braucht der sich nicht mehr die Mühe von Phishing-Spams machen: Er leitet einfach die Aufrufe auf seine Phishing-Bank-Sites um, der ein DNS-Server ist ja nichts anderes als ein Umleiter. (Wer nutzt schon https, prüft die Zertifikate?) Bei seinem Provider geht man natürlich davon aus, dass alles korrekt ist, der sitzt im eigenen Land und hat einen Namen zu verlieren. Aber würde ich der DNS-Server-Alternative fooldns.com wirklich trauen? Also neee, ick wees nich….

Firmenzensur?

Können wir wirklich Google/Symantec vertrauen? Gesichtslosen Konzernen ohne Moral oder Ethik? Anders gefragt: Blockiert Norton DNS wirklich nur Malware-Seiten – oder auch meine Website, sobald ich etwas Google/Symantec-kritisches schreibe? Derzeit nicht, jaja, aber wie lange noch? Wehret den Anfängen … etc, predig‘ salbader‘…

Man kann dem entgegenhalten: Können wir normalen DNS-Servern trauen, die von der IANA/ICANN kontrolliert werden? Oder den DNS-Servern schäferhündischer Internet-Zensurprovider? Eben. Und überhaupt: Wenn Google zensiert, freut sich Symantec oder ein anderer Konkurrent … irgendwann wird es einen chinesischen DNS-Server geben, den wir im Westen nutzen müssen, um Wikileaks.org aufrufen zu können.

Damit sind wir auch schon bei:

Norton DNS

Norton DNS: die hier gesperrte Site enthält nur in zweiter Linie Viren, sie enthält aber vor allem Informationen über sie, die automatisch mitgesperrt werden

Freier Zugang?

Ganz grob gesprochen entspricht die „Schutz“-Methode des DNS-Servers von Norton und anderen auch Teilen der Methoden, mit denen man in Diktaturen (China, Iran) Webseiten sperrt. Oder über die man derzeit Wikileaks.org aus der einfachen Zugreifbarkeit kickte. Hmm. Will man das wirklich als „gängige Methode“ in Demokratien etablieren? (Leider: Ja. — Siehe auch KiPo-Scheindebatte. — Und: Würden wir es überhaupt merken, wenn man es heimlich einführte? Nein!)

Man kann dem entgegenhalten: Freiheit oder Sicherheit – beides gleichzeitig ist eben nicht möglich. Und niemand wird gezwungen, zum Beispiel den Norton-DNS zu benützen. (Noch. Aber: DNS-Zensur. Wer sich wirklich in das Thema reinfuchsen will, lese den vorbildlich quellenreichen Beitrag auf datenschutzbeauftragter-online.de.)

Letztlich zeigt die Existenz alternativer DNS-Server, dass ein Bedarf an gewollter Zensur besteht. Das heißt, diese Zensur-Infrastruktur entsteht derzeit schon, ob uns das passt oder nicht.

Mehr noch: Man sollte auch aufpassen, dass man nicht zu schnell “Zensur” schreit. Besuchen Sie zum Beispiel mal die Website https://wiki.opennic.glue/HomePage. Wie Sie sehen, sehen Sie nichts – nur eine Fehlermeldung. Und doch gibt es diese Website. Zensur? Nein. Nur “ein alternatives Web”. Siehe OpenNIC weiter unten.

Datenkraken?

Fallen Daten über uns an? Ja klar. Volle Kanne sogar. Denn ein DNS-Server kennt prinzipiell JEDE Website, für die Sie sich interessieren, kann sich theoretisch jeden einzelnen Aufruf merken und mit Ihnen in Verbindung bringen. Die gefürchteten Nutzerprofile, die man Google gerne unterstellt – für jeden DNS-Server sind sie ein Klacks.

Man kann dem entgegenhalten: Misstrauen Sie da wirklich der armen, geplagten und datenmüden Google-Krake mehr als den rosa Abhörskandal-Telekomikern – oder einem US-Sicherheitsunternehmen wie Symantec, in dessen Führungsetage Ex-NSA-Mitarbeiter sitzen? (Setzen MAD & BND das ein? Glaub ich eher nicht.)

(Gegen DNS-Spione helfen übrigens Anonymizer, allerdings muss man schon sehr paranoid sein.)

Werbung:

Bei einigen Anbietern ist es so, dass wenn man sich bei der Eingabe der Webadresse vertippt – also zum Beispiel https://www.bladkjschnorck.de eingibt, dann kriegt man keine Fehlermeldung der Art Fehler: Server nicht gefunden, sondern die Ergebnisse einer Suchmaschine, die fürsorglich nach bladkjschnorck gesucht hat.

Man kann dem entgegenhalten:
1. Kann man aushalten.
2. Ist eigentlich gar nicht unnütz!
3. TANSTAAFL

Vor allem manchem Mac-User, der mit Telekom surft, ist unangenehm aufgefallen, das Mac-Firefox bei Eingabe einer falschen Webadresse nicht etwa eine Fehlermeldung anzeigt, sondern eine Werbeseite auf Basis eines angenommen Suchbegriffs, den T aus der Eingabe ableitet. Kritiker halten das bereits für problematisch, unanständig und nicht-Internet-konform. Wie auch immer: Auch hier passiert es also bereits. Man muss sich eben ehrlich fragen, was für eine Art von Infrastruktur beim Internet eigentlich vorliegt. Sind das Heilige? Akademiker? Idealisten? Die Matrix? Nö. It’s dezentrales Business.

Google DNS, Norton DNS, Open DNS

Wie Sie den DNS-Server Ihres Rechners ändern, lesen Sie im Beitrag DNS-Server für Windows konfigurieren.

Fragt sich, welchen man nehmen soll… ich habe mir mal einige näher angesehen:

Google Public DNS (Beta)

Google bietet seit 2009 kostenlos einen DNS-Server unter den IP-Adressen 8.8.8.8 und 8.8.4.4 an.

  • Features: schneller als viele Provider-DNSse, sicherer (gegen allgemeine Gefahren wie DDoS-Angriffe; keine Blockade-Funktion)
  • Offizielle Infos: code.google.com/intl/de/speed/public-dns/.
  • Werbung: könnte kommen. Muss aber nicht. Google kann es sich leisten, den Dienst einfach anzubieten.
  • Datenfalle: siehe Privacy Policy. Geht eigentlich in Ordnung, aber wer glaubt das schon? Selbst wenn die Datenkrake diese nicht offiziell sammelt, “huch”, hat halt mal wieder jemand ein Stück Code zu entfernen vergessen, das es dennoch tat. We are so sorry. But not evil.
  • Meine persönliche Meinung: Ich nutze es. Weil ich eh Google-Nutzer bin, also was soll’s. Und es ist spürbar schneller. Nur Paranoide nehmen was anderes.

Norton DNS (Beta)

Symantec Norton DNS läuft auf den Adressen 198.153.192.1 und 198.153.194.1, ebenfalls kostenlos.

  • Features: arbeitet schneller und kann Nutzer vor Malware-Attacken schützen, indem es Seiten, die Malware verbreiten, schon bei der Eingabe ihrer Adresse blockiert. Gleiches gilt für Phishing-Seiten.
  • Offizielle Infos: auf nortondns.com, dort aber Vorsicht: Man braucht das Tool, das da zum Download angeboten wird, nicht wirklich – es geht auch manuell (siehe Anleitung).
  • Werbung: könnte kommen, derzeit gibt es schon Eigenwerbung.
  • Datenfalle: Datensammlung kann nicht ausgeschlossen werden – siehe Privacy Notice.
  • Meine persönliche Meinung: Norton DNS würde ich Einsteigern ohne Geheimnisse durchaus empfehlen, wegen des nützlichen eingebauten Malware-Schutzes. Wieder ein paar Prozent weniger Schmutz, für Omas Notebook oder öffentliche Schulrechner ist das doch völlig okay. Wer Geheimnisse hat, dem rate ich eher ab, ohne dass ich das auf Fakten stützen könnte. Paranoide nehmen das auf keinen Fall.

CCC, FoeBuD

Bild: padeluun, FoeBuD e.VDer CCC betreibt einen nutzbaren DNS-Server auf 213.73.91.35, der FoeBuD auf 85.214.73.63.

  • Features: “unzensierter”, sofern Ihr normaler DNS-Server zensiert wird.
  • Offizielle Infos: siehe CCC und FoeBuD.
  • Werbung: nö.
  • Datenfalle: tja, wer weiß das schon? Ich finde weder da noch dort Infos dazu.
  • Meine persönliche Meinung: Ja klar, Freiheit und gegen Zensur und so, bin ich selbstverständlich dafür. Aber. Man sollte sich klar machen, dass diese Server von einer Hacker-nahen Szene betrieben werden. Das heißt: Unter dem Deckmantel der “Hacker-Ethik” könnten dort durchaus auch weniger ethische Sachen stattfinden. Aus verschiedensten Gründen, angefangen vom Spieltrieb bis hin zu Interessen, die ich nicht unterstellen will. Wir sind alle nur Menschen. Des weiteren sollte man sich vor Augen führen, wo zum Beispiel die Staatsmacht wohl eher ansetzen würde: in Ihrem Keller oder in dem des CCC? Kurz: Paranoide nehmen auch das nicht.

ClearCloud DNS

Der ClearCloud-DNS ist über 74.118.212.1 und 74.118.212.2 nutzbar, kostenlos. Hinter ClearCloud DNS steckt der umtriebige Sicherheitsanbieter Sunbelt Software, das seinerseits zum eher stillen Anbieter GFI Software gehört.

  • Features: blockiert Malware-Seiten.
  • Offizielle Infos: auf www.clearclouddns.com.
  • Werbung: Google-Suchseite bei falscher Webadresse, das übliche.
  • Datenfalle: siehe Privacy Policy.
  • Meine persönliche Meinung: Interessante Alternative, kennt nämlich keiner.

DynDNS Internet Guide

DynDNS ist normalerweise ein Dienst, der feste Webadresse zu wechselnden IP-Adresse zuweist und es so auch Anwendern wie Ihnen und mir ermöglicht, einen Webserver zu betreiben, sofern der Router DynDNS unterstützt. Auf 216.146.35.35 und 216.146.36.36 betreibt DynDNS auch einen DNS-Server.

  • Features: blockiert schädliche Seiten, verspricht der Waschzettel von 10/2009.
  • Offizielle Infos: auf setup.dynguide.com.
  • Werbung: Yahoo-/Theoma-Suchseite bei falscher Webadresse, das übliche.
  • Datenfalle: siehe Privacy Policy, leider keine konkrete für den DNS-Server.
  • Meine persönliche Meinung: Interessante Alternative, kennt nämlich keiner.

OpenDNS

Der kommerzielle OpenDNS läuft auf 208.67.222.222, 208.67.220.220 und anderen, es gibt verschiedene Zugangsstufen, Basic ist kostenlos. Nachteil: Man muss sich offenbar anmelden. Ich hab die Anmeldung nicht ausprobiert, aber die 208.67.222.222 kann man auch ohne Anmeldung nutzen, die Anmeldung ist wahrscheinlich nur für einige Features nötig.

  • Features: arbeitet schneller, kann Nutzer vor Seiten mit Malware, Phishing und so weiter  schützen, Botnets blocken, auch in der Basic-Version. Außerdem gibt es die Möglichkeit für Blacklists und Whitelists, bei Basic zwar in eingeschränkter Zahl, aber für Spezialanwendungen durchaus interessant.
  • Offizielle Infos: auf opendns.com
  • Werbung: wird bei OpenDNS schon heute geschaltet, falls man sich bei der Eingabe einer Webadresse mal verhaut.
  • Datenfalle: siehe Privacy Policy. Etwa so wie die von Norton.
  • Meine persönliche Meinung: Für Firmen, Schulen etc. evtl. interessant.

Nicht zu verwechseln mit OpenNIC:

Sonderfall: OpenNIC

Mit opennicproject.org existiert ein komplettes DNS-Alternativsystem zu “normalen” DNS-Servern. Ein alternatives DNS-System, das sozusagen parallel zum “normalen” besteht, und das (zusätzlich zu den normalen) noch weitere Webadressen kennt, eben zum Beispiel https://wiki.opennic.glue/HomePage. Sie erhalten nur dann (einfachen) Zugang zu diesen Webadressen, wenn Sie 178.63.26.173 & 217.79.186.148 wie hier beschrieben als DNS-Server verwenden (falls das nicht geht: nehmen Sie andere Adressen von hier, am besten solche, bei denen DE steht).

Ein bisschen herumzuOpenNICen ist lehrreich. In diesem Parallel-Web gibt es zum Beispiel Domains, die mit .geek oder .null enden. Und jetzt versuchen Sie mal, über Google oder Yahoo! herauszukriegen, welche .geek-Adressen besonders interessant sind… genau. Geht nicht. Nix wiss. (Ich auch nicht.)

Dieses Beispiel verdeutlicht das System von DNS-Sperren: Die Seiten sind da, eine “Zensur” findet also nicht statt – nur weiß keiner (=keiner der normalen DNS-Server), unter welcher Klarnamen-Adresse sie zu finden wären. Und weil auch Suchmaschinen von lesbaren Webadressen ausgehen (stark vereinfacht), interessiert sie das Parallel-Web nicht. Denn es ist nicht offiziell, das RFC2826 spricht sich (aus praktischen Erwägungen) sogar gegen sie aus.

Das Beispiel verdeutlicht auch den Unsinn dieser Sperren: Um die genannte opennic.glue-Adresse aufzurufen, benötigen Sie nur den DNS-Server des Alternativ-Webs, eben die genannten zwei. Gleiches bei Kinderporno: Zensursula & Co können die deutschen DNS-Einträge sperren lassen (wäre es nicht schlauer, die Macher dingfest zu machen?), aber natürlich könnten kleine und arme Nationen wie Blavazien oder Procegovina ein Geschäftsmodell daraus generieren, spezielle Ausweich-Porno-DNSse anzubieten. (Über die könnte man dann die KiPo-Konsumenten identifizieren, wie praktisch.)

Aber: Ihr Provider kann (rein technisch, und nur in Grenzen) verhindern, dass Sie alternative DNS-Server nutzen können. (Darf der das? Die Debatte zu diesem Thema (das weit über DNS hinaus geht) finden Sie unter dem Stichwort Netzneutralität. (Ein bisschen erinnern mich DNSse an die einstige Macht der Fidonet-Nodelists… (kennt das noch jemand?) Ich selbst hatte, um mit Fido nichts zu tun zu haben, mit einem Freund ein Alternativnetz namens KultNET auf Basis von Fidonet-Technik betrieben, 23:100/2 war die Adresse der damaligen BBS-Version der Kaschemme… aber das ist eine andere Geschichte.)) Es gab übrigens noch andere Versuche, alternative DNSse zu etablieren, etwa ORSN (abgeschaltet), und es gibt sie noch, etwa new.net, name-space.com und andere. Ihr gemeinsames Problem: Sie verkaufen Webadressen, die Sie und ich und Milliarden anderer Normal-DNS-Nutzer möglicherweise niemals sehen werden. Vaporware.

Weitere DNS-Server

Hier ein ganz simpler:

  • DNSResolvers.com macht Plain-Vanilla-DNS ohne Zusätze auf 205.210.42.205 und 64.68.200.200. Ohne Werbung. Wird von easyDNS betrieben.

Die DNS-Server von Commondo und DNS Advantage werden von Neustar betrieben, können also wohl als seriös gelten.

  • Commodo Secure DNS auf 156.154.70.22 und 156.154.71.22 verspricht mehr Speed und Sicherheit via Malware-Website-Filter, übrigens mit der erfreulichen Möglichkeit, anders als bei Norton trotz Warnung das blockierte Ziel aufzurufen (FAQ). Mit Werbung  bei Vertippern (Yahoo-Suche).
  • DNS Advantage auf 156.154.70.1 und 156.154.71.1 verspricht mehr Speed und Stabilität (Malware-Filter geplant). Mit Werbung  bei Vertippern (Yahoo-Suche).

Der Vollständigkeit halber:

  • Level3 betreibt undokumentiert frei nutzbare auf 4.2.2.1, 4.2.2.2, … bis 4.2.2.6. Gewiss seriös, Glasfaser-Gigant.
  • ScrubIT versteht sich ausdrücklich als Webfilter und hat sich dabei auf P0rn0grafie spezialisiert. Anders gesagt: Wer dessen DNS-Server verwendet, kann superrussianxxxp0orntube.com nicht mehr besuchen. Was für ein Verlust!
    Funktionierte bei mir aber leider nicht (der DNS, komplett).
    (Kann das mal jemand ausprobieren und verifizieren?)

Noch mehr alternative DNS-Server

Wer nicht gerade auf seinen Ohren sitzt, hat vielleicht auch was von der DNS-Zensurdebatte mitbekommen. Der CCC hat hierzu eine Liste unzensierter DNS-Server publiziert, etwas ähnliches auch gettoweb.de und ak-zensur.de.

Hinweis an Einsteiger: Man sollte (technisch) wissen, was man tut, bevor man diese “unzensierten”/”alternativen” Systeme verwendet – Einsteigern rate ich davon ab. Bitte, bitte: Wenn Sie sich eher als Einsteiger sehen, was keine Schande ist, dann nehmen Sie, was Sie haben, oder wenn Sie unbedingt etwas ändern wollen, das Symantec-Ding.

Fragwürdige DNS-Server

Fragwürdig heißt nicht böse – nur einer Frage würdig.

  • Visiozone DNS Protection betreibt frei nutzbare DNS-Server auf 74.50.55.161 und 74.50.55.162, sagt die Site.
    Aha.
    Aber wer steckt dahinter? Brasilien?
    Neee … das wär mir zu undurchsichtig, trotz FAQ und auch wegen der etwas knapp-saloppen Privacy Policy.

Allgemein gesprochen: Wenn Sie so gar nicht rauskriegen können, was für ein Unternehmen hinter einem DNS steht, dann lieber die Finger davon lassen.

DNS-Server bei Windows ändern

Wie das geht, lesen Sie im Beitrag Alternative DNS-Server für Windows 7, Vista, XP konfigurieren.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …