Naar jaarlijkse gewoonte stellen we een aantal publieke DNS filters op de proef. Zij bieden een 'veilige' DNS resolver aan waarbij ze malafide domeinnamen blokkeren.

Nieuw in deze test is het zopas gelanceerde DNS4EU, een DNS resolver gemaakt op initiatief van de Europese Commissie.

Lijst van malafide domeinnamen

Opnieuw hebben we op de website van CERT Polen een lijst van 76.956 malafide domeinen gedownload. CERT Polen update deze lijst nog steeds dagelijks. Ook hebben we opnieuw van URLhaus een lijst met malafide domeinen gedownload, goed voor 3.824 domeinen. In totaal leverde dat een lijst op van 80.762 unieke malafide hosts. Meer dan voldoende om een goed beeld te krijgen van hoe goed of slecht de DNS-resolvers presteren.

Geteste DNS-resolvers

Onze lijst met DNS-resolvers ziet er zo uit:

• Cloudflare Public DNS - 1.1.1.1 (ter referentie, ongefilterd)
• ControlD Malware - 76.76.2.1
• Quad9 - 9.9.9.9
• Cloudflare for Families - 1.1.1.2
• UltraDNS Threat Protection - 156.154.70.2
• dns0.eu - 193.110.81.0
• CleanBrowsing Security Filter - 185.228.169.9
• DNS4EU Protective resolution - 86.54.11.1 (nieuw in de test)

Aanpassingen ten opzichte van onze laatste test van 2024:

• Gezien het kleine verschil in resultaten met 'dns0.eu', lieten we 'dns0.eu ZERO' uit de test.
• Norton ConnectSafe haalden we uit de test aangezien Norton deze dienst op pensioen heeft gestuurd.
• Ook 'Comodo Secure DNS' haalde we uit de test wegens tegenvallende resultaten.
• We voegde DNS4EU toe.

Verloop van de test

We schreven voor deze test een eenvoudig Bash script. Dit script deed:

• 10 pings naar iedere DNS-resolver om een gemiddelde ping-tijd te bekomen.
• Een test van 5 gekende websites die zeker niet in de malafide lijst voorkomen om te correctheid van de DNS-resolvers te bevestigen.
• Een controle van ieder malafide domein tegenover de ongefilterde DNS-resovler 1.1.1.1 (Cloudflare) om te controleren of het domein tenminste 1 A-record heeft.
• Als er minstens 1 A-record gevonden werd, dan werd het domein tegenover alle DNS-resolvers getest.
• Als de geteste DNS-resolver een geldig IP-adres retourneerde, dan werd dit in een CSV opgeslagen.
• Retourneerde de DNS-resolver geen waarde of een blackhole IP-adres, dan werd er geen waarde in de CSV opgeslagen. In dat geval gingen we ervan uit dat het domein bij de provider bekend is als 'malafide'.

Resultaten

Cloudflare's unfiltered DNS vond bij 39.160 hosts een A-record. Deze hosts werden aan alle DNS-resolvers aangeboden. Onderstaande tabel geeft weer hoeveel hosts met een geldig IP-adres de DNS-resolver geresolved (niet geblokkeerd) en niet geresolved (wel geblokkeerd) heeft.

Conclusie

ControlD scoorde de voorbije jaren al goed, maar dit jaar hebben ze zichzelf overtroffen. Slechts 7 malafide domeinen glipte door de mazen van hun net.

Ook dns0.eu en CleanBrowsing zetten opnieuw een prima resultaat neer. Een kleine daling zien we voor Quad9, maar dat maakt hen zeker niet minder betrouwbaar.

Hoewel 'Cloudflare for Families' drie keer op rij in een dalende lijn zat, hebben ze een fenomenale inhaalbeweging gemaakt. Zij hebben duidelijk gesleuteld aan hun filter.

UltraDNS scoort het laagste, maar heeft wel een zeer sterke groei gekend. Niet zo sterk als Cloudflare, maar het is een stap in de goede richting.

Nieuwkomer DNS4EU zet vanaf hun eerste jaar een zeer mooi resultaat neer.

Testen bereikbaarheid met RIPE Atlas

RIPE Atlas is een project van RIPE NCC, de organisatie die instaat voor de verdeling van IP-adressen in Europa en het Midden-Oosten. Zij hebben wereldwijd meer dan 13.500 zogenaamde 'probes' actief. Probes zijn singleboardcomputers, vergelijkbaar met een Raspberry Pi, die voor het grootste deel bij consumenten actief zijn. Dus op particuliere netwerken achter B2C internetproviders. Vanaf het RIPE Atlas project kunnen deelnemers 'measurements' lanceren op deze wereldwijde probes. Measurements zijn bv. een ping-opdracht om zo een beeld te krijgen van de bereikbaarheid van een service in een bepaald land, regio of continent. Meer info over dit project (en hoe je zelf een probe kan hosten) kan je vinden op https://atlas.ripe.net.

Iedere getest DNS resolver hebben we onderworpen aan een ping-opdracht door 1000 wereldwijd gespreide probes. Zo krijgen we een beeld van hoe goed de DNS resolver wereldwijd bereikbaar is.

Hierbij een link naar alle resultaten in detail:

• ControlD
• DNS4EU
• UltraDNS
• Quad9
• Cloudflare
• dns0.eu
• CleanBrowsing

In deze test zijn grote verschillen merkbaar. De DNS resolvers van Quad9 en Cloudflare reageren wereldwijd met een lage ping. Deze providers richten zich dan ook op een globaal publiek en niet op een bepaald continent. Dit in tegenstelling tot bv. dns0.eu en DNS4EU wat goed bereikbaar zijn in Europa, maar een hoge ping hebben in andere continenten.

Het gevaar voor false positives

Het werken met malware lijsten van derden, brengt als nadeel met zich mee dat er misschien ook wel domeinen geblokkeerd worden die eigenlijk geen malware zijn. 'false positives' heet dat.

Van Cloudflare Radar hebben we de 'top 1.000' domeinen gedownload. Dit is een lijst van de 1.000 wereldwijd meest opgevraagde domeinen bij de Cloudflare ongefilterde DNS-resolver in de afgelopen 7 dagen. Kunnen we er 100% zeker van zijn dat deze domeinen geen malware domeinen zijn? Neen. Maar aangezien dit de 1.000 grootste websites zijn, kunnen we hier wel vanuit gaan. Daarom zouden alle DNS-resolvers deze domeinen niet mogen blokkeren.

Van de 1.000 domeinen werden er bij 692 aangeboden bij alle DNS-resolvers. Het resultaat? Slechts enkele werden er niet geresolved, dat is bijna verwaarloosbaar en een prima resultaat.

Waarom niet alle 1.000 meest gebruikte domeinen getest konden worden? Omdat sommige domeinen geen A-record retourneerden. Dat komt omdat het domein bijvoorbeeld enkel subdomeinen als 'CDN' of als 'tracker' gebruikt.