Verständnisfragen zu DNS

Hallo,

ich habe 3 Verständisfragen zum „Zusammenspiel“ zw. Adblockern/Firewalls auf PC bzw. Smartphone/Tablett und Pihole:

Ich sehe eine Verbindung im Pihole, z.B.zur domain xy.com - geblockt oder auch nicht - je nach meinen Voreinstellungen.
Jetzt blocke ich diese Domain z.B. auf einem Ipad mit Adguard oder mit Netguard oder Adaway auf einem Androidphone. Bei erneutem Aufruf dieser Domain sehe ich diese Domain nicht mehr im Log von Pihole.

a)
Läßt dies den Schluß, dass diese Domain lokal auf den Geräten erfolgreich geblockt wurde?

b)
Wenn ich ich diese Domain weiter in Pihole angezeigt bekomme ist dann der Umkehrschluß korrekt, dass diese Domain lokal auf meinem Gerät von der lokalen Firewall bzw. Hostdatei nicht geblockt werden konnte - z.B. das VPN umgangen wurde?

Zeitweise muss ich Apps einsetzen, die Tracker enthalten. Diese Tracker lassen sich ja mit Exodus-Privacy bzw. der App Classyshark ermitteln. Ist ein Eintrag in der Hostdatei auf dem PC/in Adaway auf dem Phone bzw. in den Listen von Netguard in der Lage diese Tracker zu blocken?
Oder werden diese Einträge umgangen:
Beispiele: 3com.google.android.gms.analytics; 34com.google.ads;157.adjust.sdk.

Kann Pihole sie blocken oder passieren sie ihn z.B. durch direkten Aufruf der IP?

Gibt es zu diesen Fragen Erfahrungen?
Mir ist klar, dass erst ein Mitschnitt des Traffics ein exakter Beweis ist.
Dessen Interpretation erfordert aber wohl einige Erfahrung.

1. a) Höchstwahrscheinlich ist das so, ja.
   b) Ja, die DNS-Anfrage wurde dann definitiv nicht geblockt. Mit der Firewall (z. B. Netguard) hat das i. d. R. nichts zu tun. Die würde man normalerweise nicht auf Paketinhalte ansetzen, wie hier z. B. die Inhalte der DNS-Pakete.

2. Du kannst mit DNS-Filter-Programmen (aka DNS-Sinkhole: z. B. Pi-hole, Adaway, Adguard; nicht aber Netguard) die Domains blocken, die die Tracker versuchen aufzulösen. Allerdings ist dabei die Schwierigkeit, zu allen Trackern alle zugehörigen Domains zu finden und diese stets aktuell zu halten.

3. Es besteht für Tracker oder Programme die Möglichkeit, IP-Adressen direkt anzusprechen oder eigene DNS-Server zu verwenden, um deine DNS-Blockversuche zu umgehen, aber das findet zum Glück noch nicht häufig statt. D. h. ein DNS-Sinkhole ist ziemlich effektiv. Schwierig ist es allerdings, zu bemerken, wenn das DNS-Sinkhole umgangen wird – das Sinkhole selbst merkt das nämlich nicht.

Es gibt noch einen DNS Cache, möglich, das dieser noch greift und daher es nicht angezeigt wird.

Vielen Dank für eure Antworten Bummelstein und Tealk!
@ Bummelstein:
Eine ähnliche Frage wurde mal von einem User im alten Forum gestellt. Leider finde ich den Thread nicht mehr, in dem sie eingebettet war. Dort wurde, Bummelstein dieser unmittelbare Zusammenhang - s. meine Frage 1. - verneint. Ich denke, diese Antwort stammte dort auch von einem Moderator. Leider habe ich damls beim Lesen die Begründung nicht verstanden.
Deinen Hinweis, dass dies mit einer Firewall nichts zu tun habe, verstehe ich z.B. im Hinblick auf Netguard nicht ganz. Dort kann man ergänzend ja Filterlisten einpflegen, also doch ein gleiches oder zumindest ähnliches Prinzip in dieser Hinsicht wie DNS-Blocking, auch wenn Netguard natürlich noch mehr kann. Oder verstehe ich da was falsch?
Generell hilft mir deine Bejahung meiner Vermutung sehr, da ich mich mit der Deutung eines Trafficmitschnittes schwer tue und somit die Logs in Pihole ein wichtiger Anhaltspunkt für mich sind, was da so raus geht. Und ja, der Pi kann umgangen werden - Bsp. Torbrowser tut es - dort gut
und oft hilfreich, sonst zumeist leider.

@ Tealk:
Der Hinweis auf den Cache war eine wichtige Erinnerung in diesem Zusammenhang.
Der läßt sich ja leicht in der GUI selbst oder mit „pihole restartdns“ flushen.

Bei Adaway ja. Das blockiert auf DNS-Ebene. (Adguard kenne ich nicht - wahrscheinlich aber auch ja.)

Bei Netguard nein. Das ist eine Firewall und blockiert auf IP-Ebene. Siehe FAQ.

Nein. Das sind (Java?) Package-Namen aus der Programmierung und haben mit Domain-Namen nichts zu tun. (Auch wenn sie eine Punkt-Notation haben.)

Nachtrag: ich habe Deine Frage so verstanden, dass Du direkt den Package-Namen blockieren möchtest. Das geht nicht.

Was natürlich weiterhin geht ist, die Domains (und somit die Tracker) mit Adblockern/Firewalls zu blockieren, die diese Packages aufrufen.

Dto. siehe 2.

Ohne die konkrete Frage lässt sich das schwerlich aufklären.

Wie @trip schreibt, arbeitet Netguard ganz anders als die anderen Programme. In den FAQ kannst du nachlesen, dass es sämtlichen DNS-Traffic erlaubt. Daher bietet es sich an, Netguard und Pi-hole (oder Adguard oder Adaway) getrennt zu betrachten. Z. B. kann es passieren, dass Pi-hole die Domain auflöst – was du dann als erfolgreiche Anfrage im Log siehst – und Netguard als Firewall trotzdem die Verbindung blockt.

@Tealk meinte sicherlich den Cache des Gerätes (Handy etc.), der bei zeitlich nah beieinanderliegenden DNS-Anfragen genutzt wird, sodass du nur die erste davon im Pi-hole siehst. Ein Neustart schafft zuverlässig Abhilfe.

Ich sehe gerade, dass ich oben Netguard als DNS-Sinkhole bezeichnet habe. Den Fehler habe ich korrigiert.

Erstmal vielen Dank an trip und bummelstein zu den Antworten!

Ja, dann hatte ich das mit dem Cache wohl falsch verstanden,Bummelstein.
Leider verstehe ich immer noch nicht völlig die Hinweise zu Netguard.
Eigentlich wollte ich zu Netguard mal ein neues Thema aufmachen.
Aber da es um ein besseres Verständnis von DNS geht, passt mein Nachfragen vielleicht doch auch in diesen Thread.
Mir ist klar, dass eine Firewall IP-Adressen blockt, Pihole/Adaway u.a. eben nicht.
Aber in Netguard kann z.B. ein Hostliste mittels netguard.me/host heruntergeladen werden, die exakt einer Hostliste wie z.B. auf dem PC entspricht - Einträge wie z.B. „0.0.0.0 doubleclick.net“.
Der Link hierzu: https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
Weitere Listen können ja bekanntlich in Netguard angehängt werden, und Netguard führt die Listen zusammen.

Nach euren Ausführungen und meinem bisherigen Verständnis benutzt Netguard diese Listen u.a. als (weitere) Grundlage, Domainzugriffe im VPN-Tunnel zu blocieren. Korrekt oder nicht?
Und klar, es gibt eben weitere Optionen zu den einzelnen Apps in den Einstellungen von Netguard.
2.
@trip: Wieso kann Netguard blocken und Pihole die Anfrage weiter geben?
Die Anforderung geht doch vom Phone durch das VPN von Netguard.
Wenn dort z.B. „doubleclick.net“ geblockt wird – entweder in den Einstellungen für die App, die anfragt, z.B. ein Browser – oder durch den Eintrag in der Hostliste auf dem Phone – dürfte doch die Anfrage gar nicht erst Pihole erreichen?
3.
eider empfinde ich die FAQ von Netguard an einigen Stellen als ungenau.
Hier nur so viel:Trotz der Übernahme von Mike’s Empfehlungen 2 DNS-Server in Netguard zusätzlich zu ergänzen, sehe ich eine Reihe von von Domainanfragen in Pihole wieder, die in der umfangreichen Hostdatei von Netguard mit 0.0.0.0 eingetragen sind.Ähnliche Erfahrungen hatte ich übrigens auch mit Adguard unter IOS.
Zur Erklärung für Netguard:
Als einen der beiden zusätzlichen DNS-Server habe ich für das WLAN Pihole in Netguard eingegeben – sozusagen u.a. zur „Effizienzkontolle“.

Wenn es so ist, dass die Domain auf dem anfragenden Gerät nicht geblockt wurde, falls die Anfrage in Pihole erscheint, dann wären die in Pihole gelisteten Logs sozusagen eine „Qualitätskontrolle“ der vorgeschalten Firewalls/ Hostdateien auf welchem Gerät und welcher Art auch immer.

Das kann ich auf dem PC mit der dortigen Hostdatei auch insoweit nachvollziehen: Läßt sich eine Webseite im Browser nicht korrekt darstellen, schalte ich die Hostdatei ab und sehe bei erneutem Aufruf (zumeist) in den Pihole-Logs, was geblockt wird und kann dann weiter entscheiden.

Entschuldigung, wenn ich das nochmal so ausführlich darstelle.
Möglicherweise sitze ich ja einem grundlegenden (DNS-)Mißverständnis auf, das ich gerne auflösen möchte.
Klar ist mir, dass eine netzweite Firewall die optimale Lösung wäre, was bisher aus verschieden Gründen leider nicht funktionierte.

Vielen Dank für alle Erklärungen und eure Geduld!

Es kommt letztendlich darauf an, was Du unter „Domain blockieren“ verstehst.

1. Die Namensauflösung (Übersetzung Domain-Name in IP-Adresse) zu unterbinden? Oder

2. Kontakt zur Maschine, die einen Teil des Services der Domain anbietet, anhand deren IP-Adresse zu unterbinden?

Das ist übrigens die grundlegende Sequenz für jeden namensbasierten Verbindungs-Aufbau.

Adaway, wahrscheinlich Adguard, Pi-Hole, Hosts-Datei auf Deinem PC machen ersteres.

Netguard letzteres. Dazu braucht Netguard IP-Adressen. Nach der FAQ baut es sich eine Liste entsprechender IP-Adressen (immer wieder) neu auf. Dafür benötigt es die Namensauflösung. Gerade für die zu blockierenden „Domains“ (genauer, die IP-Adressen der jeweiligen Maschinen in der Domain).

Aus der Hosts-Datei holt sich Netguard nur die Domain-Namen und ignoriert den Rest.

Hier nochmal der relevante Abschnitt:

NetGuard blocks unlike any other Android firewall on real domain names. For this a list of domain names and IP address needs to be built. For this purpose, NetGuard allows all DNS traffic, even if the domain name is listed in the hosts file. However, this doesn’t mean traffic to the resolved IP address is allowed.

Vielen Dank Trip für die für mich erhellende Erklärung.

Die Schlußfolgerungen wären nach meinem bisherigen Verständnis in Zusammenfassung eurer Antworten auf meine Fragen dann so:

Hostdateien auf einem Gerät können hinsichtlich ihrer Filtereffizienz mit Pihole kontrolliert werden. Was auf dem Gerät per Hostdatei nicht geblockt werden konnte erscheint als Log in Pihole – abgesehen von Einflüssen durch Caching (Hinweis von Tealk).

Eine Firewall kann in ihrer Filtereffizienz nicht(!) durch die Logeinträge in Pihole
überprüft werden.Sie sendet an den Resolver die Anfrage, welche IP sich hinter der blacklisted Domain – z.B. „doubleclick.net“ - verbirgt und blockt dann die vom Resolver zurück gemeldete IP – oder, wenn die Domain whitelisted ist, lässt die Anfrage durch.(Beispiel FW Netguard).

Als Nebenaspekt aus 2. ließe sich dann folgern, dass eine in der FW blacklisted Domain praktisch „doppelt geblockt wird“, wenn sie auch in Pihole blacklisted ist.

Die Effizienz einer Firewall auf einem Gerät kann nur durch die Logs einer vorgeschalteten Netzfirewall bzw. v.a. durch einen Trafficmitschnitt korrekt eingestuft werden.

Sind diese Schlußfolgerungen so korrekt?
Könnte jemand von euch bitte nochmal dazu Stellung nehmen bzw. ggf.korrigieren/ergänzen?

Vielen Dank für alle Erklärungen.

1. Streng genommen nein, da du es nicht bemerken würdest, wenn das Pi-hole zeitgleich umgangen würde. Probabilistisch betrachtet bzw. aller Wahrscheinlichkeit nach jedoch schon, wenn du dir sicher bist, dass das Pi-hole als Nameserver verwendet wird, z. B. weil du die Anfragen zuvor dort gesehen hast.

2. Korrekt. Die Effizienz kannst du damit schon gleich gar nicht überprüfen, aber die Effektivität auch nicht.

3. Übersimplifiziert ja, aber eigentlich nein, weil die Begriffe nicht korrekt sind. Netguard blockt keine Domains, sondern IP-Adressen. Es macht es dir nur leichter, indem es dich Domains eintragen lässen und du dich nicht darum kümmern musst, welche IP-Adressen sich dahinter verbergen und wann und ob diese sich ändern. Ich würde eher sagen, du hast dann zwei Stufen, eine Verbindung zu $domain zu verhindern.

4. Nein, damit überprüfst du die Effektivität. Effizienz könnte man z. B. über das Verhältnis von der Anzahl der bearbeiteten Anfragen zur aufgewendeten CPU-Zeit messen (siehe: Unterschied Effektivität / Effizienz).

Vielen Dank Bummelstein für die Klarstellungen - auch zu den sprachlichen Feinheiten.
Nach dem Duden kann man wohl Effizienz und Effektivität synonym verwenden.
Aber ja, es gibt Unterscheide, die ich beim Schreiben nicht bedacht habe.
Ich bin halt kein Wirtschaftswissenschaftler. Dem wäre es sicher nicht unterlaufen.

https://www.studihub.de/effektivitaet-und-effizienz-das-ist-der-unterschied/

Die beiden Begriffe Effektivität und Effizienz werden oft synonym verwendet – laut Duden ist das auch erlaubt. Die Wirtschaftswissenschaften sind in diesem Fall aber genauer und stellen einen klaren Unterschied zwischen diesen zwei Begriffen fest.

Vielen Dank nochmal an alle, die geantwortet haben! Diese haben mir sehr weiter geholfen!

bummelstein hat bereits schon fundiert geantwortet. Eine Sache ist mir noch wichtig mit den hier verwendeten Begriffen.

Vorsicht! Nur weil Netguard eine Firewall ist (genauer eine Paketfilter-Firewall), und sich so verhält, wie Du beschreibst, gilt der Umkehrschluss noch lange nicht, dass jede Firewall sich so verhält.

Firewalls lösen i.A. keine Namen auf. Das ist eine zusätzliche Besonderheit von Netguard - weil es als Android-VPN-Dienst zusätzlich Zugriff auf diese Informationen hat und diese auf intelligente Weise nutzt.

Die Firewalls, die ich in meinem Heimnetz nutze, machen und können das nicht (AFWall+, ufw, IPfire, nftables/iptables). Die arbeiten, wenn überhaupt, mit quasi-statischen IP-Adresslisten.

Natürlich könnte man die erweitern, benötigt dann aber zusätzlich Deep Packet Inspection oder man hat gleich eine Application Layer Firewall oder … sicher gibt es noch weitere Varianten.

Das wird dann übrigens woanders plötzlich auch wieder „Firewall“ genannt. So weit wie ich das wahrgenommen habe, wird hier aber im Forum (und auch schon in seinem Vorgänger) unter Firewall eine Paketfilter-Firewall verstanden.

Vielen Dank @ Trip für die ergänzende Begriffsschärfung!
Nochmal, die Antworten in diesem Thread haben mir ein gutes Stück weiter geholfen.
Super! Danke!

Ich hoffe das passt hier.

Es gibt ja im Kuketz-Blog eine Liste vertrauenswürdiger DNS-Server.
Einige davon haben als Provider aber Cloudflare und/oder haben ihren Sitz in den USA.

Für mich ist das nicht vertrauenserweckend.
Z. B. blahdns.com IP lt. dataskydd.net und Ip Location
Provider CLOUDFLARENET
AdGuard auch.

Das irritiert mich.

Ich finde in der Empfehlungsecke zu DNS weder Blahdns noch AdGuard. Adguard wird für iOS empfohlen, weil es eine der wenigen gangbaren Methoden für iOS ist und ein lokales VPN aufspannt, d.h. nicht mit einem externen Endpunkt kommuniziert.

Stimmt! Das muss ich offiziell um Verzeihung bitten.

Das war die Liste vom privacy Handbuch.

Tut mir leid, ich nehme alles zurück und behaupte das Gegenteil.

Verständlich: weitere Hintergründe zu CloudFlare hier im Forum:
Cloudflare - nun überall … ? Entscheidet die Größe eines Unternehmens über … dessen Gefährlichkeit für persönliche Daten?