Informationsüberfluss ist ein operatives Sicherheitsproblem. Wer heute eine ernsthaft gehärtete DNS-Infrastruktur betreibt, kämpft nicht nur gegen Fehlkonfiguration, Missbrauch, Reflection, frische Schwachstellen, DGA-Muster, missbrauchte Resolver, kaputte Upstreams und die üblichen industriellen Grobheiten des […]
DNS ist die stillste Machtposition des Netzes. Noch bevor ein Browser ein Zertifikat prüft, noch bevor irgendein WAF-Regelwerk greift, noch bevor ein Nutzer auch nur bemerkt, dass etwas schiefläuft, ist die erste […]
Sicherheit im DNS stirbt selten am grossen theoretischen Bruch. Sie stirbt an kleinen Bequemlichkeiten. Ein offener Primary. Ein Zonentransfer im Klartext. Eine TSIG-Konfiguration, die Integrität liefert, aber Vertraulichkeit nicht einmal verspricht. Ein […]
Karlsruhe, 25. November 2025. Ein Datum, das man sich ausnahmsweise notieren darf, ohne sich nachher dafür schämen zu müssen: Das Bundesverfassungsgericht hat per einstweiliger Anordnung eine Idee gestoppt, die so typisch deutsch […]
Grenzen sind das eigentliche Betriebssystem der Sicherheit. Wer so tut, als liesse sich im öffentlichen Internet ein perfektes Schutzobjekt bauen, verwechselt Architektur mit Liturgie. CenturionDNS ist bewusst nicht als Heilsversprechen konzipiert, sondern […]
CHAOS TXT gilt vielen als obskure Fussnote irgendwo im Fossilienkeller des DNS Protokolls, eine Reliktklasse aus Zeiten, in denen man ernsthaft meinte, Klassen wie HS und CH bräuchten eine Zukunft. In der […]
CenturionDNS ist seit Jahren kein Experiment mehr, sondern eine bewusst scharf konturierte Resolverinfrastruktur, die sich gegen den Mainstream der bequemen, datenhungrigen DNS-Dienste stellt. Im Dezember 2025 habe ich an der Oberfläche vergleichsweise […]
Wer im Jahr 2025 noch unverschlüsselte, überlastete oder werbefinanzierte DNS Resolver nutzt, überlässt seine Kommunikationsdaten praktisch im Vorbeigehen fremden Dritten. Der gesamte Webverkehr beginnt mit einer simplen Frage: „Welche IP gehört zu […]
Auf einem typischen Android-Gerät laufen heute parallel: Der Stack RethinkDNS + CenturionDNS + ProtonVPN (Plus) adressiert genau dieses Spannungsfeld: Er versucht, sowohl den Netzwerkverkehr als auch die Namensauflösung unter die eigene Kontrolle […]
Die beste DNS-Resolver-Infrastruktur verliert einen wesentlichen Teil ihres Sicherheitsniveaus, wenn die zugehörigen autoritativen Nameserver unter fremder Kontrolle stehen oder nur mit Minimalstandards betrieben werden. Wer die Integrität und Verfügbarkeit seiner Domains ernsthaft […]
Das Domain Name System ist eine der zentralen Schwachstellen des modernen Internets. Wer DNS kontrolliert, kontrolliert im Zweifel, wohin Verbindungen aufgebaut werden, welche Inhalte ein Nutzer zu sehen bekommt und welche Telemetrie […]
Die jüngsten Aufklärungsoperationen gegen meine DNS-Resolver-Infrastruktur (CenturionDNS) zeigen erneut, wie weit fortgeschritten die Methoden zur systematischen Vermessung offener DNS-Dienste sind. Im Zuge der Analyse der cfpro.ru-Domäne und ihrer assoziierten Anfragewellen habe ich […]
Atributionstabelle zur DNS-Missbrauchsoperation via cfpro.ru 1. Diamond Model of Intrusion Analysis Komponente Beschreibung Adversary Wahrscheinlich chinesischer Akteur mit staatlicher Anbindung (z. B. akademische Einrichtungen, Threat Actor „Muddling Meerkat“) Capability DNS-Aufklärung, Amplification-Testverfahren, globale Erhebung […]
Im folgenden Szenario wähle ich den klassischen DNS-Rebinding-Angriff, der eine Full-Bogon-Adresse (also ein Präfix, das im globalen BGP-Routing nie auftaucht) als Sprungbrett benutzt. Er illustriert exemplarisch, weshalb ein Resolver zwingend die Team-Cymru-Bogon-Liste […]
Nachfolgend skizziere ich einen prototypischen Angriffspfad, bei dem der Angreifer zwar keinen neuen, verdächtigen Domain-Namen registriert, wohl aber eine bereits routbare, aber reputationsbelastete IP-Adresse in Szene setzt. Ein reiner Domain-Filter (AdGuard o. […]
Sicherheit entsteht, wenn man die richtigen Türen abschliesst, bevor der Einbrecher weiss, dass es sie gibt. Seit mehreren Jahren betreibe ich ein zweistufiges DNS-Resolver-Design: Mit dieser Grundarchitektur eliminiere ich bereits 90 % […]