Pi-hole incluye un servidor DNS de almacenamiento en caché y reenvío , ahora conocido como FTL DNS. Después de aplicar las listas de bloqueo, reenvía las solicitudes realizadas por los clientes a los servidores DNS ascendentes configurados. Sin embargo, como han mencionado varios usuarios en el pasado, esto genera algunos problemas de privacidad ya que, en última instancia, plantea la pregunta: ¿En quién puede confiar? Recientemente, han aparecido en el mercado proveedores de DNS ascendentes cada vez más pequeños (y no tan pequeños), que anuncian servicios de DNS privados y gratuitos, pero ¿Cómo puede saber que cumplen sus promesas? Bien, no puedes.

Además, desde el punto de vista de un atacante, los servidores DNS de proveedores más grandes son objetivos muy valiosos, ya que solo necesitan envenenar un servidor DNS, pero millones de usuarios podrían verse afectados. En lugar de la dirección IP real de su banco, podría ser enviado a un sitio de phishing alojado en alguna isla. Este escenario ya ha sucedido y no es improbable que vuelva a suceder…

Pi-hole trabaja de dos maneras, instalación estándar utilizando dnsmask o bind, ambas se describen a continuación:

Una instalación estándar de Pi-hole lo hará de la siguiente manera:

1.¿Tu cliente le pregunta al Pi-hole ¿Quién es www.pi-hole.net?

2.Pi-hole comprobará su caché y responderá si ya se conoce la respuesta.

3.Pi-hole comprobará las listas de bloqueo y responderá si el dominio está bloqueado.

4.Dado que ni 2. ni 3. son verdaderos en nuestro ejemplo, Pi-hole reenvía la solicitud a los servidores DNS ascendentes externos configurados .

5.Al recibir la respuesta, Pi-hole responderá a su cliente y le dirá la respuesta a su solicitud.

6.Por último, su Pi-hole guardará la respuesta en su caché para poder responder más rápido si alguno de sus clientes vuelve a consultar el mismo dominio.

Una instalación de Pi-hole+Bind funciona de la siguiente manera:

1.¿Tu cliente le pregunta al Pi-hole ¿Quién es www.pi-hole.net?

2.Pi-hole comprobará su caché y responderá si ya se conoce la respuesta.

3.Pi-hole comprobará las listas de bloqueo y responderá si el dominio está bloqueado.

4.Dado que ni 2. ni 3. son verdaderos en nuestro ejemplo, Pi-hole delega la solicitud al solucionador de DNS recursivo (local).

5.Su servidor recursivo enviará una consulta a los servidores raíz DNS: «¿Quién está manejando .net?»

6.El servidor raíz responde con una referencia a los servidores de TLD para .net.

7.Su servidor recursivo enviará una consulta a uno de los servidores DNS de TLD para .net: «¿Quién está manejando pi-hole.net?»

8.El servidor de TLD responde con una referencia a los servidores de nombres autorizados para pi-hole.net.

9.Su servidor recursivo enviará una consulta a los servidores de nombres autorizados: «¿Cuál es la IP de pi-hole.net?»

10.El servidor autorizado responderá con la dirección IP del dominio pi-hole.net.

11.Su servidor recursivo enviará la respuesta a su Pi-hole que, a su vez, responderá a su cliente y le dirá la respuesta a su solicitud.

12.Por último, su Pi-hole guardará la respuesta en su caché para poder responder más rápido si alguno de sus clientes vuelve a consultar el mismo dominio.

Puede imaginar fácilmente cadenas aún más largas para subdominios a medida que el proceso de consulta continúa hasta que su resolutor recursivo llega al servidor autorizado para la zona que contiene el nombre de dominio consultado. Es obvio que los métodos son muy diferentes y la propia recursividad es más complicada que «simplemente» preguntar a algún servidor ascendente. Esto tiene ventajas e inconvenientes:

• Beneficio: Privacidad: como está contactando directamente con los servidores receptivos, ningún servidor puede registrar completamente las rutas exactas que está siguiendo, ya que, por ejemplo, a los servidores DNS de Google solo se les preguntará si desea visitar un sitio web de Google, pero no si visite el sitio web de su periódico favorito, etc.

• Inconveniente: atravesar la ruta puede ser lento, especialmente la primera vez que visita un sitio web; mientras que los proveedores de DNS más grandes siempre tienen respuestas para los dominios de uso común en su caché, tendrá que atravesar la ruta si visita una página por primera vez. hora. La primera solicitud a un TLD anteriormente desconocido puede demorar hasta un segundo (o incluso más si también usa DNSSEC). Las solicitudes posteriores a dominios bajo el mismo TLD generalmente se completan en < 0.1s. Afortunadamente, tanto su Pi-hole como su servidor recursivo estarán configurados para un almacenamiento en caché eficiente para minimizar la cantidad de consultas que realmente deberán realizarse.