DNS-baserad blockering förklarad — hur det fungerar och varför det kringgås enkelt

DNS (Domain Name System) är internets telefonbok. När du skriver thepiratebay.org i din webbläsare frågar din enhet en DNS-server: "Vilken IP-adress hör till detta domännamn?" DNS-servern svarar med exempelvis 104.18.12.34, och din webbläsare ansluter till den IP-adressen.

ISP-blockeringar i Sverige är nästan uteslutande DNS-baserade. Patent- och marknadsdomstolens förelägganden kräver att leverantörerna returnerar felaktigt svar — antingen NXDOMAIN ("finns inte") eller en omdirigering till en informationssida — när en kund slår upp en blockerad domän. Din internetleverantörs DNS-servrar är konfigurerade att ljuga om dessa specifika domännamn.

Varför är detta enkelt att kringgå? Därför att DNS-servern är ett fritt val. Din enhet behöver inte använda din ISP:s DNS-server. Cloudflares 1.1.1.1, Googles 8.8.8.8 eller det integritetsfokuserade Quad9 (9.9.9.9) är alla fria, offentliga DNS-servrar som inte implementerar ISP-blockeringarna. Att byta DNS-server tar ungefär två minuter och kräver inga tekniska förkunskaper.

Det finns tekniska varianter av blockeringar som är svårare att kringgå. Deep Packet Inspection (DPI) kan analysera krypterat TLS-handshake och läsa SNI-fältet (Server Name Indication) som avslöjar måldoman även i krypterad trafik. ESNI och ECH (Encrypted Client Hello) är nyare protokoll som krypterar även SNI — men ISP-implementering av dessa är ännu inte standard.

IP-blockering är en annan metod — att blockera trafik till specifika IP-adresser snarare än domännamn. Mer robust mot DNS-kringgående men skapar collateral damage om den blockerade IP-adressen delas med legitima sajter (vilket är vanligt med CDN-tjänster).

I praktiken är svenska ISP-blockeringar av Pirate Bay som ett lås på en öppen dörr. De uppfyller domstolsföreläggandena formellt och hindrar oinformerade användare, men erbjuder inget reellt tekniskt hinder för den som vet vad DNS är.