Kortversjonen: kryptering skjuler hva du sier. En VPN skjuler hvem du snakker med – fra det lokale nettverket. Men ingen av delene skjuler at du snakker, hvor ofte, hvor mye data som flyter, og når. Et lokkenett oversvømmer den metadata-kanalen med troverdig støy, slik at signalet (din ekte nettlesing) statistisk sett ikke kan skilles fra støyen (falsk trafikk). Konseptet er ikke nytt – militæret har brukt elektromagnetiske lokker og falsk radiotrafikk siden andre verdenskrig – men det er nytt som et verktøy for forbrukerpersonvern. Dette innlegget forklarer konseptet fra grunnen av, viser hvor det passer inn i personvernets forsvarsstabel, og er ærlig om når du trenger det og når du ikke gjør det.
Overvåkingsproblemet VPN-er ikke fullt ut løser
En VPN oppretter en kryptert tunnel mellom enheten din og VPN-leverandørens server. Fra nettleverandørens perspektiv ser de bare en strøm av krypterte bytes som går til én enkelt IP-adresse – VPN-endepunktet. De kan ikke lenger se destinasjonsnettstedene, DNS-forespørslene eller innholdet i trafikken din. Det er en reell og meningsfull forbedring sammenlignet med ingen beskyttelse i det hele tatt.
Men nettleverandøren ser fortsatt flere ting. De ser at du bruker en VPN – tilkoblingsmønsteret er særegent og endepunkt-IP-ene for store VPN-leverandører er godt katalogisert. De ser når du er pålogget. De ser hvor mye data som flyter og i hvilken retning. De ser tidsmønstrene: opphopninger av små forespørsler (nettlesing), vedvarende nedlastinger med høy båndbredde (strømming), periodiske små pakker (meldinger). Og de ser når du starter og slutter å bruke VPN-en.
Den metadataen – trafikkens form, volum og timing snarere enn innholdet – er ofte nok til å slutte seg til atferd. Akademisk forskning har vist dette gjentatte ganger. En artikkel fra 2014 fra University of Washington viste at Netflix-titler kunne identifiseres gjennom en kryptert tunnel ved å analysere bithastighetermønsteret for adaptiv strømming alene. En studie fra 2016 ved Georgetown University demonstrerte fingeravtrykksangrep på nettsteder som kunne identifisere spesifikke besøkte sider gjennom Tor med over 90 % nøyaktighet ved å analysere pakketiming og -størrelser. Innholdet var kryptert; metadataen var ikke det.
Denne klassen av angrep – å slutte seg til atferd fra trafikk-metadata uten å lese innholdet – kalles trafikkanalyse. Det er gapet som VPN-er alene ikke lukker, og det er problemet lokkenett er utformet for å løse.
Hva er trafikkanalyse og hvorfor er det viktig?
Trafikkanalyse er praksisen med å hente ut etterretning fra de observerbare egenskapene ved kommunikasjon – hvem som snakker med hvem, når, hvor ofte og hvor mye – uten å lese innholdet. Det går forut for internett med flere tiår. Under andre verdenskrig sporet allierte etterretningsenheter aksemaktenes flåtebevegelser ved å analysere radiooverføringmønstre (frekvens, timing, volum) selv når de ikke kunne dekryptere selve meldingene. Teknikken fungerte fordi kommunikasjonsmønstre er iboende informative: en plutselig økning i radiotrafikk fra en marinebase betyr vanligvis at en flåte er i ferd med å bevege seg, uavhengig av hva meldingene sier.
På det moderne internett tar trafikkanalyse flere former:
- Fingeravtrykk på nettsteder: hvert nettsted produserer et særegent trafikkmønster – en spesifikk sekvens av pakkestørrelser og tidspunkter når siden laster ressurser (HTML, CSS, JavaScript, bilder, skrifter). En observatør som har profilert nok nettsteder kan matche din krypterte trafikk mot dette biblioteket av fingeravtrykk og identifisere hvilke nettsteder du besøkte, selv gjennom en VPN eller Tor.
- Flytkorrelasjon: hvis en observatør kan se trafikk som går inn i VPN-en og trafikk som går ut av VPN-en (for eksempel en nettleverandør i ett land og en samarbeidende nettleverandør i destinasjonslandet), kan de korrelere timing og volum for å koble de to endene av tunnelen. Dette kalles et «ende-til-ende-timingangrep» og er en av de kjente svakhetene ved lavlatensnetts anonymitetsnettverk som Tor.
- Atferdsmessig slutning: et regelmessig mønster av små DNS-forespørsler etterfulgt av en opphopning av data hver morgen kl. 07.00 er noen som sjekker nyheter. En vedvarende strøm med høy båndbredde hver kveld er noen som ser på video. Korte toveis dataopphopninger er meldinger eller talesamtaler. Ingen av disse krever at man leser innholdet.
- Volumanalyse: å laste ned en 2 GB-fil er særegent selv gjennom kryptering. Volumet alene innsnevrer mulighetene. En portal for medisinske journaler overfører en bestemt mengde data per besøk; et banksted overfører en annen mengde. Med nok eksempler blir volumsmønstre identifiserende.
Implikasjonen: kryptering og VPN-er beskytter innholdet i trafikken din, men lar formen på trafikken din være eksponert. Trafikkanalyse utnytter formen. Mottiltaket er å endre formen – enten ved å polstre ekte trafikk til en jevn profil, eller ved å legge til falsk trafikk som gjør den ekte trafikkens form ugjenkjennelig. Den andre tilnærmingen er hva et lokkenett gjør.
Hvordan et lokkenett fungerer – de tre komponentene
Et lokkenett er ikke én enkelt teknikk – det er et system bygget av tre komponenter som virker sammen. Hver er nødvendig; ingen er tilstrekkelig alene.
1. Trafikkgenerering
Systemet genererer nettverksforespørsler – DNS-oppslag, HTTP/HTTPS-tilkoblinger, dataoverføringer – som ser ut som ekte brukeraktivitet. Nøkkelordet er «ser ut som». Enkle tilnærminger (å forespørre den samme URL-en med jevne mellomrom) er trivielt skjellbare fra ekte nettlesing; sofistikerte tilnærminger randomiserer destinasjoner, timing, forespørselsstørrelser og tilkoblingsmønstre for å etterligne menneskelig atferd. Trafikkgenereringskomponenten trekker fra en pool av troverdige destinasjoner (ekte nettsteder, ekte innholdstyper) og varierer forespørselsmønsteret slik at ingen enkel statistisk test kan skille lokkeforespørsler fra ekte.
2. Trafikkforming
Rå lokketrafikk med perfekt jevn timing ville i seg selv være et signal – ekte mennesker surfer ikke med metronominterne intervaller. Trafikkformingskomponenten legger til realistisk variasjon: forsinkelser mellom forespørsler hentet fra fordelinger som samsvarer med ekte nettlesingsatferd, mønstre for sesjonslengde (aktivitetsbølger etterfulgt av inaktive perioder) og realistiske brukeragent-strenger og tilkoblingsegenskaper. Målet er at en observatør som analyserer trafikkstrømmen din ser det som ser ut som en person som surfer normalt – bare en person som besøker flere nettsteder enn de faktisk gjør.
3. Blanding med ekte trafikk
Lokketrafikken må være uatskillelig fra ekte trafikk på nettverkslaget. Dette betyr at den flyter gjennom den samme VPN-tunnelen, bruker den samme DNS-løseren og produserer de samme slags krypterte pakker som din ekte nettlesing. Hvis lokketrafikken er på en separat kanal eller har en særegenhet (et annet TLS-fingeravtrykk, et annet kildeporthinterval, en annen pakkestørrelsesfordeling), er hele øvelsen meningsløs – en angriper filtrerer ganske enkelt ut lokkekanalen og analyserer resten.
Når alle tre komponentene fungerer sammen, ser en observatør som overvåker nettverkstilkoblingen din en strøm av kryptert trafikk som inneholder både din ekte nettlesing og et betydelig volum av falsk nettlesing, uten noen pålitelig måte å skille dem fra hverandre. Det ekte signalet er begravet i støy – og det er poenget.
Det militære og bedriftsmessige forbildet
Lokkebasert forsvar er ett av de eldste konseptene innen sikkerhet – det har bare ikke vært tilgjengelig som et forbrukerpersonvernverktøy før nylig. Slektskapet er verdt å forstå fordi det viser at dette ikke er teoretisk eller eksperimentelt; det er en velprøvd tilnærming med tiår av distribusjon på institusjonell skala.
Militær villedning (MILDEC): det amerikanske militæret har en formell doktrine for villedningsoperasjoner – Joint Publication 3-13.4. Den dekker alt fra lokkeradarsendinger (som får det til å se ut som en hangarskipsgruppe er et sted den ikke er) til falsk radiotrafikk (som får avlyttede kommunikasjoner til å tyde på en annen operativ plan). Prinsippet er identisk med nettverkslokker: generer troverdige falske signaler som en motstanders etterretningsapparat ikke effektivt kan skille fra ekte.
Honeypots og honeynets: i bedriftsnettverkssikkerhet er et honeynet et nettverk av falske servere utformet for å tiltrekke og oppdage angripere. De ser ut som ekte produksjonssystemer – kjører ekte operativsystemer, ekte tjenester, ekte svar – men de eksisterer bare for å bli undersøkt og angrepet. All trafikk til et honeynet er per definisjon uautorisert, noe som gjør det til et høyfidelitets-signal for inntrengingsdeteksjon. NISTʼs veiledning til inntrengingsdeteksjon og -forebyggingssystemer dekker konseptet i detalj. Den viktigste innsikten: forsvarere bruker villedning for å endre angrepets økonomi, og gjør det dyrere for angriperen å finne ekte mål blant lokkene.
Plattformer for villedningsteknologi: selskaper som Attivo Networks (kjøpt opp av SentinelOne), Illusive Networks og TrapX bygget hele produktkategorier rundt distribusjon av lokke-ressurser – falske legitimasjoner, falske fildeling, falske databaseservere – gjennom et bedriftsnettverk. MITRE ATT&CK dokumenterer villedning som en defensiv teknikk (se MITRE ATT&CK under «Deception»-kategorien i defensive rammeverk). Begrunnelsen: hvis en angriper ikke kan skille ekte ressurser fra falske, stiger kostnadene ved lateral bevegelse dramatisk.
Et forbrukerlokkenett anvender det samme prinsippet overfor en annen motstander. I stedet for å villede en angriper som undersøker et bedriftsnettverk, villeder det en observatør som analyserer din personlige trafikk. Matematikken er den samme – øk støyen til signal-til-støy-forholdet er for lavt for nyttig analyse – men konteksten er personvern i stedet for inntrengingsdeteksjon.
Personvernets forsvarslag sammenlignet
Lokketrafikk er ett lag i personvernstabelen, ikke en erstatning for de andre. Her er en sammenligning av vanlige forsvarskonfigurasjoner på tvers av fire egenskaper som betyr noe for ekte personvern i den virkelige verden:
| Forsvar | Skjuler hva du besøker? | Skjuler at du skjuler? | Bekjemper trafikkanalyse? | Fungerer i alle apper? |
|---|---|---|---|---|
| Ingen beskyttelse | Nei | Ikke aktuelt | Nei | Ikke aktuelt |
| VPN alene | Ja (fra nettleverandør) | Nei | Nei | Ja |
| VPN + annonseblokkering/sporerblokkering | Ja (fra nettleverandør) | Nei | Nei | Ja |
| VPN + lokketrafikk | Ja (fra nettleverandør) | Delvis | Ja | Ja |
| Tor | Ja | Nei (kan oppdages) | Delvis | Nei (bare nettleser) |
Tabellen illustrerer to ting. For det første håndterer ingen enkelt lag alle dimensjoner – personvern er en stabel, ikke et produkt. For det andre er lokketrafikk den eneste tilnærmingen i forbrukerrommet som direkte adresserer trafikkanalyse, som er gapet VPN-er lar stå åpent. Tor gir delvis motstand mot trafikkanalyse gjennom flerstegs-ruting og noe trafikkpolstring, men er sårbar for ende-til-ende-timingangrep og er begrenset til nettlesertrafikk.
Hvordan Caspers Lokkedomener-funksjon fungerer
Casper's Cloak inkluderer en funksjon kalt Decoy Domains som implementerer lokkenett-konseptet spesifikt for forbrukerpersonvern. Her er hva den gjør på det tekniske nivået.
Når Decoy Domains er aktivert, genererer Casper's Cloak-klienten DNS-forespørsler og HTTP/HTTPS-forespørsler til en kuratert liste over godartede, virkelige domener med tilfeldige intervaller. Dette er ikke forespørsler til falske servere eller honeypots – de er forespørsler til ekte nettsteder (nyhetsnettsteder, handlenettsteder, referansenettsteder, sosiale plattformer, strømmetjenester) som produserer ekte trafikkmønstre. Forespørslene blandes inn i din faktiske trafikkstrøm innenfor den samme VPN-tunnelen, ved bruk av den samme DNS-løseren og den samme krypterte tilkoblingen, slik at de er uatskillelige fra din ekte nettlesing på nettverkslaget.
Detaljene:
- DNS-forespørsler: klienten sender DNS-oppslag for lokkedomener gjennom Caspers DNS-løser. Fra nettleverandørens perspektiv (eller enhver nettverksobservatørs perspektiv) er disse oppslagene identiske med dine ekte DNS-forespørsler – samme løser, samme kryptert transport, samme forespørselsformat. Lokkedomener er hentet fra en roterende pool av tusenvis av virkelige domener på tvers av ulike kategorier.
- HTTP/HTTPS-forespørsler: etter å ha løst et lokkedomene sender klienten HTTP-forespørsler som etterligner ekte nettlesing – laster en side, følger noen lenker, laster ned ressurser. Tilkoblingskarakteristikkene (TLS-versjon, krypteringspakke, HTTP/2 eller HTTP/3, header-rekkefølge) samsvarer med det en ekte nettleser produserer. Dette er viktig fordi sofistikert trafikkanalyse kan ta fingeravtrykk av klientprogramvaren fra tilkoblings-metadata; lokketrafikk som ser ut som den kom fra en annen klient er trivielt filtrerbar.
- Tilfeldig timing: lokkeforespørsler avfyres ikke etter en fast tidsplan. Intervallene mellom forespørsler er hentet fra en fordeling som tilnærmer ekte menneskelige nettlesingsmønstre – variable pauser mellom sidelastinger, av og til opphopninger, av og til inaktive perioder. Dette hindrer en observatør i å identifisere lokketrafikken ved dens tidsmessige regelmessighet.
- Volumkalibrering: forholdet mellom lokketrafikk og ekte trafikk er konfigurerbart, men standarden er satt høyt nok til at en observatør måtte klassifisere hver forespørsel korrekt for å rekonstruere din faktiske nettlesingshistorikk – og falsk-positiv-raten for ethvert klassifiseringsforsøk gjør den rekonstruksjonen upålitelig. Målet er ikke å gjøre trafikkanalyse teoretisk umulig; det er å gjøre den praktisk ubrukelig mot din nettlesings-metadata.
Nettoeffekten: nettleverandøren din (eller enhver nettverksnivå-observatør) ser en strøm av kryptert trafikk som går til Caspers VPN-endepunkt. Hvis de analyserer trafikkmetadataen, ser de mønstre som stemmer overens med noen som besøker et bredt utvalg av nettsteder – nyheter, handel, sosiale medier, referanse, underholdning – med et volum og en rytme som ser ut som normal nettlesing. De kan ikke avgjøre hvilke av disse besøkene som var ekte og hvilke som var lokker, fordi lokketrafikken er utformet for å være uatskillelig fra ekte trafikk på hvert observerbart lag.
Decoy Domains fungerer sammen med Caspers andre personvernfunksjoner – VPN-tunnelen og trusselbeskyttelse, sporerblokkering på DNS-laget, og DNS-nivåfiltrering. Hvert lag adresserer en annen dimensjon av personvernproblemet; Decoy Domains adresserer spesifikt trafikkanalyse-dimensjonen som de andre lagene lar stå åpen.
Hva lokkenett ikke gjør – ærlige begrensninger
Lokketrafikk er en reell personvernforbedring med reelle begrensninger. Å være ærlig om disse begrensningene er viktig – både fordi å overdrive kapasiteter undergraver tillit og fordi å forstå grensene hjelper deg å ta informerte avgjørelser om din personvernposisjon.
Båndbredde-overhead
Lokketrafikk bruker ekte båndbredde. Hver falsk DNS-forespørsel og HTTP-forespørsel forbruker data. På en ubegrenset hjemmetilkobling er dette ubetydelig – lokketrafikken er liten sammenlignet med strømmevideo eller nedlasting av filer. På en målt mobiltilkobling legger det seg opp. Caspers implementering lar deg kontrollere volumet (eller deaktivere Decoy Domains på mobildata), men den grunnleggende avveiningen er reell: mer lokketrafikk betyr bedre motstand mot trafikkanalyse og høyere båndbreddebruk.
Ingen beskyttelse mot enhetskompromittering
Lokketrafikk forsvarer mot en nettverksnivå-observatør – noen som ser på tilkoblingen din utenfra. Hvis en angriper har kompromittert selve enheten din (skadeprogramvare, spionprogramvare, en kompromittert nettleserutvidelse), kan de se din ekte nettlesing direkte og trenger ikke analysere trafikkmønstre i det hele tatt. Lokketrafikken genereres av Casper's Cloak-klienten som kjører på enheten din; klienten vet hvilken trafikk som er ekte og hvilken som er lokke, så enhver prosess som kan inspisere klientens tilstand kan skille de to. Dette er ikke en feil i lokkenett spesifikt – det er det generelle prinsippet om at ingen forsvar på nettverkslaget hjelper mot kompromittering av endepunktet.
Effektivitet avhenger av trafikkvolumforholdet
Hvis lokketrafikk utgjør 10 % av din totale trafikk, vil en angriper som gjetter tilfeldig hvilke forespørsler som er ekte ha rett 90 % av tiden. Hvis lokketrafikk utgjør 90 % av din totale trafikk, vil de bare ha rett 10 % av tiden. Effektiviteten av lokketilnærmingen skalerer med forholdet mellom falsk trafikk og ekte trafikk. Det er en avtagende avkastning – å gå fra 50 % lokke til 90 % lokke betyr mye mer enn å gå fra 90 % til 99 % – men poenget gjelder: en liten trikkel av lokketrafikk er marginalt nyttig, mens en betydelig strøm er meningsfullt beskyttende. Standardkonfigurasjonen i Casper's Cloak er kalibrert til å gi sterk motstand uten overdreven båndbreddebruk, men effektiviteten er ikke absolutt.
Avanserte statistiske angrep
En godt utstyrt motstander med tilgang til begge sider av VPN-tunnelen (inngående og utgående) kan anvende statistiske teknikker som går utover enkel trafikk-fingeravtrykking. Maskinlærings-klassifikatorer trent på nok merkede data kan oppnå bedre-enn-tilfeldig separasjon av ekte og falsk trafikk, spesielt hvis lokketrafikk-generatoren har subtile fordelingsforskjeller fra ekte nettlesing (f.eks. litt forskjellige TCP-vindusstørrelser, ulik HTTP-header-rekkefølge, ulike gjenbruksmønstre for tilkoblinger). Ingen lokkeimplementering er beviselig uatskillelig fra ekte trafikk i alle henseender; spørsmålet er om den gjenværende skillbarheten er praktisk utnyttbar i stor skala. For motstandere på nasjonalstatsnivå med enorme beregningsbudsjetter og kooperativ ISP-tilgang kan svaret være «delvis». For en nettleverandør som driver rutinemessig datainnsamling er svaret «nei».
Hvem trenger dette?
Det ærlige svaret: de fleste mennesker trenger ikke lokketrafikk. En VPN med DNS-nivåfiltrering håndterer personvernbehovene til det store flertallet av brukere – skjuler nettlesing fra nettleverandøren, blokkerer sporere, forhindrer snusing på kaffebaren. Det er stabelen vi anbefaler for de fleste Casper's Cloak-brukere, og den er effektiv for det den gjør.
Lokketrafikk tilfører verdi for et bestemt sett med brukere hvis trusselmodell inkluderer trafikkanalyse:
- Journalister som arbeider med sensitive kilder. Hvis en statlig eller bedriftsmessig motstander overvåker journalistens nettverkstilkobling, kan trafikkanalyse avsløre når journalisten kommuniserer med en bestemt kilde (ved å korrelere trafikkmønstre mellom de to). Lokketrafikk hever støygulvet, noe som gjør den korrelasjonen vanskeligere. EFFs veiledning for overvåkingsselvforsvar dekker den bredere operasjonelle sikkerhetskonteksten for journalister og kilder.
- Aktivister og dissidenter i overvåkede miljøer. I land der myndighetene overvåker internetttrafikk på nasjonalt nivå (og der VPN-bruk i seg selv er et flagg), gjør lokketrafikk det vanskeligere å bygge en atferdsprofil fra trafikk-metadata. Dette erstatter ikke Tor eller omgåelsesverktøy for folk som møter aktiv sensur – men for folk i miljøer med passiv overvåking (metadatainnsamling snarere enn aktiv blokkering) tilfører det et meningsfullt lag.
- Folk i yrker med høye tillidskrav. Advokater med konfidensialitetsforpliktelser overfor klienter, helsepersonell som håndterer pasientdata, finansfagfolk med regulatorisk eksponering – alle hvis nettlesingsmønstre kan utnyttes kommersielt eller rettslig hvis de sluttes fra nettverks-metadata. Risikoen er ikke at noen leser e-postene deres (det er hva kryptering håndterer); det er at metadataanalyse avslører hvilken motpartsadvokat de forsker på, hvilke medisinske tilstander de slår opp for en pasient, eller hvilke selskaper de gjennomfører due diligence på.
- Alle som ønsker maksimalt personvern fra nettleverandøren sin. Selv i USA kan nettleverandører samle inn og selge nettlesingsdata. En VPN flytter den synligheten fra nettleverandøren til VPN-leverandøren. Lokketrafikk betyr at selv om noen stevner VPN-leverandørens tilkoblingslogger, kartlegger ikke trafikkmetadataen seg rent til ekte nettlesingsatferd. Det er en belte-og-bukseseler-tilnærming for folk som ikke vil stole på ett enkelt lag.
Hvis ingen av disse beskrivelsene passer din situasjon – hvis personvernproblemet ditt er «jeg vil ikke at nettleverandøren min skal selge nettlesingsdataene mine» eller «jeg vil ikke at sporere profilerer meg på tvers av nettsteder» – er en VPN med sporerblokkering det rette verktøyet, og lokketrafikk er en unødvendig komplikasjon. Vi foretrekker at du bruker riktig mengde beskyttelse for din faktiske trusselmodell fremfor maksimal beskyttelse for en tenkt.
Ofte stilte spørsmål
Gjør lokketrafikk tilkoblingen min tregere?
Minimalt. Lokkeforespørsler er lette (DNS-forespørsler og små HTTP-sidelastinger) og er hastighetsbegrenset for å unngå å mette tilkoblingen din. På en typisk bredbåndstilkobling bruker lokketrafikken en brøkdel av tilgjengelig båndbredde. På mobildata er virkningen større relativt til datataket ditt, og det er grunnen til at Casper's Cloak lar deg deaktivere Decoy Domains på mobilnett.
Er dette det samme som Tor?
Nei. Tor ruter din ekte trafikk gjennom flere reléer for å skjule IP-adressen din fra destinasjonsserveren. Et lokkenett legger til falsk trafikk ved siden av din ekte trafikk for å bekjempe metadataanalyse av en nettverksobservatør. De adresserer ulike problemer. Tor skjuler identiteten din fra nettstedet du besøker; lokketrafikk skjuler atferden din fra noen som ser på tilkoblingen din. Du kan bruke begge – Tor for anonymitet, lokketrafikk for motstand mot trafikkanalyse – men de er uavhengige konsepter.
Kan VPN-leverandøren skille den ekte trafikken min fra lokketrafikken?
I Caspers arkitektur genereres lokketrafikken på klientsiden og går inn i VPN-tunnelen sammen med ekte trafikk. VPN-serveren behandler alle forespørsler identisk – den merker eller flaggner ikke lokkeforespørsler annerledes. Imidlertid vet klientprogramvaren hvilke forespørsler den genererte som lokker. Hvis klienten ble kompromittert, ville det skillet være tilgjengelig. På nettverkslaget (hva VPN-serveren ser) behandles ekte og falsk trafikk identisk.
Vet lokkedomene-nettstedene at de brukes som lokker?
Nei. Lokkeforespørsler er standard HTTP/HTTPS-forespørsler til ekte nettsteder. Fra destinasjonsnettstedets perspektiv mottok det et besøk fra en Casper's Cloak VPN-utgangs-IP – uatskillelig fra enhver annen besøkende. Nettstedene er ikke partnere, varsles ikke og trenger ikke å samarbeide. Dette er det samme som skjer når en VPN-bruker besøker et nettsted.
Relatert: Hvordan DNS-nivåfiltrering faktisk fungerer dekker filtreringslaget som blokkerer sporere og annonser på DNS-nivå; Trusselbeskyttelse dekker VPN-tunnel + ML-basert trusselsdeteksjon; Sporerblokkering forklarer hvordan DNS-nivåblokkering fjerner sporere fra alle apper på enheten din. Sammen med Decoy Domains utgjør disse funksjonene Caspers fulle personvernstabel – hvert lag lukker et annet gap som de andre lar stå åpent.