De korte versie: encryptie verbergt wat je zegt. Een VPN verbergt met wie je praat — van het lokale netwerk. Maar geen van beide verbergt dat je communiceert, hoe vaak, hoeveel data er stroomt en wanneer. Een loknetwerk overspoelt dat metadatakanaal met aannemelijke ruis, zodat het signaal (je echte browsegedrag) statistisch onherstelbaar wordt van de ruis (nep-verkeer). Het concept is niet nieuw — legers gebruiken elektromagnetische lokvogels en nep-radiosignalen al sinds de Tweede Wereldoorlog — maar het is nieuw als privacytool voor consumenten. Dit artikel legt het concept uit vanuit de basisprincipes, laat zien waar het past in de privacyverdedigingsstack en is eerlijk over wanneer je het nodig hebt en wanneer niet.
Het surveillanceprobleem dat VPN's niet volledig oplossen
Een VPN maakt een versleutelde tunnel tussen je apparaat en de server van de VPN-aanbieder. Vanuit het perspectief van je internetprovider zien ze slechts een stroom versleutelde bytes die naar één IP-adres gaan — het VPN-eindpunt. Ze kunnen niet langer de bestemmingswebsites, de DNS-zoekopdrachten of de inhoud van je verkeer zien. Dat is een echte en betekenisvolle verbetering ten opzichte van helemaal geen bescherming.
Maar de internetprovider ziet nog steeds een aantal dingen. Ze zien dat je een VPN gebruikt — het verbindingspatroon is opvallend en de eindpunt-IP's van grote VPN-aanbieders zijn goed gecatalogiseerd. Ze zien wanneer je online bent. Ze zien hoeveel data er stroomt en in welke richting. Ze zien de timingpatronen: uitbarstingen van kleine verzoeken (browsen), aanhoudende downloads met hoge bandbreedte (streaming), periodieke kleine pakketjes (berichten). En ze zien wanneer je de VPN start en stopt.
Die metadata — de vorm, het volume en de timing van het verkeer in plaats van de inhoud — is vaak genoeg om gedrag te reconstrueren. Academisch onderzoek heeft dit herhaaldelijk aangetoond. Een paper uit 2014 van de Universiteit van Washington toonde aan dat Netflix-titels konden worden geïdentificeerd via een versleutelde tunnel door alleen het bitrate-patroon van adaptieve streaming te analyseren. Een studie uit 2016 aan de Georgetown University demonstreerde website-fingerprinting-aanvallen die specifieke bezochte pagina's via Tor konden identificeren met meer dan 90% nauwkeurigheid door pakketttiming en -groottes te analyseren. De inhoud was versleuteld; de metadata niet.
Deze klasse aanvallen — gedrag afleiden uit verkeersmetadata zonder de inhoud te lezen — wordt verkeersanalyse genoemd. Het is de kloof die VPN's alleen niet dichten, en het is het probleem dat loknetten zijn ontworpen om aan te pakken.
Wat is verkeersanalyse en waarom is het belangrijk?
Verkeersanalyse is de praktijk van het extraheren van informatie uit de waarneembare eigenschappen van communicatie — wie met wie praat, wanneer, hoe vaak en hoeveel — zonder de inhoud te lezen. Het gaat tientallen jaren terug vóór het internet. Tijdens de Tweede Wereldoorlog volgden geallieerde signalinlichtingeneenheden de Asmogendhedenvlootbewegingen door radiotransmissiepatronen te analyseren (frequentie, timing, volume), zelfs als ze de berichten zelf niet konden ontcijferen. De techniek werkte omdat communicatiepatronen van nature informatief zijn: een plotselinge piek in radioverkeer van een marinebasis betekent gewoonlijk dat een vloot op het punt staat te vertrekken, ongeacht wat de berichten zeggen.
Op het moderne internet neemt verkeersanalyse verschillende vormen aan:
- Website-fingerprinting: elke website produceert een kenmerkend verkeerspatroon — een specifieke reeks pakketgroottes en timings terwijl de pagina bronnen laadt (HTML, CSS, JavaScript, afbeeldingen, lettertypen). Een waarnemer die genoeg websites heeft geprofileerd, kan je versleutelde verkeer vergelijken met deze bibliotheek van vingerafdrukken en identificeren welke site je hebt bezocht, zelfs via een VPN of Tor.
- Stroomcorrelatie: als een waarnemer verkeer kan zien dat de VPN binnenkomt én verlaat (bijvoorbeeld een internetprovider in het ene land en een meewerkende internetprovider in het bestemmingsland), kunnen ze de timing en het volume correleren om de twee uiteinden van de tunnel te koppelen. Dit wordt een "end-to-end timing-aanval" genoemd en het is een van de bekende zwakke punten van laaglatentie-anonimiteitsnetwerken zoals Tor.
- Gedragsafleiding: een regelmatig patroon van kleine DNS-zoekopdrachten gevolgd door een uitbarsting van data elke ochtend om 7 uur is iemand die nieuws leest. Een aanhoudende high-bandwidth stroom elke avond is iemand die video kijkt. Korte uitbarstingen van bidirectionele data zijn berichten of spraakoproepen. Niets hiervan vereist het lezen van de inhoud.
- Volumeanalyse: het downloaden van een bestand van 2 GB is opvallend, zelfs via encryptie. Het volume alleen al beperkt de mogelijkheden. Een portaal voor medische dossiers draagt een specifieke hoeveelheid data over per bezoek; een banksite draagt een ander bedrag over. Met genoeg samples worden volumepatronen identificerend.
De implicatie: encryptie en VPN's beschermen de inhoud van je verkeer maar laten de vorm van je verkeer blootgesteld. Verkeersanalyse maakt gebruik van de vorm. Het tegenmiddel is de vorm veranderen — ofwel door echt verkeer op te vullen tot een uniform profiel, ofwel door nep-verkeer toe te voegen dat de vorm van het echte verkeer onherstelbaar maakt. Die tweede benadering is wat een loknetwerk doet.
Hoe een loknetwerk werkt — de drie componenten
Een loknetwerk is geen enkele techniek — het is een systeem opgebouwd uit drie componenten die samenwerken. Elk onderdeel is noodzakelijk; geen enkel is op zichzelf voldoende.
1. Verkeersgeneratie
Het systeem genereert netwerkverzoeken — DNS-zoekopdrachten, HTTP/HTTPS-verbindingen, gegevensoverdrachten — die eruitzien als echte gebruikersactiviteit. Het sleutelwoord is "eruitzien als." Eenvoudige benaderingen (dezelfde URL op een timer opvragen) zijn triviaal te onderscheiden van echt browsen; geavanceerde benaderingen randomiseren bestemmingen, timing, verzoekgroottes en verbindingspatronen om menselijk gedrag na te bootsen. De verkeersgeneratiecomponent put uit een pool van aannemelijke bestemmingen (echte websites, echte inhoudstypen) en varieert het verzoekpatroon zodat geen eenvoudige statistische test lokverzoeken van echte verzoeken kan onderscheiden.
2. Verkeersvorming
Ruw lokverkeer met perfect uniforme timing zou zelf een signaal zijn — echte mensen browsen niet met metronoomachtige regelmaat. De verkeersontvormingscomponent voegt realistische variantie toe: vertragingen tussen verzoeken die zijn getrokken uit distributies die overeenkomen met echt browsegedrag, sessielengte-patronen (uitbarstingen van activiteit gevolgd door inactieve perioden), en realistische user-agent-strings en verbindingskenmerken. Het doel is dat een waarnemer die je verkeersstroom analyseert ziet wat eruit ziet als een normaal browsende persoon — alleen iemand die meer sites bezoekt dan ze eigenlijk doen.
3. Mengen met echt verkeer
Het lokverkeer moet op de netwerklaag niet te onderscheiden zijn van echt verkeer. Dit betekent dat het door dezelfde VPN-tunnel stroomt, dezelfde DNS-resolver gebruikt en hetzelfde soort versleutelde pakketten produceert als je echte browsen. Als het lokverkeer zich op een apart kanaal bevindt of een onderscheidend kenmerk heeft (een andere TLS-vingerafdruk, een ander bronpoortbereik, een andere pakketgrootteverspreiding), is de hele oefening zinloos — een aanvaller filtert simpelweg het lokkanaal eruit en analyseert de rest.
Wanneer alle drie de componenten samenwerken, ziet een waarnemer die je netwerkverbinding bewaakt een stroom versleuteld verkeer die zowel je echte browsen als een aanzienlijk volume nep-browsen bevat, zonder betrouwbare manier om te zeggen welk welk is. Het echte signaal is begraven in ruis — en dat is het punt.
Het militaire en zakelijke precedent
Lokgebaseerde verdediging is een van de oudste concepten in beveiliging — het is alleen pas recent beschikbaar als privacytool voor consumenten. De afstamming is de moeite waard om te begrijpen omdat het laat zien dat dit niet theoretisch of experimenteel is; het is een bewezen aanpak met decennia van toepassing op institutionele schaal.
Militaire misleiding (MILDEC): het Amerikaanse leger heeft een formele doctrine voor misleidingsoperaties — Joint Publication 3-13.4. Het omvat alles van valse radaremissies (het laten lijken alsof een vliegdekschipgroep ergens is waar het niet is) tot nep-radioverkeer (het laten lijken alsof onderschepte communicaties een ander operationeel plan suggereren). Het principe is identiek aan netwerklokken: aannemelijke valse signalen genereren die het inlichtingenapparaat van een tegenstander niet efficiënt kan onderscheiden van echte.
Honeypots en honeynets: in zakelijke cyberbeveiliging is een honeynet een netwerk van nep-servers ontworpen om aanvallers aan te trekken en te detecteren. Ze zien eruit als echte productiesystemen — met echte besturingssystemen, echte services, echte reacties — maar ze bestaan alleen om te worden getest en aangevallen. Elk verkeer naar een honeynet is per definitie ongeautoriseerd, wat het een hoogwaardig intrusion-detectiesignaal maakt. NIST's Guide to Intrusion Detection and Prevention Systems behandelt het concept in detail. Het belangrijkste inzicht: verdedigers gebruiken misleiding om de economie van aanvallen te veranderen, waardoor het duurder wordt voor de aanvaller om echte doelen te vinden tussen de nep-doelen.
Misleidingstechnologieplatforms: bedrijven zoals Attivo Networks (overgenomen door SentinelOne), Illusive Networks en TrapX hebben hele productcategorieën opgebouwd rond het inzetten van lokvogels — nep-inloggegevens, nep-bestandsshares, nep-databaseservers — in een bedrijfsnetwerk. MITRE ATT&CK documenteert misleiding als defensieve techniek (zie MITRE ATT&CK onder de categorie "Deception" in defensieve frameworks). De redenering: als een aanvaller echte assets niet van nep-assets kan onderscheiden, stijgen de kosten van laterale beweging dramatisch.
Een consumentenloknetwerk past hetzelfde principe toe op een andere tegenstander. In plaats van een aanvaller te misleiden die een bedrijfsnetwerk test, misleidt het een waarnemer die je persoonlijk verkeer analyseert. De wiskunde is dezelfde — verhoog de ruis totdat de signaal-ruisverhouding te laag is voor nuttige analyse — maar de context is privacy in plaats van inbraakdetectie.
Vergelijking van privacyverdedigingslagen
Lokverkeer is één laag in de privacystack, geen vervanging voor de anderen. Hier is hoe veelgebruikte verdedigingsconfiguraties zich verhouden aan vier eigenschappen die belangrijk zijn voor echte privacybescherming:
| Verdediging | Verbergt wat je bezoekt? | Verbergt dat je je verbergt? | Verslaat verkeersanalyse? | Werkt in elke app? |
|---|---|---|---|---|
| Geen bescherming | Nee | N.v.t. | Nee | N.v.t. |
| Alleen VPN | Ja (van internetprovider) | Nee | Nee | Ja |
| VPN + ad-/trackerblokker | Ja (van internetprovider) | Nee | Nee | Ja |
| VPN + lokverkeer | Ja (van internetprovider) | Gedeeltelijk | Ja | Ja |
| Tor | Ja | Nee (detecteerbaar) | Gedeeltelijk | Nee (alleen browser) |
De tabel illustreert twee dingen. Ten eerste verwerkt geen enkele laag elke dimensie — privacy is een stack, niet een product. Ten tweede is lokverkeer de enige benadering in de consumentenruimte die verkeersanalyse direct aanpakt, de kloof die VPN's openlaten. Tor biedt gedeeltelijke weerstand tegen verkeersanalyse via multi-hop-routing en enige verkeersopvulling, maar is kwetsbaar voor end-to-end timing-aanvallen en is beperkt tot browserverkeer.
Hoe Casper's Decoy Domains-functie werkt
Casper's Cloak bevat een functie genaamd Decoy Domains die het loknetwerkconcept specifiek implementeert voor consumenten-privacy. Dit is wat het doet op technisch niveau.
Wanneer Decoy Domains is ingeschakeld, genereert de Casper's Cloak-client DNS-zoekopdrachten en HTTP/HTTPS-verzoeken naar een samengestelde lijst van onschadelijke, real-world domeinen op gerandomiseerde intervallen. Dit zijn geen verzoeken aan nep-servers of honeypots — het zijn verzoeken aan echte websites (nieuwssites, winkelwebsites, referentiesites, sociale platforms, streamingdiensten) die echte verkeerspatronen produceren. De verzoeken worden gemengd in je daadwerkelijke verkeersstroom binnen dezelfde VPN-tunnel, met dezelfde DNS-resolver en dezelfde versleutelde verbinding, zodat ze op de netwerklaag niet te onderscheiden zijn van je echte browsen.
De details:
- DNS-zoekopdrachten: de client doet DNS-lookups voor lokdomeinen via Casper's DNS-resolver. Vanuit het perspectief van de internetprovider (of van welke netwerkwaarnemer dan ook) zijn deze lookups identiek aan je echte DNS-zoekopdrachten — dezelfde resolver, hetzelfde versleutelde transport, hetzelfde zoekopdrachtenformaat. De lokdomeinen worden gehaald uit een roterende pool van duizenden real-world domeinen uit diverse categorieën.
- HTTP/HTTPS-verzoeken: na het resolven van een lokdomein doet de client HTTP-verzoeken die echt browsen nabootsen — een pagina laden, een paar links volgen, bronnen downloaden. De verbindingskenmerken (TLS-versie, cipher suite, HTTP/2 of HTTP/3, header-volgorde) komen overeen met wat een echte browser produceert. Dit is belangrijk omdat geavanceerde verkeersanalyse de clientsoftware kan fingerprinting via verbindingsmetadata; lokverkeer dat eruitziet alsof het van een andere client kwam, is triviaal filterbaar.
- Gerandomiseerde timing: lokverzoeken worden niet op een vast schema verstuurd. De intervallen tussen verzoeken worden getrokken uit een verdeling die echte menselijke browsepatronen benadert — variabele tussenpozen tussen paginalaadtijden, af en toe uitbarstingen, af en toe inactieve perioden. Dit voorkomt dat een waarnemer het lokverkeer identificeert door zijn temporele regelmaat.
- Volumekalibratie: de verhouding van lokverkeer tot echt verkeer is configureerbaar, maar de standaard is hoog genoeg ingesteld dat een waarnemer elk verzoek correct zou moeten classificeren om je daadwerkelijke browsegeschiedenis te reconstrueren — en de fout-positiefrate van elke classificatiepoging maakt die reconstructie onbetrouwbaar. Het doel is niet om verkeersanalyse theoretisch onmogelijk te maken; het is om het praktisch nutteloos te maken tegen je browsingmetadata.
Het netto-effect: je internetprovider (of elke netwerkobserver) ziet een stroom versleuteld verkeer dat naar het VPN-eindpunt van Casper gaat. Als ze de verkeersmetadata analyseren, zien ze patronen die consistent zijn met iemand die een breed scala aan websites bezoekt — nieuws, winkelen, sociale media, referentie, entertainment — bij een volume en cadans die eruitzien als normaal browsen. Ze kunnen niet bepalen welke van die bezoeken echt waren en welke neplokken waren, omdat het lokverkeer is ontworpen om op elke waarneembare laag niet te onderscheiden te zijn van echt verkeer.
Decoy Domains werkt samen met de andere privacyfuncties van Casper — de VPN-tunnel en dreigingsbescherming, trackerblokkering op de DNS-laag en DNS-level filtering. Elke laag pakt een andere dimensie van het privacyprobleem aan; Decoy Domains pakt specifiek de verkeersanalysedimensie aan die de andere lagen openlaten.
Wat loknetten niet doen — eerlijke beperkingen
Lokverkeer is een echte privacyverbetering met echte beperkingen. Eerlijk zijn over die beperkingen is belangrijk — zowel omdat het overdrijven van mogelijkheden vertrouwen ondermijnt als omdat het begrijpen van de grenzen je helpt weloverwogen beslissingen te nemen over je privacyhouding.
Bandbreedteoverhead
Lokverkeer gebruikt echte bandbreedte. Elke nep-DNS-zoekopdracht en HTTP-verzoek verbruikt data. Op een ongelimiteerde thuisverbinding is dit verwaarloosbaar — het lokverkeer is klein vergeleken met streamingvideo of het downloaden van bestanden. Op een gemeterde mobiele verbinding telt het op. Casper's implementatie laat je het volume controleren (of Decoy Domains uitschakelen op mobiele data), maar de fundamentele afweging is reëel: meer lokverkeer betekent betere weerstand tegen verkeersanalyse en hoger bandbreedtegebruik.
Geen bescherming tegen compromittering op apparaatniveau
Lokverkeer verdedigt tegen een waarnemer op netwerkniveau — iemand die je verbinding van buitenaf bekijkt. Als een aanvaller je apparaat zelf heeft gecompromitteerd (malware, spyware, een gecompromitteerde browserextensie), kunnen ze je echte browsen rechtstreeks zien en hoeven ze helemaal geen verkeerspatronen te analyseren. Het lokverkeer wordt gegenereerd door de Casper's Cloak-client die op je apparaat draait; de client weet welk verkeer echt is en welk lokverkeer is, dus elk proces dat de toestand van de client kan inspecteren, kan de twee onderscheiden. Dit is geen fout in loknetten specifiek — het is het algemene principe dat geen enkel verdediging op netwerkniveau helpt tegen eindpuntcompromittering.
Effectiviteit hangt af van de verkeersvolumeverhouding
Als lokverkeer 10% van je totale verkeer is, heeft een aanvaller die willekeurig raadt welke verzoeken echt zijn 90% van de tijd gelijk. Als lokverkeer 90% van je totale verkeer is, hebben ze slechts 10% van de tijd gelijk. De effectiviteit van de lokbenadering schaalt met de verhouding van nep-verkeer tot echt verkeer. Er is een afnemend rendement — van 50% lokaal naar 90% lokaal gaan maakt veel meer uit dan van 90% naar 99% — maar het punt blijft: een kleine druppel lokverkeer is marginaal nuttig, terwijl een aanzienlijke stroom zinvol beschermend is. De standaardconfiguratie in Casper's Cloak is gekalibreerd om sterke weerstand te bieden zonder overmatig bandbreedtegebruik, maar de effectiviteit is niet absoluut.
Geavanceerde statistische aanvallen
Een goed uitgeruste tegenstander met toegang tot beide zijden van de VPN-tunnel (in- en uitstroom) kan statistische technieken toepassen die verder gaan dan eenvoudige verkeers-fingerprinting. Machine-learning-classificatoren getraind op genoeg gelabelde data zouden een betere-dan-willekeurige scheiding van echt en lokverkeer kunnen bereiken, vooral als de lokverkeersgenerator subtiele distributieversc hillen heeft ten opzichte van echt browsen (bijv. iets andere TCP-venstergroottes, verschillende HTTP-headervolgorde, verschillende patronen voor hergebruik van verbindingen). Geen enkele lokimplementatie is aantoonbaar niet te onderscheiden van echt verkeer in alle opzichten; de vraag is of de resterende onderscheidbaarheid op schaal praktisch exploiteerbaar is. Voor tegenstanders op nationaal staatsniveau met enorme rekenbudgetten en coöperatieve ISP-toegang kan het antwoord "gedeeltelijk" zijn. Voor een internetprovider die routinematige gegevensverzameling doet, is het antwoord "nee."
Wie heeft dit nodig?
Het eerlijke antwoord: de meeste mensen hebben geen lokverkeer nodig. Een VPN met DNS-level filtering voldoet aan de privacybehoeften van de overgrote meerderheid van gebruikers — browsen verbergen voor de internetprovider, trackers blokkeren, afluisteren in koffietentjes voorkomen. Dat is de stack die we aanbevelen voor de meeste Casper's Cloak-gebruikers, en het is effectief voor wat het doet.
Lokverkeer voegt waarde toe voor een specifieke groep gebruikers wier dreigingsmodel verkeersanalyse omvat:
- Journalisten die werken met gevoelige bronnen. Als een overheids- of zakelijke tegenstander de netwerkverbinding van de journalist bewaakt, kan verkeersanalyse onthullen wanneer de journalist communiceert met een specifieke bron (door verkeerspatronen tussen de twee te correleren). Lokverkeer verhoogt de ruisdrempel, waardoor die correlatie moeilijker wordt. De Surveillance Self-Defense-gids van de EFF behandelt de bredere operationele beveiligingscontext voor journalisten en bronnen.
- Activisten en dissidenten in bewaakte omgevingen. In landen waar de overheid internetverkeer op nationaal niveau bewaakt (en waar VPN-gebruik op zichzelf al een vlag is), maakt lokverkeer het moeilijker om een gedragsprofiel op te bouwen uit verkeersmetadata. Dit vervangt Tor of omzeilingstools niet voor mensen die actieve censuur ondervinden — maar voor mensen in omgevingen met passieve surveillance (metadataverzameling in plaats van actieve blokkering), voegt het een betekenisvolle laag toe.
- Mensen in beroepen met hoge vertrouwensvereisten. Advocaten met verplichtingen rondom cliëntvertrouwelijkheid, zorgverleners die patiëntgegevens verwerken, financiële professionals met regelgevingsblootstelling — iedereen wiens browsepatronen commercieel of juridisch exploiteerbaar zouden kunnen zijn als ze uit netwerkmetadata worden afgeleid. Het risico is niet dat iemand hun e-mails leest (dat is wat encryptie afhandelt); het is dat metadataanalyse onthult welke tegenpartijadvocaten ze onderzoeken, welke medische aandoeningen ze opzoeken voor een patiënt, of welke bedrijven ze aan due diligence onderwerpen.
- Iedereen die maximale privacy van zijn internetprovider wil. Zelfs in de Verenigde Staten kunnen internetproviders browsedata verzamelen en verkopen. Een VPN verplaatst die zichtbaarheid van de internetprovider naar de VPN-aanbieder. Lokverkeer betekent dat zelfs als iemand de verbindingslogs van de VPN-aanbieder opvraagt, de verkeersmetadata niet netjes in kaart brengt naar echt browsegedrag. Het is een gordel-en-bretels-aanpak voor mensen die niet één enkele laag willen vertrouwen.
Als geen van die beschrijvingen bij jouw situatie past — als je privacyzorg is "ik wil niet dat mijn internetprovider mijn browsedata verkoopt" of "ik wil niet dat trackers me profileren over sites heen" — is een VPN met trackerblokkering het juiste gereedschap, en is lokverkeer een onnodige complicatie. We geven er de voorkeur aan dat je de juiste hoeveelheid bescherming gebruikt voor je daadwerkelijke dreigingsmodel in plaats van de maximale hoeveelheid bescherming voor een verzonnen.
Veelgestelde vragen
Vertraagt lokverkeer mijn verbinding?
Minimaal. Lokverzoeken zijn lichtgewicht (DNS-zoekopdrachten en kleine HTTP-paginaladingen) en zijn beperkt in snelheid om te voorkomen dat je verbinding verzadigd raakt. Op een typische breedbandverbinding gebruikt het lokverkeer een fractie van je beschikbare bandbreedte. Op mobiele data is de impact groter ten opzichte van je datalimiet, wat de reden is waarom Casper's Cloak je Decoy Domains op mobiele data laat uitschakelen.
Is dit hetzelfde als Tor?
Nee. Tor routeert je echte verkeer via meerdere relays om je IP te verbergen van de doelserver. Een loknetwerk voegt nep-verkeer toe naast je echte verkeer om metadataanalyse te verslaan door een netwerkobserver. Ze pakken verschillende problemen aan. Tor verbergt je identiteit voor de site die je bezoekt; lokverkeer verbergt je gedrag voor iemand die je verbinding bewaakt. Je kunt beide gebruiken — Tor voor anonimiteit, lokverkeer voor weerstand tegen verkeersanalyse — maar het zijn onafhankelijke concepten.
Kan de VPN-aanbieder mijn echte verkeer scheiden van het lokverkeer?
In Casper's architectuur wordt het lokverkeer client-side gegenereerd en gaat het de VPN-tunnel in samen met echt verkeer. De VPN-server verwerkt alle verzoeken identiek — het tagt of markeert lokverzoeken niet anders. De clientsoftware weet echter welke verzoeken het als lokken heeft gegenereerd. Als de client gecompromitteerd werd, zou dat onderscheid toegankelijk zijn. Op netwerkniveau (wat de VPN-server ziet) worden echt en lokverkeer identiek behandeld.
Weten de lokdomeinen dat ze als lokken worden gebruikt?
Nee. Lokverzoeken zijn standaard HTTP/HTTPS-verzoeken aan echte websites. Vanuit het perspectief van de bestemmingswebsite ontving het een bezoek van een Casper's Cloak VPN-uitgangs-IP — niet te onderscheiden van elke andere bezoeker. De websites zijn geen partners, worden niet op de hoogte gesteld en hoeven niet mee te werken. Dit is hetzelfde als wat er gebeurt wanneer een VPN-gebruiker een website bezoekt.
Gerelateerd: Hoe DNS-level filtering werkelijk werkt behandelt de filterlaag die trackers en advertenties blokkeert op DNS-niveau; Dreigingsbescherming behandelt VPN-tunnel + ML-gebaseerde dreigingsdetectie; Trackerblokkering legt uit hoe DNS-level blokkering trackers verwijdert uit elke app op je apparaat. Samen met Decoy Domains vormen deze functies Casper's volledige privacystack — elke laag sluit een andere kloof die de anderen openlaten.