Windows brandvägg kan bara göra något åt trafik som körs på Windows. Man förväntar sig alltså att Windows har blivit infekterat av malware. Det är i och för sig en högst rimlig förväntan, de flesta kör ju proprietär mjukvara där det inte finns någon koll alls på hur mjukvaran läcker personlig och annan information.
Fördelen med den här lösningen är att malware inte kan gå direkt mot IP-adress utan att först slå upp adressen. Det kommer ingen annan mjukvara heller kunna, vilket kommer bli kul för folk som inte fattar vad som (inte) händer.
Den här lösningen gör inte mycket om inte den säkra DNS-servern också vägrar att ge ut IP-adresser till malwarens server.
Nästa steg kommer därför bli att Microsoft skapar DNS-servrar och sätter dem som default i Windows och därmed får full koll på surfvanorna hos alla som inte orkar ändra standardvärdet. Det kommer naturligtvis att motiveras med att man ska hålla sina användare säkra.
Själv kör jag redan banIP-paketet på OpenWrt på min router som har den här lösningen, men då för hela nätverket, inte bara för Windows. Kombinerat med paketet adblock för att inte returnera DNS-svar på malware-sajter (och reklam förstås).