恶意域名的阻止:Quad9DNS服务

这个被称为Quad9(在服务获得的9.9.9.9互联网协议地址之后)的免费公共域名服务系统,旨在阻止与僵尸网络,网络钓鱼攻击和其他恶意Internet主机相关的域名该服务和那些不运行自己的DNS黑名单和白名单服务的组织,以帮助减少网络犯罪与任何其他公共DNS服务器(例如Google's)一样工作,除了它不会为通过威胁源识别的站点返回名称解析服务总量。Quad9由全球网络联盟执法和研究机构建立(GCA)-an组织、与IBM和合作数据包交换所联合推出。

  GCA总裁兼首席运营官Phil Rettinger在接受s采访时说:“任何地方的人都可以使用它。他说,这个服务将是相对隐私敏感的,而不会记录发出DNS请求的地址,我们将只保留地理位置数据。为了跟踪与特定恶意域名。我们匿名数据,牺牲隐私。

  有关恶意域名的相关来源于19个威胁源,其中之一就是IBM的X-Force。GCA首席技术顾问Adnan Baykal表示,该服务以任何格式发布这些威胁源,然后将其转换成一个数据库,再将其重复数据删除。Quad9还会生成一个永不禁止的域白名单。它使用了一百万个被请求的域名列表。在开发过程中,Quad9使用Alexa,但现在Alexa的百万站点名单不再被维护,Baykal说,GCA及其合作伙伴不得不寻求数据的替代来源 。Majestic Million每日一百万个站点。

  还有一个黄金名单就是永远不应该被阻止的域名,比如微软的Azure云,谷歌和亚马逊网络服务等主要互联网服务网站。Baykal说但是因为这是DNS过滤,所以我们不能专门封锁这个网址,而且我们也不希望完全封锁Google。

  被阻止的网站,白名单和黄金名单被转换为响应策略区域(RPZ)格式,然后通过DNS区域传输推送到由分组交换所维护的世界各地的DNS服务器集群。DNS服务器群集(每个群集均使用dnsdist进行负载平衡)使用Unbound和PowerDNS服务器混合来提供响应。Baykal说:“我们在负载均衡器后面运行两种不同的变体,所以如果出现问题,我们可以把它解决,或者如果有严重的漏洞,我们可以关闭一个补丁。

  截至发布时,全球70个不同地点都配置了DNS服务器集群,Baykal表示,该组织预计到今年年底将有100个站点正常运行。Baykal解释说,每个集群至少有三台服务器,“在芝加哥这样的一些关键领域,我们有五台,七台或九台系统在负载平衡器之后。每个实例都在虚拟机上运行,因此可以根据需要在Packet Clearing House的基础设施中部署更多的服务器。无论如何,DNS响应速度将会非常快,绝大多数用户不会注意到其中的差异。

  如果一个域名在阻止列表中,那么服务只是用一个“NXDOMAIN”(不存在的域名)消息来响应查询。Rettinger表示:“它会打破DNS查询,但它往往比淹没更好,将恶意域转发给由服务控制的主机的做法,就像过去一些僵尸网络域一样。“

  由于威胁行为在全球每天更新一至两次,因此Quad9可能不会对使用快速转换的DNS地址进行命令和控制的恶意软件产生太大影响。但它确实提供了基本级别的保护,可防止由主要威胁源拾取的域欺骗网络钓鱼攻击和其他基于Web的攻击。而且组织可以很容易地记录来自Quad9的响应,通过记录NXDOMAIN响应来识别自己网络中可能具有恶意软件的系统,也可能是针对网络钓鱼攻击的系统。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏信安之路

Red Team 工具集之网络钓鱼和水坑攻击

上图是一个 Red Team 攻击的生命周期,整个生命周期包括:信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上...

840
来自专栏农夫安全

盘点目前市面上流行的网络攻击

? 一、攻击分类 主动攻击 主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据和终端(拒绝服务)。 ? ? (2)窃听 ...

3256
来自专栏黑白安全

社会工程学之钓鱼攻击

钓鱼攻击是社会工程学攻击的一种方式。钓鱼攻击使用电子邮件或者恶意网站诱骗人们提供个人信息(通常是金融信息)。

823
来自专栏FreeBuf

WannaMine再升级,摇身一变成为军火商?

WannaMine是个“无文件”僵尸网络,在入侵过程中无任何文件落地,仅仅依靠WMI类属性存储ShellCode,并通过“永恒之蓝”漏洞攻击武器以及“Mimik...

1100
来自专栏FreeBuf

Android系统中也存在Web注入吗?

有一类专门针对浏览器的攻击,被称为浏览器中间人(MITB)攻击。想要实现这类攻击,方式也非常的多,像恶意 DDL 注入,扩展欺骗或将一些特制的恶意代码注入到...

1905
来自专栏Seebug漏洞平台

Seebug漏洞平台2016年度报告

目录 一、概述 二、漏洞详情等信息以及漏洞验证程序(PoC)收录状况 2.1 漏洞验证程序(PoC)数量统计分析 2.2 收录漏洞的危害等级分布统计分析 2.3...

3623
来自专栏FreeBuf

2018年10月十大恶意软件,挖矿类仍然占据头牌

Check Point近期发布了最新的全球安全威胁指数,该指数显示了近期的恶意软件、移动端恶意软件以及漏洞方面的变化趋势,可作为一定的参考。

662
来自专栏安恒信息

如何检验网站安全建设是真的“安全”?

传统网站安全检测方式 当前的网站安全检查都是通过静态扫描的方式,来检测网站存在的漏洞和后门等安全问题,以是否存在漏洞来判断网站是否“安全”,这种检测方式通常都是...

3275
来自专栏java达人

网络攻击是如何运作的—一份完整的列表 ( 2 )

作者:PAUL CUCU 译者:java达人 来源:https://heimdalsecurity.com/blog/cyber-attack/(点击阅读原文...

2445
来自专栏FreeBuf

漏洞预警:Google安全研究人员发现NTP(网络时间协议)最新漏洞

Google安全研究人员最近发现,NTP协议(网络时间协议)出现了一些新的严重漏洞,NTP 4.2.8之前的版本均受影响,黑客可以利用这些漏洞展开远程攻击。 N...

20410

扫码关注云+社区