恶意域名的阻止：Quad9DNS服务

这个被称为Quad9(在服务获得的9.9.9.9互联网协议地址之后)的免费公共域名服务系统，旨在阻止与僵尸网络，网络钓鱼攻击和其他恶意Internet主机相关的域名该服务和那些不运行自己的DNS黑名单和白名单服务的组织，以帮助减少网络犯罪与任何其他公共DNS服务器(例如Google's)一样工作，除了它不会为通过威胁源识别的站点返回名称解析服务总量。Quad9由全球网络联盟执法和研究机构建立(GCA)-an组织、与IBM和合作数据包交换所联合推出。

　　GCA总裁兼首席运营官Phil Rettinger在接受s采访时说：“任何地方的人都可以使用它。他说，这个服务将是相对隐私敏感的，而不会记录发出DNS请求的地址，我们将只保留地理位置数据。为了跟踪与特定恶意域名。我们匿名数据，牺牲隐私。

　　有关恶意域名的相关来源于19个威胁源，其中之一就是IBM的X-Force。GCA首席技术顾问Adnan Baykal表示，该服务以任何格式发布这些威胁源，然后将其转换成一个数据库，再将其重复数据删除。Quad9还会生成一个永不禁止的域白名单。它使用了一百万个被请求的域名列表。在开发过程中，Quad9使用Alexa，但现在Alexa的百万站点名单不再被维护，Baykal说，GCA及其合作伙伴不得不寻求数据的替代来源 。Majestic Million每日一百万个站点。

　　还有一个黄金名单就是永远不应该被阻止的域名，比如微软的Azure云，谷歌和亚马逊网络服务等主要互联网服务网站。Baykal说但是因为这是DNS过滤，所以我们不能专门封锁这个网址，而且我们也不希望完全封锁Google。

　　被阻止的网站，白名单和黄金名单被转换为响应策略区域(RPZ)格式，然后通过DNS区域传输推送到由分组交换所维护的世界各地的DNS服务器集群。DNS服务器群集(每个群集均使用dnsdist进行负载平衡)使用Unbound和PowerDNS服务器混合来提供响应。Baykal说：“我们在负载均衡器后面运行两种不同的变体，所以如果出现问题，我们可以把它解决，或者如果有严重的漏洞，我们可以关闭一个补丁。

　　截至发布时，全球70个不同地点都配置了DNS服务器集群，Baykal表示，该组织预计到今年年底将有100个站点正常运行。Baykal解释说，每个集群至少有三台服务器，“在芝加哥这样的一些关键领域，我们有五台，七台或九台系统在负载平衡器之后。每个实例都在虚拟机上运行，因此可以根据需要在Packet Clearing House的基础设施中部署更多的服务器。无论如何，DNS响应速度将会非常快，绝大多数用户不会注意到其中的差异。

　　如果一个域名在阻止列表中，那么服务只是用一个“NXDOMAIN”(不存在的域名)消息来响应查询。Rettinger表示：“它会打破DNS查询，但它往往比淹没更好，将恶意域转发给由服务控制的主机的做法，就像过去一些僵尸网络域一样。“

　　由于威胁行为在全球每天更新一至两次，因此Quad9可能不会对使用快速转换的DNS地址进行命令和控制的恶意软件产生太大影响。但它确实提供了基本级别的保护，可防止由主要威胁源拾取的域欺骗网络钓鱼攻击和其他基于Web的攻击。而且组织可以很容易地记录来自Quad9的响应，通过记录NXDOMAIN响应来识别自己网络中可能具有恶意软件的系统，也可能是针对网络钓鱼攻击的系统。