Jump to content

Quad9 Public DNS 9.9.9.9 para bloquear Malware e Pishing


Revenge
 Share

Recommended Posts

Quote

New “Quad9” DNS service blocks malicious domains for everyone

Set DNS server to 9.9.9.9, and (known) malware and phishes won’t be able to phone home.

The Global Cyber Alliance (GCA)—an organization founded by law enforcement and research organizations to help reduce cyber-crime—has partnered with IBM and Packet Clearing House to launch a free public Domain Name Service system. That system is intended to block domains associated with botnets, phishing attacks, and other malicious Internet hosts—primarily targeted at organizations that don't run their own DNS blacklisting and whitelisting services. Called Quad9 (after the 9.9.9.9 Internet Protocol address the service has obtained), the service works like any other public DNS server (such as Google's), except that it won't return name resolutions for sites that are identified via threat feeds the service aggregates daily.

"Anyone anywhere can use it," said Phil Rettinger, GCA's president and chief operating officer, in an interview with Ars. The service, he says, will be "privacy sensitive," with no logging of the addresses making DNS requests—"we will keep only [rough] geolocation data," he said, for the purposes of tracking the spread of requests associated with particular malicious domains. "We're anonymizing the data, sacrificing on the side of privacy."

Intelligence on malicious domains comes from 19 threat feeds—one of which is IBM's X-Force. Adnan Baykal, GCA's Chief Technical Advisor, told Ars that the service pulls in these threat feeds in whatever format they are published in, and it converts them into a database that is then de-duplicated. Quad9 also generates a whitelist of domains never to block; it uses a list of the top one million requested domains. During development, Quad9 used Alexa, but now that Alexa's top million sites list is no longer being maintained, Baykal said that GCA and its partners had to turn to an alternative source for the data—the Majestic Million daily top-million sites feed.

There's also a "gold list"—domains that should never be blocked, such as major Internet service sites like Microsoft's Azure cloud, Google, and Amazon Web Services. "We do realize that docs.google.com is hosting phishing attacks," Baykal said. "But because this is DNS filtering, we cannot block that URL specifically. And we don't ever want to completely block Google."

The blocked sites, whitelist, and gold lists are then converted into a Response Policy Zone (RPZ) format before being pushed out to the clusters of DNS servers around the world maintained by Packet Clearing House via DNS zone transfers. The DNS server clusters, which are each load-balanced with dnsdist, use a mix of Unbound and PowerDNS servers to deliver responses. "We're running two different variants behind a load balancer," Baykal said, "so that if there's an issue with one we can take it down, or if there's a critical vulnerability, we can shut one down and patch it."

As of launch, there were clusters of DNS servers configured in 70 different locations around the world; Baykal said that the organization expects to have 100 sites up and running by the end of the year. Each cluster has at least three servers, Baykal explained, "and in some critical areas, like Chicago, we have five, seven, or nine systems behind load balancer." Each instance runs on a virtual machine, so additional servers can be provisioned in Packet Clearing House's infrastructure as needed. Regardless, DNS response speeds will be fast enough that the vast majority of users won't notice a difference.

If a domain name is in the block list, the service simply responds to the query with an "NXDOMAIN" (non-existant domain) message. "It will break DNS queries," Rettinger said, "but it tends to work better than sinkholing"—the practice of forwarding bad domains to a host controlled by the service, as has been done with some seized botnet domains in the past—"because if you sinkhole, you can break other things."

Since the threat feeds will be updated once or twice a day globally, Quad9 will likely not have much of an impact on malware that uses rapidly shifting DNS addresses for command and control. But it does offer a basic level of protection against domain-spoofing phishing attacks and other Web-based attacks that have been picked up by major threat feeds. And organizations can fairly easily log the responses back from Quad9 to identify systems in their own networks that may have malware or might have been targeted for phishing attacks by logging NXDOMAIN responses.

The Quad9 service is free, but it does need to be continually funded. GCA is a non-profit—so the long-term growth of the service is based largely on government and industry continuing to fund it. GCA itself was funded initially with $25 million in criminal asset forfeiture directed to the organization by Manhattan District Attorney Cyrus Vance Jr. Rettinger said that GCA is talking with other major DNS providers about how they can replicate Quad9's service, however—so there's a chance that GCA may be absorbed into the greater Internet's infrastructure.

https://arstechnica.com/information-technology/2017/11/new-quad9-dns-service-blocks-malicious-domains-for-everyone/

Alguém vai experimentar? 

Link to comment
Share on other sites

45 minutes ago, JP-- said:

Não querendo ser "aquele gajo", não é para esquecer que os servidores de DNS que usam ficam com uma boa ideia de todos os domínios (websites, serviços, etc) que acedem.

Sim, mas isso seja o serviço que usarmos, ficam com esses dados. Actualmente uso os da Google. 

Link to comment
Share on other sites

31 minutes ago, Revenge said:

Sim, mas isso seja o serviço que usarmos, ficam com esses dados. Actualmente uso os da Google. 

Sim todos ficam, aliás agora a questão é saber o que fazem com esses dados. Eu também uso os do Google, talvez os usem para direcionar publicidade mas por acaso é importante já que temos mesmo que dar essa informação que seja para empresas grandes e seguras. O google têm já tanta informação nossa que não é por saber mais 1 ou 2 coisas que me vou preocupar. Mas este novo serviço também me parece seguro afinal tem a IBM por trás, possivelmente até terá menos interesse nos sites que visitamos que o Google.

Link to comment
Share on other sites

9 minutes ago, invaderhd said:

Sim todos ficam, aliás agora a questão é saber o que fazem com esses dados. Eu também uso os do Google, talvez os usem para direcionar publicidade mas por acaso é importante já que temos mesmo que dar essa informação que seja para empresas grandes e seguras. O google têm já tanta informação nossa que não é por saber mais 1 ou 2 coisas que me vou preocupar. Mas este novo serviço também me parece seguro afinal tem a IBM por trás, possivelmente até terá menos interesse nos sites que visitamos que o Google.

Exacto. Também uso o Chrome, logo a Google se não souber o que visito pelo DNS, sabe pelo browser.

Link to comment
Share on other sites

  • 4 months later...

1.1.1.1 – Chegou o mais rápido e seguro serviço de DNS?

 

Por norma o serviço de DNS que usamos é o que é fornecido pelo ISP, que nos dá acesso à Internet. Na prática, quanto mais rápido o servidor de DNS resolver um nome num endereço IP mais rápida é certamente a navegação.

Hoje, a Cloudflare em parceria com a APNIC,  lançaram um serviço de DNS gratuito que referem ser o mais seguro e o mais rápido da atualidade.

 

Novo serviço de DNS da Cloudflare

De acordo com o comunicado, esta não é uma piada de 1 de abril. A escolha deste dia, para o lançamento deste serviço, está relacionado com o facto do endereço ter 4 1’s (1/4, referente ao dia).

Segundo os testes realizados, comparando a outros serviços de DNS populares, o serviço de DNS da Cloudflare é dos que garante menor latência, logo é dos mais rápidos. Podem ver todos os resultados aqui.

DNS_00.jpg

Ainda de acordo com o comunicado, este novo serviço de DNS não regista o endereço IP dos utilizadores (da mesma forma que outras empresas o identificam). A auditoria dos serviços é realizado pela empresa KPMG.

Para saberem como configurar o novo serviço de DNS basta que carreguem no link seguinte.

Via Cloudfare

 

  • Like 2
  • Thanks 2
Link to comment
Share on other sites

2 hours ago, Revenge said:

Os da Google sempre funcionaram bem por aqui, como tal não troco.

Nos dias que correm, confio muito mais na Cloudflare do que na Google. Assim que o serviço deles estiver mais estável (li que há sites que não abrem bem ainda) troco logo sem pensar duas vezes.

Link to comment
Share on other sites

5 minutes ago, Nazgulled said:

Nos dias que correm, confio muito mais na Cloudflare do que na Google. Assim que o serviço deles estiver mais estável (li que há sites que não abrem bem ainda) troco logo sem pensar duas vezes.

Uso o Chrome por ser o browser que melhor se adequa às minhas necessidades. A Google já tem acesso a todos os sites que visito através do Chrome, logo se colocar os dns da Cloudflare, passam a ser duas empresas a ter esses dados ao invés de apenas uma.

PS: Também não é que me faça ponta de diferença saberem que sites visitei. A verdadeira razão é que os dns da Google funcionam bem, logo não há necessidade de alterar. Se ficar provado que os da Cloudflare funcionam ainda melhor, vou equacionar a mudança.

Link to comment
Share on other sites

Os DNS influenciam a velocidade que eu interajo com uma VPS?
E se mudar o DNS nessa VPS, isso influência a velocidade que um determinado programa acede a um servidor (ping)?
Obrigado pelo esclarecimento, desde já!

Link to comment
Share on other sites

Just now, Blu3Rog3rs said:

Os DNS influenciam a velocidade que eu interajo com uma VPS?
E se mudar o DNS nessa VPS, isso influência a velocidade que um determinado programa acede a um servidor (ping)?
Obrigado pelo esclarecimento, desde já!

Pode influenciar a primeira vez, depois guarda em cache. Por exemplo, ao entrares aqui no FNF, não vai fazer dns lookup a cada request. O teu browser e mesmo o próprio SO guarda em cache que determinado domínio corresponde a determinado IP.

Por exemplo ao entrar agora no FNF, repara na imagem em baixo que demorou 0ms a fazer o dns lookup(está em cache).

SARWIWA.png

  • Like 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.