這個被稱為Quad9(在服務獲得的9.9.9.9網際網路協定位址之後)的免費公共域名服務系統,旨在阻止與僵屍網絡,網絡釣魚攻擊和其他惡意Internet主機相關的域名該服務和那些不運作自己的DNS黑名單和白名單服務的組織,以幫助減少網絡犯罪與任何其他公共DNS伺服器(例如Google's)一樣工作,除了它不會為通過威脅源識别的站點傳回名稱解析服務總量。Quad9由全球網絡聯盟執法和研究機建構立(GCA)-an組織、與IBM和合作資料包交換所聯合推出。
GCA總裁兼首席營運官Phil Rettinger在接受s采訪時說:“任何地方的人都可以使用它。他說,這個服務将是相對隐私敏感的,而不會記錄發出DNS請求的位址,我們将隻保留地理位置資料。為了跟蹤與特定惡意域名。我們匿名資料,犧牲隐私。
有關惡意域名的相關來源于19個威脅源,其中之一就是IBM的X-Force。GCA首席技術顧問Adnan Baykal表示,該服務以任何格式釋出這些威脅源,然後将其轉換成一個資料庫,再将其重複資料删除。Quad9還會生成一個永不禁止的域白名單。它使用了一百萬個被請求的域名清單。在開發過程中,Quad9使用Alexa,但現在Alexa的百萬站點名單不再被維護,Baykal說,GCA及其合作夥伴不得不尋求資料的替代來源 。Majestic Million每日一百萬個站點。
還有一個黃金名單就是永遠不應該被阻止的域名,比如微軟的Azure雲,谷歌和亞馬遜網絡服務等主要網際網路服務網站。Baykal說但是因為這是DNS過濾,是以我們不能專門封鎖這個網址,而且我們也不希望完全封鎖Google。
被阻止的網站,白名單和黃金名單被轉換為響應政策區域(RPZ)格式,然後通過DNS區域傳輸推送到由分組交換所維護的世界各地的DNS伺服器叢集。DNS伺服器群集(每個群集均使用dnsdist進行負載平衡)使用Unbound和PowerDNS伺服器混合來提供響應。Baykal說:“我們在負載均衡器後面運作兩種不同的變體,是以如果出現問題,我們可以把它解決,或者如果有嚴重的漏洞,我們可以關閉一個更新檔。
截至釋出時,全球70個不同地點都配置了DNS伺服器叢集,Baykal表示,該組織預計到今年年底将有100個站點正常運作。Baykal解釋說,每個叢集至少有三台伺服器,“在芝加哥這樣的一些關鍵領域,我們有五台,七台或九台系統在負載平衡器之後。每個執行個體都在虛拟機上運作,是以可以根據需要在Packet Clearing House的基礎設施中部署更多的伺服器。無論如何,DNS響應速度将會非常快,絕大多數使用者不會注意到其中的差異。
如果一個域名在阻止清單中,那麼服務隻是用一個“NXDOMAIN”(不存在的域名)消息來響應查詢。Rettinger表示:“它會打破DNS查詢,但它往往比淹沒更好,将惡意域轉發給由服務控制的主機的做法,就像過去一些僵屍網絡域一樣。“
由于威脅行為在全球每天更新一至兩次,是以Quad9可能不會對使用快速轉換的DNS位址進行指令和控制的惡意軟體産生太大影響。但它确實提供了基本級别的保護,可防止由主要威脅源拾取的域欺騙網絡釣魚攻擊和其他基于Web的攻擊。而且組織可以很容易地記錄來自Quad9的響應,通過記錄NXDOMAIN響應來識别自己網絡中可能具有惡意軟體的系統,也可能是針對網絡釣魚攻擊的系統。