全球网络联盟执法和研究机构建立(GCA)-an组织,以帮助减少网络犯罪,已与IBM和合作数据包交换所推出一个免费的公共域名服务系统。该系统主要在阻止与僵尸网络,网络钓鱼攻击和其他恶意Internet主机相关的域名,主要针对那些不运行自己的DNS黑名单和白名单服务的组织。被称为Quad9(在服务获得的9.9.9.9互联网协议地址之后),该服务与任何其他公共DNS服务器(例如Google's)一样工作,除了它不会为通过威胁源识别的站点返回名称解析服务总量。
GCA总裁兼首席运营官Phil Rettinger在接受s采访时说:“任何地方的人都可以使用它。他说,这个服务将是相对隐私敏感的,而不会记录发出DNS请求的地址,我们将只保留地理位置数据。为了跟踪与特定恶意域名。我们匿名数据,牺牲隐私。
有关恶意域名的相关来源于19个威胁源,其中之一就是IBM的X-Force。GCA首席技术顾问Adnan Baykal表示,该服务以任何格式发布这些威胁源,然后将其转换成一个数据库,再将其重复数据删除。Quad9还会生成一个永不禁止的域白名单。它使用了一百万个被请求的域名列表。在开发过程中,Quad9使用Alexa,但现在Alexa的百万站点名单不再被维护,Baykal说,GCA及其合作伙伴不得不寻求数据的替代来源 。Majestic Million每日一百万个站点。
还有一个黄金名单就是永远不应该被阻止的域名,比如微软的Azure云,谷歌和亚马逊网络服务等主要互联网服务网站。Baykal说但是因为这是DNS过滤,所以我们不能专门封锁这个网址,而且我们也不希望完全封锁Google。
被阻止的网站,白名单和黄金名单被转换为响应策略区域(RPZ)格式,然后通过DNS区域传输推送到由分组交换所维护的世界各地的DNS服务器集群。DNS服务器群集(每个群集均使用dnsdist进行负载平衡)使用Unbound和PowerDNS服务器混合来提供响应。Baykal说:“我们在负载均衡器后面运行两种不同的变体,所以如果出现问题,我们可以把它解决,或者如果有严重的漏洞,我们可以关闭一个补丁。
截至发布时,全球70个不同地点都配置了DNS服务器集群,Baykal表示,该组织预计到今年年底将有100个站点正常运行。Baykal解释说,每个集群至少有三台服务器,“在芝加哥这样的一些关键领域,我们有五台,七台或九台系统在负载平衡器之后。每个实例都在虚拟机上运行,因此可以根据需要在Packet Clearing House的基础设施中部署更多的服务器。无论如何,DNS响应速度将会非常快,绝大多数用户不会注意到其中的差异。
如果一个域名在阻止列表中,那么服务只是用一个“NXDOMAIN”(不存在的域名)消息来响应查询。Rettinger表示:“它会打破DNS查询,但它往往比淹没更好,将恶意域转发给由服务控制的主机的做法,就像过去一些僵尸网络域一样。“
由于威胁行为在全球每天更新一至两次,因此Quad9可能不会对使用快速转换的DNS地址进行命令和控制的恶意软件产生太大影响。但它确实提供了基本级别的保护,可防止由主要威胁源拾取的域欺骗网络钓鱼攻击和其他基于Web的攻击。而且组织可以很容易地记录来自Quad9的响应,通过记录NXDOMAIN响应来识别自己网络中可能具有恶意软件的系统,也可能是针对网络钓鱼攻击的系统。
Quad9服务是免费的,但需要不断资助。GCA是一个非营利性组织,因此服务的长期增长主要基于政府和行业的持续资助。GCA本身最初是由曼哈顿地区律师Cyrus Vance Jr.提供的2500万美元的资产没收资金。Rettinger说,GCA正在与其他主要的DNS提供商谈论如何复制Quad9的服务。所以有机会GCA可能被吸收到更大的互联网基础设施中。