Networkforensic
Threat hunting
DNS4EU
07 Juli 2025 - Blog Post # 874
DNS4EU et
projekt jeg varmt kan anbefale
Mange benytter i dag Google DNS, Cloudflare DNS, Quad9 osv... Men
det her projekt hvor data bliver i EU er mere min kop te end man
sender alt afsted til eks verdens største marketings firma.
Tracking
Noget der eks har fået mig til at koge lidt længe er eks Googles og
andres brug af DNS ECS.
Det betyder meget kort at man kan sende sin indterne IP adresser afsted til
google som giver den videre til en eventuel angriber. Det betyder
også at hvis en attacker opretter sin egen NS service og benytter
DNS ECS så får en attacker også ens indterne IP adresse. Så kan de
jo rigtigt holde øje med deres attacks og hvem de rammer. Det har
virkelig fået mit hovede til at koge i lang tid. For ting som
Phishing kampanger mm er fuldt supporteret med brugen af DNS ECS. Så
selvom DNS ECS skulle være en hastigheds optmerings ting, så har det
altså også nogen privacy bekymringer.
GDPR, Malware test
Om DNS4EU er DNS ECS
understøttet, ved jeg faktisk ikke pt. Dog har jeg testet en hel del kendte malware domæner, der alle
lader til at blive blokeret. Malware domæner er noget jeg ser
igennem mit daglige job hele tiden, Så det må siges at være de nyeste
jeg render på, som jeg så kan teste imod. Her er jeg slet ikke
utilfreds. Desuden er det hele underlagt GDPR, så alt bliver inden
for EU, hvilket er meget fint.
Svartider og opsætning
Jeg har fået meget hurtige svar tider på min DNS, hvilket jeg er
meget tilfreds med, Sammenlagt har jeg måtte bruge ca 30 min på
omlægnig fra Google DNS til DNS4EU det er vel og mærket på 2
forskellige netværk. Det skyldes nok også at jeg i forvejen har en
stram politik omkring DNS i mit eget miljø. Så det er faktisk kun 3
steder det skulle skiftes ip adresser, som er på to SPLITDNS
løsninger fra
Nxfilter og en enkelt firewall fra
PfSense der
skal bruge sin egen eksterne DNS ip.
Consortium
Det er bestemt heller ikke ukendte der er med i dette projekt som
bla tæller
F-Secure,
Whalebone, CZ.NIC,
med flere.
Her er jeg heller ikke utilfreds med dem der indgår i dette. Som
allesammen er stærke inden for deres områder.
Protective resolution with ad-blocking
Lige nu tester jeg selv "Protective resolution with ad-blocking"
løsningen som er deres public løsning, der er forskellige man kan
benytte hos dem. Sågar en Unfiltered public løsning. Men der er også
løsninger til bla, Governments, Telcos, og CERT, CSIRT og NCSC
teams. Til CERT teams er denne indbefatte Threat intelligence.
Det super fede er at de understøtter direkte
DNS over HTTPS,
DNS over TLS som passer direkte ind i NxFilter. På den måde kan man
styre at alle ens DNS opslag bliver krypteret ud imod deres løsning.
Der findes forskellige løsninger på DNS4EU hjemmeside man kan gøre
brug af.
https://www.joindns4.eu/for-public
Så de oplysning man bare skal brug til den public løsning jeg tester
er følgende som også passer direkte ind i Nxfilter.
IP address
IPv6
DNS over HTTPS
DNS over TLS
86.54.11.13
2a13:1001::86:54:11:13
https://noads.joindns4.eu/dns-query
noads.joindns4.eu
86.54.11.213
2a13:1001::86:54:11:213
SNORT
NF IDS Rules
Latest Updates
NGROK Tunnels
Top 10 bad TLD
Danish law DNS blocking
Trojan
Winn32/Stealc
NoMachine
Busybox Shell
Redline Stealer
Unsupported IIS 8.0
Download
Suricata
NF IDS Rules
3 Latest Updates
NGROK Tunnels
BIMP-BotNet
Remcos-RAT
Download
Sysmon
Config
Latest Updates
Version 15.15 Config 99
Download