Networkforensic

Threat hunting

DNS4EU

 07 Juli 2025  - Blog Post # 874

DNS4EU et projekt jeg varmt kan anbefale
Mange benytter i dag Google DNS, Cloudflare DNS, Quad9 osv... Men det her projekt hvor data bliver i EU er mere min kop te end man sender alt afsted til eks verdens største marketings firma.



Tracking
Noget der eks har fået mig til at koge lidt længe er eks Googles og andres brug af DNS ECS. Det betyder meget kort at man kan sende sin indterne IP adresser afsted til google som giver den videre til en eventuel angriber. Det betyder også at hvis en attacker opretter sin egen NS service og benytter DNS ECS så får en attacker også ens indterne IP adresse. Så kan de jo rigtigt holde øje med deres attacks og hvem de rammer. Det har virkelig fået mit hovede til at koge i lang tid. For ting som Phishing kampanger mm er fuldt supporteret med brugen af DNS ECS. Så selvom DNS ECS skulle være en hastigheds optmerings ting, så har det altså også nogen privacy bekymringer.

GDPR, Malware test
Om  DNS4EU er DNS ECS understøttet, ved jeg faktisk ikke pt.  Dog har jeg testet en hel del kendte malware domæner, der alle lader til at blive blokeret. Malware domæner er noget jeg ser igennem mit daglige job hele tiden, Så det må siges at være de nyeste jeg render på, som jeg så kan teste imod. Her er jeg slet ikke utilfreds. Desuden er det hele underlagt GDPR, så alt bliver inden for EU, hvilket er meget fint.

Svartider og opsætning
Jeg har fået meget hurtige svar tider på min DNS, hvilket jeg er meget tilfreds med, Sammenlagt har jeg måtte bruge ca 30 min på omlægnig fra Google DNS til DNS4EU det er vel og mærket på 2 forskellige netværk. Det skyldes nok også at jeg i forvejen har en stram politik omkring DNS i mit eget miljø. Så det er faktisk kun 3 steder det skulle skiftes ip adresser, som er på to SPLITDNS løsninger fra Nxfilter og en enkelt firewall fra PfSense der skal bruge sin egen eksterne DNS ip.

Consortium
Det er bestemt heller ikke ukendte der er med i dette projekt som bla tæller F-Secure, Whalebone, CZ.NIC, med flere. Her er jeg heller ikke utilfreds med dem der indgår i dette. Som allesammen er stærke inden for deres områder.

Protective resolution with ad-blocking
Lige nu tester jeg selv "Protective resolution with ad-blocking" løsningen som er deres public løsning, der er forskellige man kan benytte hos dem. Sågar en Unfiltered public løsning. Men der er også løsninger til bla, Governments, Telcos, og CERT, CSIRT og NCSC teams. Til CERT teams er denne indbefatte Threat intelligence.

Det super fede er at de understøtter direkte DNS over HTTPS, DNS over TLS som passer direkte ind i NxFilter. På den måde kan man styre at alle ens DNS opslag bliver krypteret ud imod deres løsning.

Der findes forskellige løsninger på DNS4EU hjemmeside man kan gøre brug af.
https://www.joindns4.eu/for-public



Så de oplysning man bare skal brug til den public løsning jeg tester er følgende som også passer direkte ind i Nxfilter.

IP address IPv6 DNS over HTTPS DNS over TLS
86.54.11.13 2a13:1001::86:54:11:13 https://noads.joindns4.eu/dns-query noads.joindns4.eu
86.54.11.213 2a13:1001::86:54:11:213    


 SNORT
NF IDS Rules

Latest Updates

NGROK Tunnels

Top 10 bad TLD

Danish law DNS blocking

Trojan Winn32/Stealc

NoMachine

Busybox Shell

Redline Stealer

Unsupported IIS 8.0

Download   
 

 Suricata
NF IDS Rules

3 Latest Updates

NGROK Tunnels

BIMP-BotNet

Remcos-RAT
 

Download

Sysmon Config
Latest Updates

Version 15.15 Config 99

Download