概要
「Quad9」は、IBM Security、PCH(Packet Clearing House)、Global Cyber Alliance(GCA)が共同で提供している無償のDNSサービスで、 フィッシングや、マルウェアの感染等、不正行為が確認されたWebサイトへのアクセスをブロックすることができます。
この記事では「Quad9」について調べたことをまとめます。
Quad9の使い方
「Quad9」はIPアドレス(9.9.9.9)で提供されており、DNSサーバの設定を変更することで使用できます。
なお、「How DNS Works」(YouTube)の詳細とQuad9への切り替え方法の全手順はQuad 9のサイトでも確認できます。
「Quad9」をDNSに指定することで、悪性サイトの名前解決つをした時点でQuad9はそのアクセスをブロックします。
実際の動作イメージ
URL Haus等に掲載されているようなURLで実際の動作を確認してみます。
GoogleのパブリックDNS(8.8.8.8)では名前解決の応答があるのに対して、Quad9では名前解決に失敗していることが確認できました。
補足:DNSの脅威情報
名称 | 概要 |
DNSハイジャック | ドメインの管理権限を持たない第三者が、不正な手段でドメイン名を自身の支配下に置くこと。 |
DNSキャッシュポイズニング | 偽のDNS応答をフルサービスリゾルバにキャッシュさせることで、利用者のアクセスを攻撃者が用意したサーバに誘導、フィッシングなどを図る攻撃手法。 |
DNSアンプ攻撃 | DNSの応答送信元IPアドレスを偽った通常のDNS問い合わせをDNSサーバに送ることでDDoSを行う。 |
DNSトンネリング | コマンド&コントロール(C&C)の通信や少量のデータを徐々にやり取りすること。 |
Domain Generation Algorithm(DGA) |
従来のマルウェアは、ハードコードされたリストに基づきC&Cサーバへ接続を試みていましたが、時間経過とともにIoC等で検知されるようになります。 DGAは上記の課題に対応するために機械的にC&Cサーバのドメインを大量に⽣成し、通信確⽴を試みる手法。 |
類似ドメイン | 企業のサイトやサービスと紛らわしいURLのサイトを立て、ユーザにアクセスさせる手法。 |
参考にさせていただいたサイト
貴重な情報をありがとうございます。
https://www.idaten.ne.jp/portal/page/out/dsf2/C1453_maker.pdf