家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

Quad9とは

概要

「Quad9」は、IBM Security、PCH(Packet Clearing House)、Global Cyber Alliance(GCA)が共同で提供している無償のDNSサービスで、 フィッシングや、マルウェアの感染等、不正行為が確認されたWebサイトへのアクセスをブロックすることができます。

この記事では「Quad9」について調べたことをまとめます。

 

   

 

 

Quad9の使い方

「Quad9」はIPアドレス(9.9.9.9)で提供されており、DNSサーバの設定を変更することで使用できます。

なお、「How DNS Works」(YouTube)の詳細とQuad9への切り替え方法の全手順はQuad 9のサイトでも確認できます。

「Quad9」をDNSに指定することで、悪性サイトの名前解決つをした時点でQuad9はそのアクセスをブロックします。

 

実際の動作イメージ

URL Haus等に掲載されているようなURLで実際の動作を確認してみます。

GoogleのパブリックDNS(8.8.8.8)では名前解決の応答があるのに対して、Quad9では名前解決に失敗していることが確認できました。

動作イメージ

 

補足:DNSの脅威情報

名称 概要
DNSハイジャック ドメインの管理権限を持たない第三者が、不正な手段でドメイン名を自身の支配下に置くこと。
DNSキャッシュポイズニング 偽のDNS応答をフルサービスリゾルバにキャッシュさせることで、利用者のアクセスを攻撃者が用意したサーバに誘導、フィッシングなどを図る攻撃手法。
DNSアンプ攻撃 DNSの応答送信元IPアドレスを偽った通常のDNS問い合わせをDNSサーバに送ることでDDoSを行う。
DNSトンネリング コマンド&コントロール(C&C)の通信や少量のデータを徐々にやり取りすること。
Domain Generation Algorithm(DGA)

従来のマルウェアは、ハードコードされたリストに基づきC&Cサーバへ接続を試みていましたが、時間経過とともにIoC等で検知されるようになります。

DGAは上記の課題に対応するために機械的にC&Cサーバのドメインを大量に⽣成し、通信確⽴を試みる手法。

類似ドメイン 企業のサイトやサービスと紛らわしいURLのサイトを立て、ユーザにアクセスさせる手法。

 

参考にさせていただいたサイト

貴重な情報をありがとうございます。

https://www.coresecurity.com/sites/default/files/resources/2018/05/WP_DGAs-in-the-Hands-of-Cyber-Criminals.pdf

https://www.idaten.ne.jp/portal/page/out/dsf2/C1453_maker.pdf