• Published:
  • Updated:
  • Written by:

CenturionDNS Resolver

Fast | Free | Open Source | Reliable | Secure

CenturionDNS powered by coresecret.eu sind

  • zensurfreie,
  • verschlüsselnde,
  • öffentliche und
  • redundante

DNS-Resolver ohne Logging, basierend auf der kuratierten Centurion Titanium Ultimate Blocklist powered by AdGuard und Mitgliedern der FOSS-Community mit Serverstandorten in Deutschland, Finnland und Österreich, in zwei verschiedenen AS und TLD lokalisiert und nutzen einen lokalen Unbound als Upstream-Server.

Neben dem klassischen Blocken von unerwünschten Domains sind die CenturionDNS Server zusätzlich gegen

  • Spoofing, Rebinding, Route Leak (Fullbogons) (Updates werden alle 24 Stunden gezogen),
  • aktiv maliziöse, aber geroutete IP-Netze (Updates werden alle 30 Minuten gezogen),
  • frisch registrierte Malware- & C2-Domains (Updates werden alle 60 Minuten gezogen)

gehärtet. Details zum Setup sind hier beschrieben.

Namensauflösungen werden verschlüsselt (DoH, DoT, DoQ, DNScrypt) übertragen und bieten Schutz vor Manipulationen oder Umleitungen auf gefälschte Seiten. Zusätzlich erfolgt kein Logging der Zugriffe. Unerwünschte Werbung wird erst gar nicht geladen und spart somit Ressourcen. Meine Server verschlüsseln im Modus DNS-over-HTTPS, sofern die anfragenden Clients dies unterstützen, den gesamten DNS-Verkehr mittels:

(TLS1.3)-(ECDHE-X448)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)
Übersicht

Features
FeatureValue
DNSSEC validating ✓
QNAME minimisation ✓
DANEsecured ✓
SVCBmandatory="alpn,dohpath" preventing downgrade ✓
HSTS-Preloadeddns.eu and eddns.de submitted ✓
CipherAES-256 only (DoH) ✓
Qualys AuditA+ Quadruple 100 % Rating ✓
FilterCenturion Titanium Ultimate by coresecret.eu
Fullbogonssecured ✓
Malicious IP-Netssecured ✓
Filter Updatehourly ✓
Server LocationGermany, Finnland & Austria ✓
Privacyno logging policy ✓
Query Logoff ✓
Limits64 queries / second && /24 || /64 Subnet ✓
Filtered QueriesNXDomain ✓
DNS stampsprovided ✓
iOS MobileConfigprovided ✓
Security FeaturesCISS, SIEM, HW FW, fail2ban, ufw, rate-limit, systemd hardening
TLS Certificatezerossl.com RSA-4096 SHA384 ✓ Validity: 365 days ✓
TLS Certificate in use SPKITE9/FTuOCifWujXhlcb56hnfT8cUjd9wODYi2akf2Gw=
MonitoringCenturionNet Statuscertspotter.eu
security.txtprovided ✓
Plain DNS | Unverschlüsselt
Port: 53/udp
dns01.eddns.eu: 135.181.207.105
dns02.eddns.de: 89.58.62.53
dns03.eddns.eu: 138.199.237.109
dns01.eddns.eu: 2a01:4f9:c012:a813:135:181:207:105
dns02.eddns.de: 2a0a:4cc0:1:e6:89:58:62:53
dns03.eddns.eu: 2a01:4f8:c013:8011:138:199:237:109
DNSCrypt
Port: 4343/udp
dns01.eddns.eu: 135.181.207.105
dns02.eddns.de: 89.58.62.53
dns03.eddns.eu: 138.199.237.109
DNS-over-HTTPS (DoH)
Port: 443/tcp
https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query
DNS-over-Quic (DoQ)
Port: 853/udp
quic://dns01.eddns.eu:853
quic://dns02.eddns.de:853
quic://dns03.eddns.eu:853
DNS-over-TLS (DoT)
Port: 853/tcp
dns01.eddns.eu
dns02.eddns.de
dns03.eddns.eu
Current Certificate tbs-Hash
echo | openssl s_client -connect dns01.eddns.eu:853 -servername dns01.eddns.eu 2>/dev/null | openssl x509 -outform der | openssl asn1parse -inform der -strparse 4 -noout -out /tmp/tbs.der && openssl dgst -sha256 /tmp/tbs.der
SHA2-256(/tmp/tbs.der)= 8aa49e2060622524d9afc0fd810c57d3073dfe222f5edd0d8d8570a260576572
DNS Stamps dns01.eddns.eu
# dns01.eddns.eu DNSCrypt IPv4
sdns://AQMAAAAAAAAAFDEzNS4xODEuMjA3LjEwNTo0MzQzIHXJhJskRmhFX7e2WZZffAaLUmMVVjOsZfH25cQjZA1mHjIuZG5zY3J5cHQtY2VydC5kbnMwMS5lZGRucy5ldQ

# dns01.eddns.eu DoH IPv4
sdns://AgMAAAAAAAAADzEzNS4xODEuMjA3LjEwNSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMS5lZGRucy5ldQovZG5zLXF1ZXJ5

# dns01.eddns.eu DoH IPv6
sdns://AgMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMS5lZGRucy5ldQovZG5zLXF1ZXJ5

# dns01.eddns.eu DoQ IPv4
sdns://BAMAAAAAAAAADzEzNS4xODEuMjA3LjEwNSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM

# dns01.eddns.eu DoQ IPv6
sdns://BAMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM

# dns01.eddns.eu DoT IPv4
sdns://AwMAAAAAAAAADzEzNS4xODEuMjA3LjEwNSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM

# dns01.eddns.eu DoT IPv6
sdns://AwMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM

# 135.181.207.105:53
sdns://AAMAAAAAAAAAEjEzNS4xODEuMjA3LjEwNTo1Mw

# [2a01:4f9:c012:a813:135:181:207:105]:53
sdns://AAMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XQ
DNS Stamps dns02.eddns.de
# dns02.eddns.de DNSCrypt IPv4
sdns://AQMAAAAAAAAAEDg5LjU4LjYyLjUzOjQzNDMgpkXLk2QX2BqlVL7V0giuNznDy2EOYJcb5EYyNPupAsoeMi5kbnNjcnlwdC1jZXJ0LmRuczAyLmVkZG5zLmRl

# dns02.eddns.de DoH IPv4
sdns://AgMAAAAAAAAACzg5LjU4LjYyLjUzIIqkniBgYiUk2a_A_YEMV9MHPf4iL17dDY2FcKJgV2VyDmRuczAyLmVkZG5zLmRlCi9kbnMtcXVlcnk

# dns02.eddns.de DoH IPv6
sdns://AgMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10giqSeIGBiJSTZr8D9gQxX0wc9_iIvXt0NjYVwomBXZXIOZG5zMDIuZWRkbnMuZGUKL2Rucy1xdWVyeQ

# dns02.eddns.de DoQ IPv4
sdns://BAMAAAAAAAAACzg5LjU4LjYyLjUzIIqkniBgYiUk2a_A_YEMV9MHPf4iL17dDY2FcKJgV2VyEmRuczAyLmVkZG5zLmRlOjg1Mw

# dns02.eddns.de DoQ IPv6
sdns://BAMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10giqSeIGBiJSTZr8D9gQxX0wc9_iIvXt0NjYVwomBXZXISZG5zMDIuZWRkbnMuZGU6ODUz

# dns02.eddns.de DoT IPv4
sdns://AwMAAAAAAAAACzg5LjU4LjYyLjUzIIqkniBgYiUk2a_A_YEMV9MHPf4iL17dDY2FcKJgV2VyEmRuczAyLmVkZG5zLmRlOjg1Mw

# dns02.eddns.de DoT IPv6
sdns://AwMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10giqSeIGBiJSTZr8D9gQxX0wc9_iIvXt0NjYVwomBXZXISZG5zMDIuZWRkbnMuZGU6ODUz

# 89.58.62.53:53
sdns://AAMAAAAAAAAACzg5LjU4LjYyLjUz

# [2a0a:4cc0:1:e6:89:58:62:53]:53
sdns://AAMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10
DNS Stamps dns03.eddns.eu
# dns03.eddns.eu DNSCrypt IPv4
sdns://AQMAAAAAAAAAFDEzOC4xOTkuMjM3LjEwOTo0MzQzINKCZ9sYO7ZF6haOdGc6W2e73sEisojpmLUMaRbN_842HjIuZG5zY3J5cHQtY2VydC5kbnMwMy5lZGRucy5ldQ

# dns03.eddns.eu DoH IPv4
sdns://AgMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMy5lZGRucy5ldQovZG5zLXF1ZXJ5

# dns03.eddns.eu DoH IPv6
sdns://AgMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMy5lZGRucy5ldQovZG5zLXF1ZXJ5

# dns03.eddns.eu DoQ IPv4
sdns://BAMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM

# dns03.eddns.eu DoQ IPv6
sdns://BAMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM

# dns03.eddns.eu DoT IPv4
sdns://AwMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM

# dns03.eddns.eu DoT IPv6
sdns://AwMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM

# 138.199.237.109:53
sdns://AAMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOQ

# [2a0a:4cc0:1:e6:89:58:62:53]:53
sdns://AAMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XQ
Einstellungen
Android

Ab Android Version 9 lässt sich DNS-over-TLS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Verbinden und teilen > Privates DNS

eintragen:

dns01.eddns.eu
dns02.eddns.de
dns03.eddns.eu
iOS

iOS 14 und folgende: CenturionDNS Konfigurationsdatei:

centurion_dns-signedHerunterladen
Firefox

In den aktuellen Firefox Versionen, bspw. Version 127.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Datenschutz & Sicherheit > DNS über HTTPS aktivieren >
Maximaler Schutz > Benutzerdefiniert

eintragen:

https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query

TRR (Trusted Recursive Resolver):

In einer leeren Adresszeile die Adresse about:config eingeben.

Im sodann erscheinenden Suchfeld network.trr.mode eingeben.

Den dortigen Wert mit dem Bearbeiten-Stift auf 3 setzen, um den Fallback auf den System-DNS zu vermeiden.

Thunderbird oder Betterbird

In den aktuellen Thunderbird und Betterbrid Versionen, bspw. Version 115.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Allgemein > Netzwerk & Speicherplatz > Verbdindung >
DNS über HTTPS aktivieren > Benutzerdefiniert

eintragen:

https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query

TRR (Trusted Recursive Resolver):

Einstellungen > Allgemein > Konfiguration bearbeiten

Im sodann erscheinenden Suchfeld network.trr.mode eingeben.

Den dortigen Wert mit dem Bearbeiten-Stift auf 3 setzen, um den Fallback auf den System-DNS zu vermeiden.

Chrome oder Chromium Derivate

In den aktuellen Chrome Versionen, bspw. Version 126.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Datenschutz und Sicherheit > Sicherheit > Sicheres DNS verwenden > Benutzerdefiniert

eintragen:

https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query
Microsoft Edge

In den aktuellen Chrome Versionen, bspw. Version 126.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Datenschutz, Suche und Dienste > Sicherheit >
Verwenden Sie sicheres DNS, um anzugeben, wie die Netzwerkadresse für Websites nachzuschlagen ist > Einen Diensteanbieter auswählen

eintragen:

https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query

Online Tests

Tool KlasseURL
Validate DNS Resolverhttps://browserleaks.com/dns
https://dnsleaktest.com
https://ipleak.net
https://which.nameserve.rs
https://www.dnscheck.tools/
Validate Adblocking Efficiencyhttps://blockads.fivefilters.org/
https://ads-blocker.com/testing/
https://adblock-tester.com/
Aktualisiert: 06.04.2025, 11:50 UTC

Centurion Titanium Ultimate Blocklist by coresecret.eu

Die DNS-Resolver filtern Ad-, Tracking- und Malwaredomains aus der folgenden kombinierten, komprimierten, gefilterten, von Duplikaten bereinigten, validierten und sortierten Adblock-Filterliste der primären Quellen, die im Abschnitt „Primäre Blocklisten” aufgelistet sind. Diese Liste wird stündlich neu erstellt und von allen DNS-Resolvern ebenfalls stündlich abgefragt. Sie umfasst zusätzlich sämtliche neu registrierten Domains weltweit der letzten 14 Tage, da in dieser frühen Phase überdurchschnittlich viel Schad­verkehr beobachtet wird.

https://dns01.eddns.eu/blocklists/centurion_titanium_ultimate.txt

Zum Kompilieren wird der Adguard HostlistCompiler mit folgenden Einstellungen verwendet:

{
...
  "sources": [
    {
...
    }
  ],
  "transformations": [
    "RemoveComments",
    "Compress",
    "RemoveModifiers", 
    "Validate", 
    "ValidateAllowIp", 
    "Deduplicate", 
    "RemoveEmptyLines", 
    "TrimLines", 
    "InsertFinalNewLine"
  ]
}
Stand:08.07.2025
Geblockte Domains:2.532.825
Listen Total:72
Whitelist Einträge:11
Aktualisiert: 08.07.2025, 00:00 UTC

Domain-Whitelist beantragen: dns@coresecret.eu

Primäre Blocklisten

https://adguardteam.github.io/HostlistsRegistry/assets/filter_1.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_59.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_53.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_4.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_12.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_39.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_6.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_7.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_8.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_3.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_46.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_55.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_52.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/fake.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_56.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_44.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_49.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.amazon.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.apple.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.huawei.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.lgwebos.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.oppo-realme.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.tiktok.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.vivo.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.winoffice.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.xiaomi.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_11.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_27.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_50.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_18.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_30.txt
https://malware-filter.gitlab.io/malware-filter/phishing-filter-agh.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_10.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_57.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_42.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_31.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_33.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_9.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_23.txt
https://perflyst.github.io/PiHoleBlocklist/AmazonFireTV.txt
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt
https://raw.githubusercontent.com/hkamran80/blocklists/main/smart-tv.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_29.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_21.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_35.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_43.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_25.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_15.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_36.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_20.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_41.txt
https://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/quad9_blocklist.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2019-03-06_egypt_oauth/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2020-03-12_uzbekistan/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2020-09-25_finfisher/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-05-28_qatar/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-07-18_nso/v2_domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-07-18_nso/v3_domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-07-18_nso/v4_domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-07-18_nso/v4_validation_domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-07-18_nso/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-10-07_donot/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-12-16_cytrox/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2023-03-29_android_campaign/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2024-05-02_wintego_helios/domains.txt
https://raw.githubusercontent.com/FadeMind/hosts.extras/master/UncheckyAds/hosts
https://storage.googleapis.com/nsablocklist/hosts
https://filters.adtidy.org/extension/chromium/filters/1.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/dyndns.txt
https://raw.githubusercontent.com/xRuffKez/NRD/refs/heads/main/lists/14-day/adblock/nrd-14day_adblock.txt
https://threatfox.abuse.ch/downloads/hostfile/
Filter List NameURL
AdGuard DNS filterhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_1.txt
AdGuard DNS Popup Hosts filterhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_59.txt
AWAvenue Ads Rulehttps://adguardteam.github.io/HostlistsRegistry/assets/filter_53.txt
Dan Pollock Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_4.txt
Dandelion Anti-Malware Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_12.txt
Dandelion Anti Push Notificationshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_39.txt
Dandelion Game Console Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_6.txt
Dandelion Smart-TV Blocklisthttps://adguardteam.github.io/HostlistsRegistry/assets/filter_7.txt
NoCoin Filter Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_8.txt
Peter Lowe Blocklisthttps://adguardteam.github.io/HostlistsRegistry/assets/filter_3.txt
HaGeZi Anti-Piracy Blocklisthttps://adguardteam.github.io/HostlistsRegistry/assets/filter_46.txt
HaGeZi Badware Hoster Blocklisthttps://adguardteam.github.io/HostlistsRegistry/assets/filter_55.txt
HaGeZi Encrypted DNS/VPN/TOR/Proxy Bypasshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_52.txt
HaGeZi Fake DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/fake.txt
HaGeZi World’s Most Abused TLDshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_56.txt
HaGeZi Threat Intelligence Feedshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_44.txt
HaGeZi Ultimate Blocklisthttps://adguardteam.github.io/HostlistsRegistry/assets/filter_49.txt
HaGeZi Amazon Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.amazon.txt
HaGeZi Apple Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.apple.txt
HaGeZi Huawei Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.huawei.txt
HaGeZi LG webOS Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.lgwebos.txt
HaGeZi OPPO & Realme Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.oppo-realme.txt
HaGeZi TikTok Fingerprinting DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.tiktok.txt
HaGeZi Vivo Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.vivo.txt
HaGeZi Windows/Office Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.winoffice.txt
HaGeZi Xiaomi Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.xiaomi.txt
Malicious URL Blocklist (URLHaus)https://adguardteam.github.io/HostlistsRegistry/assets/filter_11.txt
OISD Blocklist Bighttps://adguardteam.github.io/HostlistsRegistry/assets/filter_27.txt
uBlock filters – Badware riskshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_50.txt
Phishing Army | The Blocklist to filter Phishinghttps://adguardteam.github.io/HostlistsRegistry/assets/filter_18.txt
Phishing URL Blocklist (PhishTank and OpenPhish)https://adguardteam.github.io/HostlistsRegistry/assets/filter_30.txt
Phishing URL Blocklist (AdGuard Home)https://malware-filter.gitlab.io/malware-filter/phishing-filter-agh.txt
Scam Blocklist by DurableNapkinhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_10.txt
ShadowWhisperer Dating Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_57.txt
ShadowWhisperer Malware Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_42.txt
Stalkerware Indicators Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_31.txt
Steven Black Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_33.txt
The Big List of Hacked Malware Web Siteshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_9.txt
WindowsSpyBlocker – Hosts spy ruleshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_23.txt
Amazon FireTVhttps://perflyst.github.io/PiHoleBlocklist/AmazonFireTV.txt
NoTrack Tracker Blocklisthttps://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt
NoTrack Malware Blocklisthttps://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt
Smart TV Blocklisthttps://raw.githubusercontent.com/hkamran80/blocklists/main/smart-tv.txt
CHN: AdRules DNS Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_29.txt
CHN: anti-ADhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_21.txt
HUN: Hufilterhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_35.txt
ISR: EasyList Hebrewhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_43.txt
KOR: List-KR DNShttps://adguardteam.github.io/HostlistsRegistry/assets/filter_25.txt
KOR: YousListhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_15.txt
LIT: EasyList Lithuaniahttps://adguardteam.github.io/HostlistsRegistry/assets/filter_36.txt
MKD: Macedonian Pi-hole Blocklisthttps://adguardteam.github.io/HostlistsRegistry/assets/filter_20.txt
POL: CERT Polska List of malicious domainshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_41.txt
https://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/quad9_blocklist.txthttps://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/quad9_blocklist.txt
HaGeZi’s DynDNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/dyndns.txt
A daily updated list of newly registered domains from the past 14 for blocking, monitoring and analysis.https://raw.githubusercontent.com/xRuffKez/NRD/refs/heads/main/lists/14-day/adblock/nrd-14day_adblock.txt
ThreatFox list of domain based IOCs.https://threatfox.abuse.ch/downloads/hostfile/
Aktualisiert: 12.10.2024, 17:50 UTC
Unterstützte Cipher

Die DNS-over-HTTPS Server unterstützen ausschließlich die folgenden Ciphersuiten.

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
AdGuard & Unbound mit ThreatFox, FireHOL L4 & Team-Cymru Fullbogons

ThreatFox ist ein Community-Projekt von abuse.ch, das beobachtete Malware-Domains und -Hosts in Echtzeit als IOC (Indicator of Compromise) publiziert. Die Besonderheiten:

  • Stündliche Aktualisierung – binnen weniger Minuten nach der ersten Infektion ist die Domain im Feed.
  • Confidence-Level – jeder Eintrag erhält einen Vertrauenswert; ich importiere nur ≥ 60 %, um Fehlalarme auszuschliessen.
  • Host-basiert – sowohl FQDNs als auch rohe IP-Adressen, was die Detektion um C2-Server ergänzt, die bloss A-Records ausliefern.

Schutzwirkung: Ich verhindere damit, dass Clients in meinem Netz überhaupt erst einen TCP-Handshake mit Command-and-Control-Endpunkten aufnehmen. Spear-Phishing-Kampagnen, die auf frische Domains setzen, prallen bereits auf DNS-Ebene ab – lange bevor Web-Filter oder EDR greifen können.

Die FireHOL-Blocklisten konsolidieren Dutzende Reputationsquellen und clustern sie in vier Stufen. Level 4 (aggressive) umfasst aktuell ca. 90,070 subnets, 9,184,155 unique IPs, die nachweislich an Botnet-Traffic, Port-Scans oder Crypto-Jacking beteiligt sind. Ich überführe diese Netze via response-ip: … deny direkt in Unbound:

# /etc/unbound/firehol.respip
response-ip: 31.210.20.0/24   deny   # ← known DDoS reflector
response-ip: 185.244.25.0/24  deny   # ← credential stuffing host
response-ip: 2402:1f00::/32   deny   # ← bulletproof IPv6 ASN

Schutzwirkung: Sollte ein Angreifer eine legitime, bislang unauffällige Domain kompromittieren, aber deren A-Record plötzlich auf ein FireHOL-belastetes Subnetz zeigen, wird die Auflösung in meinem Netz sofort mit NXDOMAIN beantwortet. So eliminiere ich fast-flux-artige Infrastrukturwechsel und IP-Hopping, ohne gleich ganze Domains black-holen zu müssen.

Ein Fullbogon ist ein Adress-Präfix, das in keiner globalen BGP-Ankündigung existiert – also „geisterhaft“ ist. Angreifer fälschen gerne Quell-IP-Adressen innerhalb dieser Bereiche, um Rückverfolgung zu erschweren oder Reflexions-DDoS zu initiieren. Ich lade die IPv4- und IPv6-Bogons alle 24 Stunden und injiziere sie in Unbound mittels private-address:-Direktive:

# /etc/unbound/bogons.conf
private-address: 100.64.0.0/10    # Carrier-Grade-NAT
private-address: 240.0.0.0/4      # historisches Class-E-Reservat
private-address: 2001:2::/48      # 6bone phase-out

Schutzwirkung: Jede DNS-Antwort, die auf eine Fullbogon-IP verweist, wird verworfen. Damit verhindere ich DNS-Rebinding-Angriffe und blocke versehentliche wie bösartige Konfigurationsfehler fremder Resolver („route leaks“).

Zusammenspiel der drei Listen

ListeAbgedeckter Angriffs­typMassnahmeReaktions­zeit
ThreatFoxFrisch registrierte Malware- & C2-Domainsalways_nxdomain in AdGuard∼ 30 min
FireHOL L4Aktiv maliziöse, aber geroutete IP-Netzeresponse-ip … deny in Unbound∼ 60 min
FullbogonsSpoofing, Rebinding, Route Leakprivate-address in Unbound24 h

Gemeinsam bilden die Feeds ein mehrschichtiges Schild. Ich blocke Adressebene - Namenebene - Routingebene synchron und das ohne proprietäre Lizenz oder Cloud-Black-Box.

Durch die Kombination ThreatFox Hosts + FireHOL L4 + Fullbogons habe ich meine Resolver von einer klassischen Werbe-Blockade zu einem proaktiven Threat-Intel-Firewall aufgebohrt. Wer DNS als ersten Verteidigungsring begreift und mit kuratierten Feeds zeitnah aktuell hält, der verschiebt den Angreifer zurück an den Start – lange bevor Endpoint-Sensorik Alarm schlägt. Und genau dieses Zeitfenster ist im Ernstfall der Unterschied zwischen einem verhinderten Vorfall und einer aufwendigen Incident-Response-Analyse.

Die Administration von öffentlichen DNS-Resolvern bereitet Freude, kostet allerdings Zeit und Geld. Bitte unterstützen Sie unsere Arbeit mit einer Spende.