• Published:
  • Updated:
  • Written by:

CenturionDNS Resolver

Fast | Free | Open Source | Reliable | Secure

CenturionDNS – worldclass Privacy and Security – powered by coresecret.eu sind

  • zensurfreie,
  • verschlüsselnde,
  • öffentliche und
  • redundante

DNS-Resolver ohne Logging, basierend auf der kuratierten Centurion Titanium Ultimate Blocklist powered by AdGuard und Mitgliedern der FOSS-Community mit Serverstandorten in Deutschland, Finnland und Österreich, in zwei verschiedenen AS und TLD lokalisiert und nutzen einen lokalen Unbound als Upstream-Server. Oder simpel zusammengefasst: Datenschutz, Datenintegrität, Datenauthentizität first.

DatumÄnderung
30.01.2026Einstellung CenturionDNS Resolver In eigener Sache. Von terminierter Infrastruktur.
14.11.2025Blogbeitrag Vom Vertrauen.
12.11.2025Blogbeitrag CenturionDNS. Von Systemgrenzen.
12.12.2025 Hinweis auf DNS Ping Time aufgenommen.
11.12.2025Blogbeitrag CHAOS TXT
10.12.2025Newly Registered Domains (NRD) from 7 days ago to yesterday (the last day).
01.12.2025Blogbeitrag CenturionDNS Updates Dezember 2025
16.11.2025NRD-Lists werden von hagezi via codeberg.org bezogen.
14.11.2025Security Audit de/en verfügbar.
09.11.2025Overall exposure level for AdGuardHome.service: 2.8 OK.
09.11.2025Lynis 3.1.6 Hardening index : 96.
01.11.2025Automatisches CVE Monitoring zu allen eingesetzten Paketen, tägliches reporting.
15.09.2025NRD-Lists werden von xRuffKez via codeberg.org bezogen.
Aktualisiert: 30.01.2026, 20:40 UTC

Neben dem klassischen Blocken von unerwünschten Domains sind die CenturionDNS Server zusätzlich gegen

  • Spoofing, Rebinding, Route Leak (Fullbogons) (Updates werden alle 60 Minuten gezogen),
  • aktiv maliziöse, aber geroutete IP-Netze (Updates werden alle 60 Minuten gezogen),
  • frisch registrierte Malware- & C2-Domains (Updates werden alle 60 Minuten gezogen)

gehärtet. Details zum Setup sind hier beschrieben.

Zusätzlich wird die gesamte Nameserver-Architektur, auf der die CenturionDNS-Resolver aufsetzen, auf eigenen, mehrfach redundanten Nameservern betrieben. Die Zonen sind DNSSEC-dual-signed abgesichert.

DNS-Anfragen werden, je nach Client-Fähigkeiten, verschlüsselt über DNS-over-HTTPS (DoH), DNS-over-TLS (DoT), DNS-over-QUIC (DoQ) oder DNSCrypt übertragen. Dadurch sind Anfragen und Antworten vor dem klassischen Mitlesen und vor vielen Formen der Manipulation bzw. Umleitung geschützt; zusätzlich sorgt DNSSEC für kryptographische Integritätsprüfungen der autoritativen Antworten.

Die CenturionDNS Server verschlüsseln im Modus DNS-over-HTTPS, sofern die anfragenden Clients dies unterstützen, den gesamten DNS-Verkehr mittels:

(TLS1.3)-(X448)-(RSA-PSS-RSAE-SHA512)-(AES-256-GCM-SHA384)

Die CenturionDNS Server verschlüsseln im Modus DNS-over-TLS, sofern die anfragenden Clients dies unterstützen, den gesamten DNS-Verkehr mittels:

(TLS1.3)-(X25519MLKEM768)-(RSA-PSS-RSAE-SHA512)-(AES-128-GCM-SHA256)
Übersicht
Inhaltsverzeichnis

Features
FeatureValue
AdGuardHomeVersion v0.107.71
AdGuardServicesInternetsicherheit, Kindersicherung, Safe Search: deaktiviert
CipherAES-256-GCM only (DoH) & ChaCha20-Poly (DoH) ✓
Contacthttps://coresecret.eu/contact/
DANEsecured ✓
DNSSECvalidating ✓
DNS stampsprovided ✓
DomainsDNSSEC: eddns.eueddns.de
FilterCenturion Titanium Ultimate by coresecret.eu
Filter Updatehourly ✓
Filtered Queries Blocklists0.0.0.0 (UI-friendly) ✓
Filtered Queries ThreatsNXDOMAIN
Fullbogonssecured ✓
Hardening FeaturesCHAOS
HSTS-Preloadeddns.eu and eddns.de preloaded ✓
iOS MobileConfigprovided ✓
Limits8 queries / second && /24 || /64 Subnet ✓
LocationAustria, Germany, Finnland ✓
Malicious IP-Netssecured ✓
Monitoring CVEdedicated CenturionDNS ChatGPT Pro 5.2 Agent ✓
Monitoring CTlogcertspotter.eu
Monitoring PingThomas Merz DNS Ping Test
Monitoring UptimeCenturionNet Status
NameserverVollständig unter eigener Hoheit im Hidden-Master Betrieb ✓
OrchestrationAnsible and Gitea based unified configuration ✓
Privacyno logging policy ✓
PTRdns01.eddns.eu | dns02.eddns.de | dns03.eddns.eu
Qualys AuditA+ Quadruple 100 % Rating ✓
Query DropANY
Query Logoff
QNAMEminimisation ✓
RedundancyAS & Location & TLD ✓
Security AuditChatGPT 5.1 Pro Deepsearch
Security FeaturesCISS, SIEM, HW FW, fail2ban, ufw, rate-limit, systemd hardening
security.txtprovided ✓
Special Domain HandlingChrome Preflight | Firefox DoH-Canary | iCloud Private Relay ✓
SVCBmandatory="alpn,dohpath" preventing downgrade ✓
TLS Certificatezerossl.com RSA-4096 SHA384 ✓ Validity: 365 days ✓
TLS Certificate in use SPKITE9/FTuOCifWujXhlcb56hnfT8cUjd9wODYi2akf2Gw=
Aktualisiert: 12.12.2025, 00:00 UTC
Plain DNS | Unverschlüsselt
Port: 53/udp
dns01.eddns.eu: 135.181.207.105
dns02.eddns.de: 89.58.62.53
dns03.eddns.eu: 138.199.237.109
dns01.eddns.eu: 2a01:4f9:c012:a813:135:181:207:105
dns02.eddns.de: 2a0a:4cc0:1:e6:89:58:62:53
dns03.eddns.eu: 2a01:4f8:c013:8011:138:199:237:109
DNSCrypt
Port: 4343/udp
dns01.eddns.eu: 135.181.207.105
dns02.eddns.de: 89.58.62.53
dns03.eddns.eu: 138.199.237.109
DNS-over-HTTPS (DoH)
Port: 443/tcp
https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query
DNS-over-Quic (DoQ)
Port: 853/udp
quic://dns01.eddns.eu:853
quic://dns02.eddns.de:853
quic://dns03.eddns.eu:853
DNS-over-TLS (DoT)
Port: 853/tcp
dns01.eddns.eu
dns02.eddns.de
dns03.eddns.eu
Current Certificate tbs-Hash
echo | openssl s_client -connect dns01.eddns.eu:853 -servername dns01.eddns.eu 2>/dev/null | openssl x509 -outform der | openssl asn1parse -inform der -strparse 4 -noout -out /tmp/tbs.der && openssl dgst -sha256 /tmp/tbs.der
SHA2-256(/tmp/tbs.der)= 8aa49e2060622524d9afc0fd810c57d3073dfe222f5edd0d8d8570a260576572
DNS Stamps dns01.eddns.eu
# dns01.eddns.eu DNSCrypt IPv4
sdns://AQMAAAAAAAAAFDEzNS4xODEuMjA3LjEwNTo0MzQzIHXJhJskRmhFX7e2WZZffAaLUmMVVjOsZfH25cQjZA1mHjIuZG5zY3J5cHQtY2VydC5kbnMwMS5lZGRucy5ldQ

# dns01.eddns.eu DoH IPv4
sdns://AgMAAAAAAAAADzEzNS4xODEuMjA3LjEwNSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMS5lZGRucy5ldQovZG5zLXF1ZXJ5

# dns01.eddns.eu DoH IPv6
sdns://AgMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMS5lZGRucy5ldQovZG5zLXF1ZXJ5

# dns01.eddns.eu DoQ IPv4
sdns://BAMAAAAAAAAADzEzNS4xODEuMjA3LjEwNSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM

# dns01.eddns.eu DoQ IPv6
sdns://BAMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM

# dns01.eddns.eu DoT IPv4
sdns://AwMAAAAAAAAADzEzNS4xODEuMjA3LjEwNSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM

# dns01.eddns.eu DoT IPv6
sdns://AwMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM

# 135.181.207.105:53
sdns://AAMAAAAAAAAAEjEzNS4xODEuMjA3LjEwNTo1Mw

# [2a01:4f9:c012:a813:135:181:207:105]:53
sdns://AAMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XQ
DNS Stamps dns02.eddns.de
# dns02.eddns.de DNSCrypt IPv4
sdns://AQMAAAAAAAAAEDg5LjU4LjYyLjUzOjQzNDMgpkXLk2QX2BqlVL7V0giuNznDy2EOYJcb5EYyNPupAsoeMi5kbnNjcnlwdC1jZXJ0LmRuczAyLmVkZG5zLmRl

# dns02.eddns.de DoH IPv4
sdns://AgMAAAAAAAAACzg5LjU4LjYyLjUzIIqkniBgYiUk2a_A_YEMV9MHPf4iL17dDY2FcKJgV2VyDmRuczAyLmVkZG5zLmRlCi9kbnMtcXVlcnk

# dns02.eddns.de DoH IPv6
sdns://AgMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10giqSeIGBiJSTZr8D9gQxX0wc9_iIvXt0NjYVwomBXZXIOZG5zMDIuZWRkbnMuZGUKL2Rucy1xdWVyeQ

# dns02.eddns.de DoQ IPv4
sdns://BAMAAAAAAAAACzg5LjU4LjYyLjUzIIqkniBgYiUk2a_A_YEMV9MHPf4iL17dDY2FcKJgV2VyEmRuczAyLmVkZG5zLmRlOjg1Mw

# dns02.eddns.de DoQ IPv6
sdns://BAMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10giqSeIGBiJSTZr8D9gQxX0wc9_iIvXt0NjYVwomBXZXISZG5zMDIuZWRkbnMuZGU6ODUz

# dns02.eddns.de DoT IPv4
sdns://AwMAAAAAAAAACzg5LjU4LjYyLjUzIIqkniBgYiUk2a_A_YEMV9MHPf4iL17dDY2FcKJgV2VyEmRuczAyLmVkZG5zLmRlOjg1Mw

# dns02.eddns.de DoT IPv6
sdns://AwMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10giqSeIGBiJSTZr8D9gQxX0wc9_iIvXt0NjYVwomBXZXISZG5zMDIuZWRkbnMuZGU6ODUz

# 89.58.62.53:53
sdns://AAMAAAAAAAAACzg5LjU4LjYyLjUz

# [2a0a:4cc0:1:e6:89:58:62:53]:53
sdns://AAMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10
DNS Stamps dns03.eddns.eu
# dns03.eddns.eu DNSCrypt IPv4
sdns://AQMAAAAAAAAAFDEzOC4xOTkuMjM3LjEwOTo0MzQzINKCZ9sYO7ZF6haOdGc6W2e73sEisojpmLUMaRbN_842HjIuZG5zY3J5cHQtY2VydC5kbnMwMy5lZGRucy5ldQ

# dns03.eddns.eu DoH IPv4
sdns://AgMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMy5lZGRucy5ldQovZG5zLXF1ZXJ5

# dns03.eddns.eu DoH IPv6
sdns://AgMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMy5lZGRucy5ldQovZG5zLXF1ZXJ5

# dns03.eddns.eu DoQ IPv4
sdns://BAMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM

# dns03.eddns.eu DoQ IPv6
sdns://BAMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM

# dns03.eddns.eu DoT IPv4
sdns://AwMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM

# dns03.eddns.eu DoT IPv6
sdns://AwMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM

# 138.199.237.109:53
sdns://AAMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOQ

# [2a0a:4cc0:1:e6:89:58:62:53]:53
sdns://AAMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XQ
Einstellungen
Android

Ab Android Version 9 lässt sich DNS-over-TLS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Verbinden und teilen > Privates DNS

eintragen:

dns01.eddns.eu
dns02.eddns.de
dns03.eddns.eu
iOS

iOS 14 und folgende: CenturionDNS Konfigurationsdatei:

centurion_dns-signedHerunterladen
Firefox

In den aktuellen Firefox Versionen, bspw. Version 127.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Datenschutz & Sicherheit > DNS über HTTPS aktivieren >
Maximaler Schutz > Benutzerdefiniert

eintragen:

https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query

TRR (Trusted Recursive Resolver):

In einer leeren Adresszeile die Adresse about:config eingeben.

Im sodann erscheinenden Suchfeld network.trr.mode eingeben.

Den dortigen Wert mit dem Bearbeiten-Stift auf 3 setzen, um den Fallback auf den System-DNS zu vermeiden.

Thunderbird oder Betterbird

In den aktuellen Thunderbird und Betterbrid Versionen, bspw. Version 115.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Allgemein > Netzwerk & Speicherplatz > Verbdindung >
DNS über HTTPS aktivieren > Benutzerdefiniert

eintragen:

https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query

TRR (Trusted Recursive Resolver):

Einstellungen > Allgemein > Konfiguration bearbeiten

Im sodann erscheinenden Suchfeld network.trr.mode eingeben.

Den dortigen Wert mit dem Bearbeiten-Stift auf 3 setzen, um den Fallback auf den System-DNS zu vermeiden.

Chrome oder Chromium Derivate

In den aktuellen Chrome Versionen, bspw. Version 126.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Datenschutz und Sicherheit > Sicherheit > Sicheres DNS verwenden > Benutzerdefiniert

eintragen:

https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query
Microsoft Edge

In den aktuellen Chrome Versionen, bspw. Version 126.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Datenschutz, Suche und Dienste > Sicherheit >
Verwenden Sie sicheres DNS, um anzugeben, wie die Netzwerkadresse für Websites nachzuschlagen ist > Einen Diensteanbieter auswählen

eintragen:

https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query

Online Tests

Tool KlasseURL
Validate DNS Resolverhttps://browserleaks.com/dns
https://controld.com/tools/dns-rebind-test
https://dnsleaktest.com
https://ipleak.net
https://which.nameserve.rs
https://www.dnscheck.tools/
Validate Adblocking Efficiencyhttps://blockads.fivefilters.org/
https://ads-blocker.com/testing/
https://adblock-tester.com/
Aktualisiert: 06.04.2025, 11:50 UTC

Centurion Titanium Ultimate Blocklist by coresecret.eu

Die DNS-Resolver filtern Ad-, Tracking- und Malwaredomains aus der folgenden kombinierten, komprimierten, gefilterten, von Duplikaten bereinigten, validierten und sortierten Adblock-Filterliste der primären Quellen, die im Abschnitt „Primäre Blocklisten“ aufgelistet sind. Diese Liste wird stündlich neu erstellt und von allen DNS-Resolvern ebenfalls stündlich abgefragt. Sie umfasst zusätzlich sämtliche, automatisch erstellten und neu registrierten Domains weltweit der letzten 30 Tage, da in dieser frühen Phase überdurchschnittlich viel Schad­verkehr beobachtet wird.

https://dns01.eddns.eu/blocklists/centurion_titanium_ultimate.txt

Zum Kompilieren wird der Adguard HostlistCompiler mit folgenden Einstellungen verwendet:

{
...
  "sources": [
    {
...
    }
  ],
  "transformations": [
    "RemoveComments",
    "Compress",
    "RemoveModifiers", 
    "Validate", 
    "ValidateAllowIp", 
    "Deduplicate", 
    "RemoveEmptyLines", 
    "TrimLines", 
    "InsertFinalNewLine"
  ]
}
Stand:11.02.2026
Geblockte Domains:4.960.677
Listen Total:61
Whitelist Einträge:245
Aktualisiert: 11.02.2026, 00:00 UTC

Domain-Whitelist beantragen: dns@coresecret.eu

Primäre Blocklisten

https://adguardteam.github.io/HostlistsRegistry/assets/filter_1.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_59.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_53.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_4.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_12.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_39.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_6.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_7.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_8.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_3.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_46.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_55.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_52.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/fake.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_56.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_44.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_49.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.amazon.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.apple.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.huawei.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.lgwebos.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.oppo-realme.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.tiktok.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.vivo.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.winoffice.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.xiaomi.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_11.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_27.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_50.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_18.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_30.txt
https://malware-filter.gitlab.io/malware-filter/phishing-filter-agh.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_10.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_57.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_42.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_31.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_33.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_9.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_23.txt
https://perflyst.github.io/PiHoleBlocklist/AmazonFireTV.txt
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt
https://raw.githubusercontent.com/hkamran80/blocklists/main/smart-tv.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_29.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_21.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_35.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_43.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_25.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_15.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_36.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_20.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_41.txt
https://filters.adtidy.org/extension/chromium/filters/1.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/dyndns.txt
https://cdn.jsdelivr.net/gh/hagezi/dns-blocklists@latest/adblock/doh-ips.txt
https://cdn.jsdelivr.net/gh/hagezi/dns-blocklists@latest/adblock/urlshortener.txt
https://threatfox.abuse.ch/downloads/hostfile/
https://codeberg.org/hagezi/mirror2/raw/branch/main/dns-blocklists/adblock/dga30.txt
https://codeberg.org/hagezi/mirror2/raw/branch/main/dns-blocklists/adblock/nrd7.txt
https://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/quad9_blocklist.txt
https://raw.githubusercontent.com/FadeMind/hosts.extras/master/UncheckyAds/hosts

Aktualisiert: 16.09.2025, 00:00 UTC

Filter List NameURL
AdGuard DNS filterhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_1.txt
AdGuard DNS Popup Hosts filterhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_59.txt
AWAvenue Ads Rulehttps://adguardteam.github.io/HostlistsRegistry/assets/filter_53.txt
Dan Pollock Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_4.txt
Dandelion Anti-Malware Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_12.txt
Dandelion Anti Push Notificationshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_39.txt
Dandelion Game Console Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_6.txt
Dandelion Smart-TV Blocklisthttps://adguardteam.github.io/HostlistsRegistry/assets/filter_7.txt
NoCoin Filter Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_8.txt
Peter Lowe Blocklisthttps://adguardteam.github.io/HostlistsRegistry/assets/filter_3.txt
HaGeZi Anti-Piracy Blocklisthttps://adguardteam.github.io/HostlistsRegistry/assets/filter_46.txt
HaGeZi Badware Hoster Blocklisthttps://adguardteam.github.io/HostlistsRegistry/assets/filter_55.txt
HaGeZi Encrypted DNS/VPN/TOR/Proxy Bypasshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_52.txt
HaGeZi Fake DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/fake.txt
HaGeZi World’s Most Abused TLDshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_56.txt
HaGeZi Threat Intelligence Feedshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_44.txt
HaGeZi Ultimate Blocklisthttps://adguardteam.github.io/HostlistsRegistry/assets/filter_49.txt
HaGeZi Amazon Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.amazon.txt
HaGeZi Apple Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.apple.txt
HaGeZi Huawei Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.huawei.txt
HaGeZi LG webOS Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.lgwebos.txt
HaGeZi OPPO & Realme Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.oppo-realme.txt
HaGeZi TikTok Fingerprinting DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.tiktok.txt
HaGeZi Vivo Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.vivo.txt
HaGeZi Windows/Office Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.winoffice.txt
HaGeZi Xiaomi Tracker DNS Blocklisthttps://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.xiaomi.txt
Malicious URL Blocklist (URLHaus)https://adguardteam.github.io/HostlistsRegistry/assets/filter_11.txt
OISD Blocklist Bighttps://adguardteam.github.io/HostlistsRegistry/assets/filter_27.txt
uBlock filters – Badware riskshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_50.txt
Phishing Army | The Blocklist to filter Phishinghttps://adguardteam.github.io/HostlistsRegistry/assets/filter_18.txt
Phishing URL Blocklist (PhishTank and OpenPhish)https://adguardteam.github.io/HostlistsRegistry/assets/filter_30.txt
Phishing URL Blocklist (AdGuard Home)https://malware-filter.gitlab.io/malware-filter/phishing-filter-agh.txt
Scam Blocklist by DurableNapkinhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_10.txt
ShadowWhisperer Dating Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_57.txt
ShadowWhisperer Malware Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_42.txt
Stalkerware Indicators Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_31.txt
Steven Black Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_33.txt
The Big List of Hacked Malware Web Siteshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_9.txt
WindowsSpyBlocker – Hosts spy ruleshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_23.txt
Amazon FireTVhttps://perflyst.github.io/PiHoleBlocklist/AmazonFireTV.txt
NoTrack Tracker Blocklisthttps://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt
NoTrack Malware Blocklisthttps://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt
Smart TV Blocklisthttps://raw.githubusercontent.com/hkamran80/blocklists/main/smart-tv.txt
CHN: AdRules DNS Listhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_29.txt
CHN: anti-ADhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_21.txt
HUN: Hufilterhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_35.txt
ISR: EasyList Hebrewhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_43.txt
KOR: List-KR DNShttps://adguardteam.github.io/HostlistsRegistry/assets/filter_25.txt
KOR: YousListhttps://adguardteam.github.io/HostlistsRegistry/assets/filter_15.txt
LIT: EasyList Lithuaniahttps://adguardteam.github.io/HostlistsRegistry/assets/filter_36.txt
MKD: Macedonian Pi-hole Blocklisthttps://adguardteam.github.io/HostlistsRegistry/assets/filter_20.txt
POL: CERT Polska List of malicious domainshttps://adguardteam.github.io/HostlistsRegistry/assets/filter_41.txt
https://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/quad9_blocklist.txthttps://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/quad9_blocklist.txt
https://raw.githubusercontent.com/FadeMind/hosts.extras/master/UncheckyAds/hostshttps://raw.githubusercontent.com/FadeMind/hosts.extras/master/UncheckyAds/hosts
HaGeZi’s DynDNS Blocklist.https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/dyndns.txt
HaGeZi’s Encrypted DNS Servers IPv4 lists for firewalls and AdGuard Home.https://cdn.jsdelivr.net/gh/hagezi/dns-blocklists@latest/adblock/doh-ips.txt
HaGeZi’s Blocklist URL Shortener.https://cdn.jsdelivr.net/gh/hagezi/dns-blocklists@latest/adblock/urlshortener.txt
Newly registered entropy domains (entropy NRDs) from the past 30 days that have been generated by Domain Generation Algorithms (DGAs).https://codeberg.org/hagezi/mirror2/raw/branch/main/dns-blocklists/adblock/dga30.txt
Newly Registered Domains (NRD) from 7 days ago to yesterday (the last day).https://codeberg.org/hagezi/mirror2/raw/branch/main/dns-blocklists/adblock/nrd7.txt
ThreatFox list of domain based IOCs.https://threatfox.abuse.ch/downloads/hostfile/
Aktualisiert: 16.09.2025, 00:00 UTC
Unterstützte Cipher

Die DNS-over-HTTPS Server unterstützen ausschließlich die folgenden Ciphersuiten.

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
AdGuard & Unbound mit ThreatFox, FireHOL L4 & Team-Cymru Fullbogons

ThreatFox ist ein Community-Projekt von abuse.ch, das beobachtete Malware-Domains und -Hosts in Echtzeit als IOC (Indicator of Compromise) publiziert. Die Besonderheiten:

  • Stündliche Aktualisierung – binnen weniger Minuten nach der ersten Infektion ist die Domain im Feed.
  • Confidence-Level – jeder Eintrag erhält einen Vertrauenswert; ich importiere nur ≥ 60 %, um Fehlalarme auszuschliessen.
  • Host-basiert – sowohl FQDNs als auch rohe IP-Adressen, was die Detektion um C2-Server ergänzt, die bloss A-Records ausliefern.

Schutzwirkung: Ich verhindere damit, dass Clients in meinem Netz überhaupt erst einen TCP-Handshake mit Command-and-Control-Endpunkten aufnehmen. Spear-Phishing-Kampagnen, die auf frische Domains setzen, prallen bereits auf DNS-Ebene ab – lange bevor Web-Filter oder EDR greifen können.

Die FireHOL-Blocklisten konsolidieren Dutzende Reputationsquellen und clustern sie in vier Stufen. Level 4 (aggressive) umfasst aktuell ca. 90,070 subnets, 9,184,155 unique IPs, die nachweislich an Botnet-Traffic, Port-Scans oder Crypto-Jacking beteiligt sind. Ich überführe diese Netze via response-ip: … deny direkt in Unbound:

# /etc/unbound/firehol.respip
response-ip: 31.210.20.0/24   deny
response-ip: 185.244.25.0/24  deny
response-ip: 2402:1f00::/32   deny

Schutzwirkung: Sollte ein Angreifer eine legitime, bislang unauffällige Domain kompromittieren, aber deren A-Record plötzlich auf ein FireHOL-belastetes Subnetz zeigen, wird die Auflösung in meinem Netz sofort mit NXDOMAIN beantwortet. So eliminiere ich fast-flux-artige Infrastrukturwechsel und IP-Hopping, ohne gleich ganze Domains black-holen zu müssen.

Ein Fullbogon ist ein Adress-Präfix, das in keiner globalen BGP-Ankündigung existiert – also „geisterhaft“ ist. Angreifer fälschen gerne Quell-IP-Adressen innerhalb dieser Bereiche, um Rückverfolgung zu erschweren oder Reflexions-DDoS zu initiieren. Ich lade die IPv4- und IPv6-Bogons alle 24 Stunden und injiziere sie in Unbound mittels private-address:-Direktive:

# /etc/unbound/bogons.conf
private-address: 100.64.0.0/10    # Carrier-Grade-NAT
private-address: 240.0.0.0/4      # historisches Class-E-Reservat
private-address: 2001:2::/48      # 6bone phase-out

Schutzwirkung: Jede DNS-Antwort, die auf eine Fullbogon-IP verweist, wird verworfen. Damit verhindere ich DNS-Rebinding-Angriffe und blocke versehentliche wie bösartige Konfigurationsfehler fremder Resolver („route leaks“).

Zusammenspiel der drei Listen

ListeAbgedeckter Angriffs­typMassnahmeReaktions­zeit
ThreatFoxFrisch registrierte Malware- & C2-Domainsalways_nxdomain in AdGuard∼ 60 – 120 min
FireHOL L4Aktiv maliziöse, aber geroutete IP-Netzeresponse-ip … deny in Unbound∼ 60 – 120 min
FullbogonsSpoofing, Rebinding, Route Leakprivate-address in Unbound24 h

Gemeinsam bilden die Feeds ein mehrschichtiges Schild. Ich blocke Adressebene - Namenebene - Routingebene synchron und das ohne proprietäre Lizenz oder Cloud-Black-Box.

Durch die Kombination ThreatFox Hosts + FireHOL L4 + Fullbogons habe ich meine Resolver von einer klassischen Werbe-Blockade zu einem proaktiven Threat-Intel-Firewall aufgebohrt. Wer DNS als ersten Verteidigungsring begreift und mit kuratierten Feeds zeitnah aktuell hält, der verschiebt den Angreifer zurück an den Start – lange bevor Endpoint-Sensorik Alarm schlägt. Und genau dieses Zeitfenster ist im Ernstfall der Unterschied zwischen einem verhinderten Vorfall und einer aufwendigen Incident-Response-Analyse.

Die Administration von öffentlichen DNS-Resolvern bereitet Freude, kostet allerdings Zeit und Geld. Bitte unterstützen Sie unsere Arbeit mit einer Spende.

Search: