Fast | Free | Open Source | Reliable | Secure
CenturionDNS powered by coresecret.eu sind
- zensurfreie,
- verschlüsselnde,
- öffentliche und
- redundante
DNS-Resolver ohne Logging, basierend auf der kuratierten Centurion Titanium Ultimate
Blocklist powered by AdGuard und Mitgliedern der FOSS-Community mit Serverstandorten in Deutschland, Finnland und Österreich, in zwei verschiedenen AS und TLD lokalisiert und nutzen einen lokalen Unbound als Upstream-Server.
Neben dem klassischen Blocken von unerwünschten Domains sind die CenturionDNS Server zusätzlich gegen
- Spoofing, Rebinding, Route Leak (Fullbogons) (Updates werden alle 24 Stunden gezogen),
- aktiv maliziöse, aber geroutete IP-Netze (Updates werden alle 30 Minuten gezogen),
- frisch registrierte Malware- & C2-Domains (Updates werden alle 60 Minuten gezogen)
gehärtet. Details zum Setup sind hier beschrieben.
Namensauflösungen werden verschlüsselt (DoH, DoT, DoQ, DNScrypt) übertragen und bieten Schutz vor Manipulationen oder Umleitungen auf gefälschte Seiten. Zusätzlich erfolgt kein Logging der Zugriffe. Unerwünschte Werbung wird erst gar nicht geladen und spart somit Ressourcen. Meine Server verschlüsseln im Modus DNS-over-HTTPS, sofern die anfragenden Clients dies unterstützen, den gesamten DNS-Verkehr mittels:
(TLS1.3)-(ECDHE-X448)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)
- Präambel
- Features
- Plain DNS | Unverschlüsselt
- DNSCrypt
- DNS-over-HTTPS (DoH)
- DNS-over-Quic (DoQ)
- DNS-over-TLS (DoT)
- Current Certificate tbs-Hash
- DNS Stamps dns01.eddns.eu
- DNS Stamps dns02.eddns.de
- DNS Stamps dns03.eddns.eu
- Einstellungen
- Centurion Titanium Ultimate Blocklist by coresecret.eu
- Unterstützte Cipher
- AdGuard & Unbound mit ThreatFox, FireHOL L4 & Team-Cymru Fullbogons
- Spenden
Features
Feature | Value |
---|---|
DNSSEC | validating ✓ |
QNAME | minimisation ✓ |
DANE | secured ✓ |
SVCB | mandatory="alpn,dohpath" preventing downgrade ✓ |
HSTS-Preload | eddns.eu and eddns.de submitted ✓ |
Cipher | AES-256 only (DoH) ✓ |
Qualys Audit | A+ Quadruple 100 % Rating ✓ |
Filter | Centurion Titanium Ultimate by coresecret.eu ✓ |
Fullbogons | secured ✓ |
Malicious IP-Nets | secured ✓ |
Filter Update | hourly ✓ |
Server Location | Germany, Finnland & Austria ✓ |
Privacy | no logging policy ✓ |
Query Log | off ✓ |
Limits | 64 queries / second && /24 || /64 Subnet ✓ |
Filtered Queries | NXDomain ✓ |
DNS stamps | provided ✓ |
iOS MobileConfig | provided ✓ |
Security Features | CISS, SIEM, HW FW, fail2ban, ufw, rate-limit, systemd hardening ✓ |
TLS Certificate | zerossl.com RSA-4096 SHA384 ✓ Validity: 365 days ✓ |
TLS Certificate in use SPKI | TE9/FTuOCifWujXhlcb56hnfT8cUjd9wODYi2akf2Gw= |
Monitoring | CenturionNet Status ✓ certspotter.eu ✓ |
security.txt | provided ✓ |
Plain DNS | Unverschlüsselt
Port: 53/udp
dns01.eddns.eu: 135.181.207.105
dns02.eddns.de: 89.58.62.53
dns03.eddns.eu: 138.199.237.109
dns01.eddns.eu: 2a01:4f9:c012:a813:135:181:207:105
dns02.eddns.de: 2a0a:4cc0:1:e6:89:58:62:53
dns03.eddns.eu: 2a01:4f8:c013:8011:138:199:237:109
DNSCrypt
Port: 4343/udp
dns01.eddns.eu: 135.181.207.105
dns02.eddns.de: 89.58.62.53
dns03.eddns.eu: 138.199.237.109
DNS-over-HTTPS (DoH)
Port: 443/tcp
https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query
DNS-over-Quic (DoQ)
Port: 853/udp
quic://dns01.eddns.eu:853
quic://dns02.eddns.de:853
quic://dns03.eddns.eu:853
DNS-over-TLS (DoT)
Port: 853/tcp
dns01.eddns.eu
dns02.eddns.de
dns03.eddns.eu
Current Certificate tbs-Hash
echo | openssl s_client -connect dns01.eddns.eu:853 -servername dns01.eddns.eu 2>/dev/null | openssl x509 -outform der | openssl asn1parse -inform der -strparse 4 -noout -out /tmp/tbs.der && openssl dgst -sha256 /tmp/tbs.der
SHA2-256(/tmp/tbs.der)= 8aa49e2060622524d9afc0fd810c57d3073dfe222f5edd0d8d8570a260576572
DNS Stamps dns01.eddns.eu
# dns01.eddns.eu DNSCrypt IPv4
sdns://AQMAAAAAAAAAFDEzNS4xODEuMjA3LjEwNTo0MzQzIHXJhJskRmhFX7e2WZZffAaLUmMVVjOsZfH25cQjZA1mHjIuZG5zY3J5cHQtY2VydC5kbnMwMS5lZGRucy5ldQ
# dns01.eddns.eu DoH IPv4
sdns://AgMAAAAAAAAADzEzNS4xODEuMjA3LjEwNSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMS5lZGRucy5ldQovZG5zLXF1ZXJ5
# dns01.eddns.eu DoH IPv6
sdns://AgMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMS5lZGRucy5ldQovZG5zLXF1ZXJ5
# dns01.eddns.eu DoQ IPv4
sdns://BAMAAAAAAAAADzEzNS4xODEuMjA3LjEwNSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM
# dns01.eddns.eu DoQ IPv6
sdns://BAMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM
# dns01.eddns.eu DoT IPv4
sdns://AwMAAAAAAAAADzEzNS4xODEuMjA3LjEwNSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM
# dns01.eddns.eu DoT IPv6
sdns://AwMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM
# 135.181.207.105:53
sdns://AAMAAAAAAAAAEjEzNS4xODEuMjA3LjEwNTo1Mw
# [2a01:4f9:c012:a813:135:181:207:105]:53
sdns://AAMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XQ
DNS Stamps dns02.eddns.de
# dns02.eddns.de DNSCrypt IPv4
sdns://AQMAAAAAAAAAEDg5LjU4LjYyLjUzOjQzNDMgpkXLk2QX2BqlVL7V0giuNznDy2EOYJcb5EYyNPupAsoeMi5kbnNjcnlwdC1jZXJ0LmRuczAyLmVkZG5zLmRl
# dns02.eddns.de DoH IPv4
sdns://AgMAAAAAAAAACzg5LjU4LjYyLjUzIIqkniBgYiUk2a_A_YEMV9MHPf4iL17dDY2FcKJgV2VyDmRuczAyLmVkZG5zLmRlCi9kbnMtcXVlcnk
# dns02.eddns.de DoH IPv6
sdns://AgMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10giqSeIGBiJSTZr8D9gQxX0wc9_iIvXt0NjYVwomBXZXIOZG5zMDIuZWRkbnMuZGUKL2Rucy1xdWVyeQ
# dns02.eddns.de DoQ IPv4
sdns://BAMAAAAAAAAACzg5LjU4LjYyLjUzIIqkniBgYiUk2a_A_YEMV9MHPf4iL17dDY2FcKJgV2VyEmRuczAyLmVkZG5zLmRlOjg1Mw
# dns02.eddns.de DoQ IPv6
sdns://BAMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10giqSeIGBiJSTZr8D9gQxX0wc9_iIvXt0NjYVwomBXZXISZG5zMDIuZWRkbnMuZGU6ODUz
# dns02.eddns.de DoT IPv4
sdns://AwMAAAAAAAAACzg5LjU4LjYyLjUzIIqkniBgYiUk2a_A_YEMV9MHPf4iL17dDY2FcKJgV2VyEmRuczAyLmVkZG5zLmRlOjg1Mw
# dns02.eddns.de DoT IPv6
sdns://AwMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10giqSeIGBiJSTZr8D9gQxX0wc9_iIvXt0NjYVwomBXZXISZG5zMDIuZWRkbnMuZGU6ODUz
# 89.58.62.53:53
sdns://AAMAAAAAAAAACzg5LjU4LjYyLjUz
# [2a0a:4cc0:1:e6:89:58:62:53]:53
sdns://AAMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10
DNS Stamps dns03.eddns.eu
# dns03.eddns.eu DNSCrypt IPv4
sdns://AQMAAAAAAAAAFDEzOC4xOTkuMjM3LjEwOTo0MzQzINKCZ9sYO7ZF6haOdGc6W2e73sEisojpmLUMaRbN_842HjIuZG5zY3J5cHQtY2VydC5kbnMwMy5lZGRucy5ldQ
# dns03.eddns.eu DoH IPv4
sdns://AgMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMy5lZGRucy5ldQovZG5zLXF1ZXJ5
# dns03.eddns.eu DoH IPv6
sdns://AgMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMy5lZGRucy5ldQovZG5zLXF1ZXJ5
# dns03.eddns.eu DoQ IPv4
sdns://BAMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM
# dns03.eddns.eu DoQ IPv6
sdns://BAMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM
# dns03.eddns.eu DoT IPv4
sdns://AwMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM
# dns03.eddns.eu DoT IPv6
sdns://AwMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM
# 138.199.237.109:53
sdns://AAMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOQ
# [2a0a:4cc0:1:e6:89:58:62:53]:53
sdns://AAMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XQ
Einstellungen
Android
Ab Android Version 9 lässt sich DNS-over-TLS ohne Zusatzsoftware nutzen.
Hierzu unter:
Einstellungen
> Verbinden und teilen
> Privates DNS
eintragen:
dns01.eddns.eu
dns02.eddns.de
dns03.eddns.eu
iOS
iOS 14 und folgende: CenturionDNS Konfigurationsdatei:
Firefox
In den aktuellen Firefox Versionen, bspw. Version 127.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.
Hierzu unter:
Einstellungen
> Datenschutz & Sicherheit
> DNS über HTTPS aktivieren
>Maximaler Schutz
> Benutzerdefiniert
eintragen:
https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query
TRR (Trusted Recursive Resolver):
In einer leeren Adresszeile die Adresse about:config
eingeben.
Im sodann erscheinenden Suchfeld network.trr.mode
eingeben.
Den dortigen Wert mit dem Bearbeiten-Stift auf 3
setzen, um den Fallback auf den System-DNS zu vermeiden.
Thunderbird oder Betterbird
In den aktuellen Thunderbird und Betterbrid Versionen, bspw. Version 115.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.
Hierzu unter:
Einstellungen
> Allgemein
> Netzwerk & Speicherplatz
> Verbdindung
>DNS über HTTPS aktivieren
> Benutzerdefiniert
eintragen:
https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query
TRR (Trusted Recursive Resolver):
Einstellungen
> Allgemein
> Konfiguration bearbeiten
Im sodann erscheinenden Suchfeld network.trr.mode
eingeben.
Den dortigen Wert mit dem Bearbeiten-Stift auf 3
setzen, um den Fallback auf den System-DNS zu vermeiden.
Chrome oder Chromium Derivate
In den aktuellen Chrome Versionen, bspw. Version 126.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.
Hierzu unter:
Einstellungen
> Datenschutz und Sicherheit
> Sicherheit
> Sicheres DNS verwenden
> Benutzerdefiniert
eintragen:
https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query
Microsoft Edge
In den aktuellen Chrome Versionen, bspw. Version 126.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.
Hierzu unter:
Einstellungen
> Datenschutz, Suche und Dienste
> Sicherheit
>Verwenden Sie sicheres DNS, um anzugeben, wie die Netzwerkadresse für Websites nachzuschlagen ist
> Einen Diensteanbieter auswählen
eintragen:
https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query
Online Tests
Tool Klasse | URL |
---|---|
Validate DNS Resolver | https://browserleaks.com/dns |
https://dnsleaktest.com | |
https://ipleak.net | |
https://which.nameserve.rs | |
https://www.dnscheck.tools/ | |
Validate Adblocking Efficiency | https://blockads.fivefilters.org/ |
https://ads-blocker.com/testing/ | |
https://adblock-tester.com/ |
Centurion Titanium Ultimate Blocklist by coresecret.eu
Die DNS-Resolver filtern Ad-, Tracking- und Malwaredomains aus der folgenden kombinierten, komprimierten, gefilterten, von Duplikaten bereinigten, validierten und sortierten Adblock-Filterliste der primären Quellen, die im Abschnitt „Primäre Blocklisten” aufgelistet sind. Diese Liste wird stündlich neu erstellt und von allen DNS-Resolvern ebenfalls stündlich abgefragt. Sie umfasst zusätzlich sämtliche neu registrierten Domains weltweit der letzten 14 Tage, da in dieser frühen Phase überdurchschnittlich viel Schadverkehr beobachtet wird.
https://dns01.eddns.eu/blocklists/centurion_titanium_ultimate.txt
Zum Kompilieren wird der Adguard HostlistCompiler mit folgenden Einstellungen verwendet:
{
...
"sources": [
{
...
}
],
"transformations": [
"RemoveComments",
"Compress",
"RemoveModifiers",
"Validate",
"ValidateAllowIp",
"Deduplicate",
"RemoveEmptyLines",
"TrimLines",
"InsertFinalNewLine"
]
}
Stand: | 08.07.2025 |
Geblockte Domains: | 2.532.825 |
Listen Total: | 72 |
Whitelist Einträge: | 11 |
Domain-Whitelist beantragen: dns@coresecret.eu
Primäre Blocklisten
https://adguardteam.github.io/HostlistsRegistry/assets/filter_1.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_59.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_53.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_4.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_12.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_39.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_6.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_7.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_8.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_3.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_46.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_55.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_52.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/fake.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_56.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_44.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_49.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.amazon.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.apple.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.huawei.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.lgwebos.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.oppo-realme.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.tiktok.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.vivo.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.winoffice.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.xiaomi.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_11.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_27.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_50.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_18.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_30.txt
https://malware-filter.gitlab.io/malware-filter/phishing-filter-agh.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_10.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_57.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_42.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_31.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_33.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_9.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_23.txt
https://perflyst.github.io/PiHoleBlocklist/AmazonFireTV.txt
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt
https://raw.githubusercontent.com/hkamran80/blocklists/main/smart-tv.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_29.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_21.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_35.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_43.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_25.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_15.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_36.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_20.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_41.txt
https://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/quad9_blocklist.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2019-03-06_egypt_oauth/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2020-03-12_uzbekistan/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2020-09-25_finfisher/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-05-28_qatar/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-07-18_nso/v2_domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-07-18_nso/v3_domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-07-18_nso/v4_domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-07-18_nso/v4_validation_domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-07-18_nso/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-10-07_donot/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2021-12-16_cytrox/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2023-03-29_android_campaign/domains.txt
https://raw.githubusercontent.com/AmnestyTech/investigations/refs/heads/master/2024-05-02_wintego_helios/domains.txt
https://raw.githubusercontent.com/FadeMind/hosts.extras/master/UncheckyAds/hosts
https://storage.googleapis.com/nsablocklist/hosts
https://filters.adtidy.org/extension/chromium/filters/1.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/dyndns.txt
https://raw.githubusercontent.com/xRuffKez/NRD/refs/heads/main/lists/14-day/adblock/nrd-14day_adblock.txt
https://threatfox.abuse.ch/downloads/hostfile/
Unterstützte Cipher
Die DNS-over-HTTPS Server unterstützen ausschließlich die folgenden Ciphersuiten.
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
AdGuard & Unbound mit ThreatFox, FireHOL L4 & Team-Cymru Fullbogons
ThreatFox ist ein Community-Projekt von abuse.ch, das beobachtete Malware-Domains und -Hosts in Echtzeit als IOC (Indicator of Compromise) publiziert. Die Besonderheiten:
- Stündliche Aktualisierung – binnen weniger Minuten nach der ersten Infektion ist die Domain im Feed.
- Confidence-Level – jeder Eintrag erhält einen Vertrauenswert; ich importiere nur ≥ 60 %, um Fehlalarme auszuschliessen.
- Host-basiert – sowohl FQDNs als auch rohe IP-Adressen, was die Detektion um C2-Server ergänzt, die bloss A-Records ausliefern.
Schutzwirkung: Ich verhindere damit, dass Clients in meinem Netz überhaupt erst einen TCP-Handshake mit Command-and-Control-Endpunkten aufnehmen. Spear-Phishing-Kampagnen, die auf frische Domains setzen, prallen bereits auf DNS-Ebene ab – lange bevor Web-Filter oder EDR greifen können.
Die FireHOL-Blocklisten konsolidieren Dutzende Reputationsquellen und clustern sie in vier Stufen. Level 4 (aggressive) umfasst aktuell ca. 90,070 subnets, 9,184,155 unique IPs, die nachweislich an Botnet-Traffic, Port-Scans oder Crypto-Jacking beteiligt sind. Ich überführe diese Netze via response-ip: … deny
direkt in Unbound:
# /etc/unbound/firehol.respip
response-ip: 31.210.20.0/24 deny # ← known DDoS reflector
response-ip: 185.244.25.0/24 deny # ← credential stuffing host
response-ip: 2402:1f00::/32 deny # ← bulletproof IPv6 ASN
Schutzwirkung: Sollte ein Angreifer eine legitime, bislang unauffällige Domain kompromittieren, aber deren A-Record plötzlich auf ein FireHOL-belastetes Subnetz zeigen, wird die Auflösung in meinem Netz sofort mit NXDOMAIN beantwortet. So eliminiere ich fast-flux-artige Infrastrukturwechsel und IP-Hopping, ohne gleich ganze Domains black-holen zu müssen.
Ein Fullbogon ist ein Adress-Präfix, das in keiner globalen BGP-Ankündigung existiert – also „geisterhaft“ ist. Angreifer fälschen gerne Quell-IP-Adressen innerhalb dieser Bereiche, um Rückverfolgung zu erschweren oder Reflexions-DDoS zu initiieren. Ich lade die IPv4- und IPv6-Bogons alle 24 Stunden und injiziere sie in Unbound mittels private-address:
-Direktive:
# /etc/unbound/bogons.conf
private-address: 100.64.0.0/10 # Carrier-Grade-NAT
private-address: 240.0.0.0/4 # historisches Class-E-Reservat
private-address: 2001:2::/48 # 6bone phase-out
Schutzwirkung: Jede DNS-Antwort, die auf eine Fullbogon-IP verweist, wird verworfen. Damit verhindere ich DNS-Rebinding-Angriffe und blocke versehentliche wie bösartige Konfigurationsfehler fremder Resolver („route leaks“).
Zusammenspiel der drei Listen
Liste | Abgedeckter Angriffstyp | Massnahme | Reaktionszeit |
---|---|---|---|
ThreatFox | Frisch registrierte Malware- & C2-Domains | always_nxdomain in AdGuard | ∼ 30 min |
FireHOL L4 | Aktiv maliziöse, aber geroutete IP-Netze | response-ip … deny in Unbound | ∼ 60 min |
Fullbogons | Spoofing, Rebinding, Route Leak | private-address in Unbound | 24 h |
Gemeinsam bilden die Feeds ein mehrschichtiges Schild. Ich blocke Adressebene - Namenebene - Routingebene
synchron und das ohne proprietäre Lizenz oder Cloud-Black-Box.
Durch die Kombination ThreatFox Hosts + FireHOL L4 + Fullbogons habe ich meine Resolver von einer klassischen Werbe-Blockade zu einem proaktiven Threat-Intel-Firewall aufgebohrt. Wer DNS als ersten Verteidigungsring begreift und mit kuratierten Feeds zeitnah aktuell hält, der verschiebt den Angreifer zurück an den Start – lange bevor Endpoint-Sensorik Alarm schlägt. Und genau dieses Zeitfenster ist im Ernstfall der Unterschied zwischen einem verhinderten Vorfall und einer aufwendigen Incident-Response-Analyse.
Die Administration von öffentlichen DNS-Resolvern bereitet Freude, kostet allerdings Zeit und Geld. Bitte unterstützen Sie unsere Arbeit mit einer Spende.