CenturionDNS

Fast | Free | Open Source | Reliable | Secure

CenturionDNS powered by coresecret.eu sind

zensurfreie,
verschlüsselnde,
öffentliche und
redundante

DNS-Resolver ohne Logging, basierend auf der kuratierten Centurion Titanium Ultimate Blocklist powered by AdGuard und Mitgliedern der FOSS-Community mit Serverstandorten in Deutschland, Finnland und Österreich, in zwei verschiedenen AS und TLD lokalisiert und nutzen einen lokalen Unbound als Upstream-Server.

Update: 16.11.2025 – NRD-Lists werden von hagezi via codeberg.org bezogen.

Update: 14.11.2025 – Security Audit de/en verfügbar.

Update: 09.11.2025 – Overall exposure level for AdGuardHome.service: 2.8 OK.

Update: 09.11.2025 – Overall exposure level for unbound.service: 5.9 MEDIUM.

Update: 09.11.2025 – Lynis 3.1.6 Hardening index : 96.

Update: 01.11.2025 – Automatisches CVE Monitoring zu allen eingesetzten Paketen, tägliches reporting.

Update: 15.09.2025 – NRD-Lists werden von xRuffKez via codeberg.org bezogen.

Neben dem klassischen Blocken von unerwünschten Domains sind die CenturionDNS Server zusätzlich gegen

Spoofing, Rebinding, Route Leak (Fullbogons) (Updates werden alle 30 Minuten gezogen),
aktiv maliziöse, aber geroutete IP-Netze (Updates werden alle 30 Minuten gezogen),
frisch registrierte Malware- & C2-Domains (Updates werden alle 30 Minuten gezogen)

gehärtet. Details zum Setup sind hier beschrieben.

DNS-Anfragen werden, je nach Client-Fähigkeiten, verschlüsselt über DNS-over-HTTPS (DoH), DNS-over-TLS (DoT), DNS-over-QUIC (DoQ) oder DNSCrypt übertragen. Dadurch sind Anfragen und Antworten vor dem klassischen Mitlesen und vor vielen Formen der Manipulation bzw. Umleitung geschützt; zusätzlich sorgt DNSSEC für kryptographische Integritätsprüfungen der autoritativen Antworten.

Die CenturionDNS Server verschlüsseln im Modus DNS-over-HTTPS, sofern die anfragenden Clients dies unterstützen, den gesamten DNS-Verkehr mittels:

(TLS1.3)-(X448)-(RSA-PSS-RSAE-SHA512)-(AES-256-GCM-SHA384)

Die CenturionDNS Server verschlüsseln im Modus DNS-over-TLS, sofern die anfragenden Clients dies unterstützen, den gesamten DNS-Verkehr mittels:

(TLS1.3)-(X25519MLKEM768)-(RSA-PSS-RSAE-SHA512)-(AES-128-GCM-SHA256)

Übersicht

Features

Feature	Value
AdGuardHome	Version v0.107.70
Cipher	AES-256-GCM only (DoH) & ChaCha20-Poly (DoH) ✓
Contact	https://coresecret.eu/contact/ ✓
DANE	secured ✓
DNSSEC	validating ✓
DNS stamps	provided ✓
Filter	Centurion Titanium Ultimate by coresecret.eu ✓
Filter Update	hourly ✓
Filtered Queries Blocklists	`0.0.0.0` (UI-friendly) ✓
Filtered Queries Threats	`NXDOMAIN` ✓
Fullbogons	secured ✓
HSTS-Preload	`eddns.eu` and `eddns.de` preloaded ✓
iOS MobileConfig	provided ✓
Limits	8 queries / second && /24 \|\| /64 Subnet ✓
Location	Austria, Germany, Finnland ✓
Malicious IP-Nets	secured ✓
Monitoring CVE	dedicated CenturionDNS ChatGPT Agent ✓
Monitoring CTlog	certspotter.eu ✓
Monitoring Uptime	CenturionNet Status ✓
Privacy	no logging policy ✓
PTR	`dns01.eddns.eu` \| `dns02.eddns.de` \| `dns03.eddns.eu` ✓
Qualys Audit	A+ Quadruple 100 % Rating ✓
Query Drop	`ANY` ✓
Query Log	`off` ✓
QNAME	minimisation ✓
Redundancy	AS & Location & TLD ✓
Security Audit	ChatGPT 5.1 Pro Deepsearch ✓
Security Features	CISS, SIEM, HW FW, fail2ban, ufw, rate-limit, systemd hardening ✓
security.txt	provided ✓
Special Domain Handling	Chrome Preflight \| Firefox DoH-Canary \| iCloud Private Relay ✓
SVCB	`mandatory="alpn,dohpath"` preventing downgrade ✓
TLS Certificate	zerossl.com RSA-4096 SHA384 ✓ Validity: 365 days ✓
TLS Certificate in use SPKI	TE9/FTuOCifWujXhlcb56hnfT8cUjd9wODYi2akf2Gw=

Aktualisiert: 04.12.2025, 00:00 UTC

Plain DNS | Unverschlüsselt

Port: 53/udp
dns01.eddns.eu: 135.181.207.105
dns02.eddns.de: 89.58.62.53
dns03.eddns.eu: 138.199.237.109
dns01.eddns.eu: 2a01:4f9:c012:a813:135:181:207:105
dns02.eddns.de: 2a0a:4cc0:1:e6:89:58:62:53
dns03.eddns.eu: 2a01:4f8:c013:8011:138:199:237:109

DNSCrypt

Port: 4343/udp
dns01.eddns.eu: 135.181.207.105
dns02.eddns.de: 89.58.62.53
dns03.eddns.eu: 138.199.237.109

DNS-over-HTTPS (DoH)

Port: 443/tcp
https://dns01.eddns.eu/dns-query
https://dns02.eddns.de/dns-query
https://dns03.eddns.eu/dns-query

DNS-over-Quic (DoQ)

Port: 853/udp
quic://dns01.eddns.eu:853
quic://dns02.eddns.de:853
quic://dns03.eddns.eu:853

DNS-over-TLS (DoT)

Port: 853/tcp
dns01.eddns.eu
dns02.eddns.de
dns03.eddns.eu

Current Certificate tbs-Hash

echo | openssl s_client -connect dns01.eddns.eu:853 -servername dns01.eddns.eu 2>/dev/null | openssl x509 -outform der | openssl asn1parse -inform der -strparse 4 -noout -out /tmp/tbs.der && openssl dgst -sha256 /tmp/tbs.der
SHA2-256(/tmp/tbs.der)= 8aa49e2060622524d9afc0fd810c57d3073dfe222f5edd0d8d8570a260576572

DNS Stamps dns01.eddns.eu

# dns01.eddns.eu DNSCrypt IPv4
sdns://AQMAAAAAAAAAFDEzNS4xODEuMjA3LjEwNTo0MzQzIHXJhJskRmhFX7e2WZZffAaLUmMVVjOsZfH25cQjZA1mHjIuZG5zY3J5cHQtY2VydC5kbnMwMS5lZGRucy5ldQ

# dns01.eddns.eu DoH IPv4
sdns://AgMAAAAAAAAADzEzNS4xODEuMjA3LjEwNSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMS5lZGRucy5ldQovZG5zLXF1ZXJ5

# dns01.eddns.eu DoH IPv6
sdns://AgMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMS5lZGRucy5ldQovZG5zLXF1ZXJ5

# dns01.eddns.eu DoQ IPv4
sdns://BAMAAAAAAAAADzEzNS4xODEuMjA3LjEwNSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM

# dns01.eddns.eu DoQ IPv6
sdns://BAMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM

# dns01.eddns.eu DoT IPv4
sdns://AwMAAAAAAAAADzEzNS4xODEuMjA3LjEwNSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM

# dns01.eddns.eu DoT IPv6
sdns://AwMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMS5lZGRucy5ldTo4NTM

# 135.181.207.105:53
sdns://AAMAAAAAAAAAEjEzNS4xODEuMjA3LjEwNTo1Mw

# [2a01:4f9:c012:a813:135:181:207:105]:53
sdns://AAMAAAAAAAAAJFsyYTAxOjRmOTpjMDEyOmE4MTM6MTM1OjE4MToyMDc6MTA1XQ

DNS Stamps dns02.eddns.de

# dns02.eddns.de DNSCrypt IPv4
sdns://AQMAAAAAAAAAEDg5LjU4LjYyLjUzOjQzNDMgpkXLk2QX2BqlVL7V0giuNznDy2EOYJcb5EYyNPupAsoeMi5kbnNjcnlwdC1jZXJ0LmRuczAyLmVkZG5zLmRl

# dns02.eddns.de DoH IPv4
sdns://AgMAAAAAAAAACzg5LjU4LjYyLjUzIIqkniBgYiUk2a_A_YEMV9MHPf4iL17dDY2FcKJgV2VyDmRuczAyLmVkZG5zLmRlCi9kbnMtcXVlcnk

# dns02.eddns.de DoH IPv6
sdns://AgMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10giqSeIGBiJSTZr8D9gQxX0wc9_iIvXt0NjYVwomBXZXIOZG5zMDIuZWRkbnMuZGUKL2Rucy1xdWVyeQ

# dns02.eddns.de DoQ IPv4
sdns://BAMAAAAAAAAACzg5LjU4LjYyLjUzIIqkniBgYiUk2a_A_YEMV9MHPf4iL17dDY2FcKJgV2VyEmRuczAyLmVkZG5zLmRlOjg1Mw

# dns02.eddns.de DoQ IPv6
sdns://BAMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10giqSeIGBiJSTZr8D9gQxX0wc9_iIvXt0NjYVwomBXZXISZG5zMDIuZWRkbnMuZGU6ODUz

# dns02.eddns.de DoT IPv4
sdns://AwMAAAAAAAAACzg5LjU4LjYyLjUzIIqkniBgYiUk2a_A_YEMV9MHPf4iL17dDY2FcKJgV2VyEmRuczAyLmVkZG5zLmRlOjg1Mw

# dns02.eddns.de DoT IPv6
sdns://AwMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10giqSeIGBiJSTZr8D9gQxX0wc9_iIvXt0NjYVwomBXZXISZG5zMDIuZWRkbnMuZGU6ODUz

# 89.58.62.53:53
sdns://AAMAAAAAAAAACzg5LjU4LjYyLjUz

# [2a0a:4cc0:1:e6:89:58:62:53]:53
sdns://AAMAAAAAAAAAHFsyYTBhOjRjYzA6MTplNjo4OTo1ODo2Mjo1M10

DNS Stamps dns03.eddns.eu

# dns03.eddns.eu DNSCrypt IPv4
sdns://AQMAAAAAAAAAFDEzOC4xOTkuMjM3LjEwOTo0MzQzINKCZ9sYO7ZF6haOdGc6W2e73sEisojpmLUMaRbN_842HjIuZG5zY3J5cHQtY2VydC5kbnMwMy5lZGRucy5ldQ

# dns03.eddns.eu DoH IPv4
sdns://AgMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMy5lZGRucy5ldQovZG5zLXF1ZXJ5

# dns03.eddns.eu DoH IPv6
sdns://AgMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlcg5kbnMwMy5lZGRucy5ldQovZG5zLXF1ZXJ5

# dns03.eddns.eu DoQ IPv4
sdns://BAMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM

# dns03.eddns.eu DoQ IPv6
sdns://BAMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM

# dns03.eddns.eu DoT IPv4
sdns://AwMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM

# dns03.eddns.eu DoT IPv6
sdns://AwMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XSCKpJ4gYGIlJNmvwP2BDFfTBz3-Ii9e3Q2NhXCiYFdlchJkbnMwMy5lZGRucy5ldTo4NTM

# 138.199.237.109:53
sdns://AAMAAAAAAAAADzEzOC4xOTkuMjM3LjEwOQ

# [2a0a:4cc0:1:e6:89:58:62:53]:53
sdns://AAMAAAAAAAAAJFsyYTAxOjRmODpjMDEzOjgwMTE6MTM4OjE5OToyMzc6MTA5XQ

Einstellungen

Android

Ab Android Version 9 lässt sich DNS-over-TLS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Verbinden und teilen > Privates DNS

eintragen:

dns01.eddns.eu

dns02.eddns.de

dns03.eddns.eu

iOS

iOS 14 und folgende: CenturionDNS Konfigurationsdatei:

centurion_dns-signed Herunterladen

Firefox

In den aktuellen Firefox Versionen, bspw. Version 127.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Datenschutz & Sicherheit > DNS über HTTPS aktivieren >
Maximaler Schutz > Benutzerdefiniert

eintragen:

https://dns01.eddns.eu/dns-query

https://dns02.eddns.de/dns-query

https://dns03.eddns.eu/dns-query

TRR (Trusted Recursive Resolver):

In einer leeren Adresszeile die Adresse about:config eingeben.

Im sodann erscheinenden Suchfeld network.trr.mode eingeben.

Den dortigen Wert mit dem Bearbeiten-Stift auf 3 setzen, um den Fallback auf den System-DNS zu vermeiden.

Thunderbird oder Betterbird

In den aktuellen Thunderbird und Betterbrid Versionen, bspw. Version 115.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Allgemein > Netzwerk & Speicherplatz > Verbdindung >
DNS über HTTPS aktivieren > Benutzerdefiniert

eintragen:

https://dns01.eddns.eu/dns-query

https://dns02.eddns.de/dns-query

https://dns03.eddns.eu/dns-query

TRR (Trusted Recursive Resolver):

Einstellungen > Allgemein > Konfiguration bearbeiten

Im sodann erscheinenden Suchfeld network.trr.mode eingeben.

Den dortigen Wert mit dem Bearbeiten-Stift auf 3 setzen, um den Fallback auf den System-DNS zu vermeiden.

Chrome oder Chromium Derivate

In den aktuellen Chrome Versionen, bspw. Version 126.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Datenschutz und Sicherheit > Sicherheit > Sicheres DNS verwenden > Benutzerdefiniert

eintragen:

https://dns01.eddns.eu/dns-query

https://dns02.eddns.de/dns-query

https://dns03.eddns.eu/dns-query

Microsoft Edge

In den aktuellen Chrome Versionen, bspw. Version 126.x, lässt sich DNS-over-HTTPS ohne Zusatzsoftware nutzen.

Hierzu unter:

Einstellungen > Datenschutz, Suche und Dienste > Sicherheit >
Verwenden Sie sicheres DNS, um anzugeben, wie die Netzwerkadresse für Websites nachzuschlagen ist > Einen Diensteanbieter auswählen

eintragen:

https://dns01.eddns.eu/dns-query

https://dns02.eddns.de/dns-query

https://dns03.eddns.eu/dns-query

Online Tests

Tool Klasse	URL
Validate DNS Resolver	https://browserleaks.com/dns
	https://controld.com/tools/dns-rebind-test
	https://dnsleaktest.com
	https://ipleak.net
	https://which.nameserve.rs
	https://www.dnscheck.tools/
Validate Adblocking Efficiency	https://blockads.fivefilters.org/
	https://ads-blocker.com/testing/
	https://adblock-tester.com/

Aktualisiert: 06.04.2025, 11:50 UTC

Centurion Titanium Ultimate Blocklist by coresecret.eu

Die DNS-Resolver filtern Ad-, Tracking- und Malwaredomains aus der folgenden kombinierten, komprimierten, gefilterten, von Duplikaten bereinigten, validierten und sortierten Adblock-Filterliste der primären Quellen, die im Abschnitt „Primäre Blocklisten“ aufgelistet sind. Diese Liste wird stündlich neu erstellt und von allen DNS-Resolvern ebenfalls stündlich abgefragt. Sie umfasst zusätzlich sämtliche, automatisch erstellten und neu registrierten Domains weltweit der letzten 30 Tage, da in dieser frühen Phase überdurchschnittlich viel Schadverkehr beobachtet wird.

https://dns01.eddns.eu/blocklists/centurion_titanium_ultimate.txt

Zum Kompilieren wird der Adguard HostlistCompiler mit folgenden Einstellungen verwendet:

{
...
  "sources": [
    {
...
    }
  ],
  "transformations": [
    "RemoveComments",
    "Compress",
    "RemoveModifiers", 
    "Validate", 
    "ValidateAllowIp", 
    "Deduplicate", 
    "RemoveEmptyLines", 
    "TrimLines", 
    "InsertFinalNewLine"
  ]
}

Stand:	09.12.2025
Geblockte Domains:	3.182.948
Listen Total:	60
Whitelist Einträge:	228

Aktualisiert: 09.12.2025, 00:00 UTC

Domain-Whitelist beantragen: dns@coresecret.eu

Primäre Blocklisten

https://adguardteam.github.io/HostlistsRegistry/assets/filter_1.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_59.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_53.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_4.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_12.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_39.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_6.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_7.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_8.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_3.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_46.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_55.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_52.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/fake.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_56.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_44.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_49.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.amazon.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.apple.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.huawei.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.lgwebos.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.oppo-realme.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.tiktok.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.vivo.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.winoffice.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.xiaomi.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_11.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_27.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_50.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_18.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_30.txt
https://malware-filter.gitlab.io/malware-filter/phishing-filter-agh.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_10.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_57.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_42.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_31.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_33.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_9.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_23.txt
https://perflyst.github.io/PiHoleBlocklist/AmazonFireTV.txt
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt
https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt
https://raw.githubusercontent.com/hkamran80/blocklists/main/smart-tv.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_29.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_21.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_35.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_43.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_25.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_15.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_36.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_20.txt
https://adguardteam.github.io/HostlistsRegistry/assets/filter_41.txt
https://filters.adtidy.org/extension/chromium/filters/1.txt
https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/dyndns.txt
https://cdn.jsdelivr.net/gh/hagezi/dns-blocklists@latest/adblock/doh-ips.txt
https://cdn.jsdelivr.net/gh/hagezi/dns-blocklists@latest/adblock/urlshortener.txt
https://codeberg.org/hagezi/mirror2/raw/branch/main/dns-blocklists/adblock/dga30.txt
https://threatfox.abuse.ch/downloads/hostfile/
https://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/quad9_blocklist.txt
https://raw.githubusercontent.com/FadeMind/hosts.extras/master/UncheckyAds/hosts

Aktualisiert: 16.09.2025, 00:00 UTC

Filter List Name	URL
AdGuard DNS filter	https://adguardteam.github.io/HostlistsRegistry/assets/filter_1.txt
AdGuard DNS Popup Hosts filter	https://adguardteam.github.io/HostlistsRegistry/assets/filter_59.txt
AWAvenue Ads Rule	https://adguardteam.github.io/HostlistsRegistry/assets/filter_53.txt
Dan Pollock List	https://adguardteam.github.io/HostlistsRegistry/assets/filter_4.txt
Dandelion Anti-Malware List	https://adguardteam.github.io/HostlistsRegistry/assets/filter_12.txt
Dandelion Anti Push Notifications	https://adguardteam.github.io/HostlistsRegistry/assets/filter_39.txt
Dandelion Game Console List	https://adguardteam.github.io/HostlistsRegistry/assets/filter_6.txt
Dandelion Smart-TV Blocklist	https://adguardteam.github.io/HostlistsRegistry/assets/filter_7.txt
NoCoin Filter List	https://adguardteam.github.io/HostlistsRegistry/assets/filter_8.txt
Peter Lowe Blocklist	https://adguardteam.github.io/HostlistsRegistry/assets/filter_3.txt
HaGeZi Anti-Piracy Blocklist	https://adguardteam.github.io/HostlistsRegistry/assets/filter_46.txt
HaGeZi Badware Hoster Blocklist	https://adguardteam.github.io/HostlistsRegistry/assets/filter_55.txt
HaGeZi Encrypted DNS/VPN/TOR/Proxy Bypass	https://adguardteam.github.io/HostlistsRegistry/assets/filter_52.txt
HaGeZi Fake DNS Blocklist	https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/fake.txt
HaGeZi World’s Most Abused TLDs	https://adguardteam.github.io/HostlistsRegistry/assets/filter_56.txt
HaGeZi Threat Intelligence Feeds	https://adguardteam.github.io/HostlistsRegistry/assets/filter_44.txt
HaGeZi Ultimate Blocklist	https://adguardteam.github.io/HostlistsRegistry/assets/filter_49.txt
HaGeZi Amazon Tracker DNS Blocklist	https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.amazon.txt
HaGeZi Apple Tracker DNS Blocklist	https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.apple.txt
HaGeZi Huawei Tracker DNS Blocklist	https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.huawei.txt
HaGeZi LG webOS Tracker DNS Blocklist	https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.lgwebos.txt
HaGeZi OPPO & Realme Tracker DNS Blocklist	https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.oppo-realme.txt
HaGeZi TikTok Fingerprinting DNS Blocklist	https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.tiktok.txt
HaGeZi Vivo Tracker DNS Blocklist	https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.vivo.txt
HaGeZi Windows/Office Tracker DNS Blocklist	https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.winoffice.txt
HaGeZi Xiaomi Tracker DNS Blocklist	https://raw.githubusercontent.com/hagezi/dns-blocklists/main/domains/native.xiaomi.txt
Malicious URL Blocklist (URLHaus)	https://adguardteam.github.io/HostlistsRegistry/assets/filter_11.txt
OISD Blocklist Big	https://adguardteam.github.io/HostlistsRegistry/assets/filter_27.txt
uBlock filters – Badware risks	https://adguardteam.github.io/HostlistsRegistry/assets/filter_50.txt
Phishing Army \| The Blocklist to filter Phishing	https://adguardteam.github.io/HostlistsRegistry/assets/filter_18.txt
Phishing URL Blocklist (PhishTank and OpenPhish)	https://adguardteam.github.io/HostlistsRegistry/assets/filter_30.txt
Phishing URL Blocklist (AdGuard Home)	https://malware-filter.gitlab.io/malware-filter/phishing-filter-agh.txt
Scam Blocklist by DurableNapkin	https://adguardteam.github.io/HostlistsRegistry/assets/filter_10.txt
ShadowWhisperer Dating List	https://adguardteam.github.io/HostlistsRegistry/assets/filter_57.txt
ShadowWhisperer Malware List	https://adguardteam.github.io/HostlistsRegistry/assets/filter_42.txt
Stalkerware Indicators List	https://adguardteam.github.io/HostlistsRegistry/assets/filter_31.txt
Steven Black List	https://adguardteam.github.io/HostlistsRegistry/assets/filter_33.txt
The Big List of Hacked Malware Web Sites	https://adguardteam.github.io/HostlistsRegistry/assets/filter_9.txt
WindowsSpyBlocker – Hosts spy rules	https://adguardteam.github.io/HostlistsRegistry/assets/filter_23.txt
Amazon FireTV	https://perflyst.github.io/PiHoleBlocklist/AmazonFireTV.txt
NoTrack Tracker Blocklist	https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-blocklist.txt
NoTrack Malware Blocklist	https://gitlab.com/quidsup/notrack-blocklists/raw/master/notrack-malware.txt
Smart TV Blocklist	https://raw.githubusercontent.com/hkamran80/blocklists/main/smart-tv.txt
CHN: AdRules DNS List	https://adguardteam.github.io/HostlistsRegistry/assets/filter_29.txt
CHN: anti-AD	https://adguardteam.github.io/HostlistsRegistry/assets/filter_21.txt
HUN: Hufilter	https://adguardteam.github.io/HostlistsRegistry/assets/filter_35.txt
ISR: EasyList Hebrew	https://adguardteam.github.io/HostlistsRegistry/assets/filter_43.txt
KOR: List-KR DNS	https://adguardteam.github.io/HostlistsRegistry/assets/filter_25.txt
KOR: YousList	https://adguardteam.github.io/HostlistsRegistry/assets/filter_15.txt
LIT: EasyList Lithuania	https://adguardteam.github.io/HostlistsRegistry/assets/filter_36.txt
MKD: Macedonian Pi-hole Blocklist	https://adguardteam.github.io/HostlistsRegistry/assets/filter_20.txt
POL: CERT Polska List of malicious domains	https://adguardteam.github.io/HostlistsRegistry/assets/filter_41.txt
https://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/quad9_blocklist.txt	https://raw.githubusercontent.com/AssoEchap/stalkerware-indicators/master/generated/quad9_blocklist.txt
https://raw.githubusercontent.com/FadeMind/hosts.extras/master/UncheckyAds/hosts	https://raw.githubusercontent.com/FadeMind/hosts.extras/master/UncheckyAds/hosts
HaGeZi’s DynDNS Blocklist.	https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/dyndns.txt
HaGeZi’s Encrypted DNS Servers IPv4 lists for firewalls and AdGuard Home.	https://cdn.jsdelivr.net/gh/hagezi/dns-blocklists@latest/adblock/doh-ips.txt
HaGeZi’s Blocklist URL Shortener.	https://cdn.jsdelivr.net/gh/hagezi/dns-blocklists@latest/adblock/urlshortener.txt
Newly registered entropy domains (entropy NRDs) from the past 30 days that have been generated by Domain Generation Algorithms (DGAs).	https://codeberg.org/hagezi/mirror2/raw/branch/main/dns-blocklists/adblock/dga30.txt
ThreatFox list of domain based IOCs.	https://threatfox.abuse.ch/downloads/hostfile/

Aktualisiert: 16.09.2025, 00:00 UTC

Unterstützte Cipher

Die DNS-over-HTTPS Server unterstützen ausschließlich die folgenden Ciphersuiten.

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

AdGuard & Unbound mit ThreatFox, FireHOL L4 & Team-Cymru Fullbogons

ThreatFox ist ein Community-Projekt von abuse.ch, das beobachtete Malware-Domains und -Hosts in Echtzeit als IOC (Indicator of Compromise) publiziert. Die Besonderheiten:

Stündliche Aktualisierung – binnen weniger Minuten nach der ersten Infektion ist die Domain im Feed.
Confidence-Level – jeder Eintrag erhält einen Vertrauenswert; ich importiere nur ≥ 60 %, um Fehlalarme auszuschliessen.
Host-basiert – sowohl FQDNs als auch rohe IP-Adressen, was die Detektion um C2-Server ergänzt, die bloss A-Records ausliefern.

Schutzwirkung: Ich verhindere damit, dass Clients in meinem Netz überhaupt erst einen TCP-Handshake mit Command-and-Control-Endpunkten aufnehmen. Spear-Phishing-Kampagnen, die auf frische Domains setzen, prallen bereits auf DNS-Ebene ab – lange bevor Web-Filter oder EDR greifen können.

Die FireHOL-Blocklisten konsolidieren Dutzende Reputationsquellen und clustern sie in vier Stufen. Level 4 (aggressive) umfasst aktuell ca. 90,070 subnets, 9,184,155 unique IPs, die nachweislich an Botnet-Traffic, Port-Scans oder Crypto-Jacking beteiligt sind. Ich überführe diese Netze via response-ip: … deny direkt in Unbound:

# /etc/unbound/firehol.respip
response-ip: 31.210.20.0/24   deny
response-ip: 185.244.25.0/24  deny
response-ip: 2402:1f00::/32   deny

Schutzwirkung: Sollte ein Angreifer eine legitime, bislang unauffällige Domain kompromittieren, aber deren A-Record plötzlich auf ein FireHOL-belastetes Subnetz zeigen, wird die Auflösung in meinem Netz sofort mit NXDOMAIN beantwortet. So eliminiere ich fast-flux-artige Infrastrukturwechsel und IP-Hopping, ohne gleich ganze Domains black-holen zu müssen.

Ein Fullbogon ist ein Adress-Präfix, das in keiner globalen BGP-Ankündigung existiert – also „geisterhaft“ ist. Angreifer fälschen gerne Quell-IP-Adressen innerhalb dieser Bereiche, um Rückverfolgung zu erschweren oder Reflexions-DDoS zu initiieren. Ich lade die IPv4- und IPv6-Bogons alle 24 Stunden und injiziere sie in Unbound mittels private-address:-Direktive:

# /etc/unbound/bogons.conf
private-address: 100.64.0.0/10    # Carrier-Grade-NAT
private-address: 240.0.0.0/4      # historisches Class-E-Reservat
private-address: 2001:2::/48      # 6bone phase-out

Schutzwirkung: Jede DNS-Antwort, die auf eine Fullbogon-IP verweist, wird verworfen. Damit verhindere ich DNS-Rebinding-Angriffe und blocke versehentliche wie bösartige Konfigurationsfehler fremder Resolver („route leaks“).

Zusammenspiel der drei Listen

Liste	Abgedeckter Angriffstyp	Massnahme	Reaktionszeit
ThreatFox	Frisch registrierte Malware- & C2-Domains	`always_nxdomain` in AdGuard	∼ 30 min
FireHOL L4	Aktiv maliziöse, aber geroutete IP-Netze	`response-ip … deny` in Unbound	∼ 60 min
Fullbogons	Spoofing, Rebinding, Route Leak	`private-address` in Unbound	24 h

Gemeinsam bilden die Feeds ein mehrschichtiges Schild. Ich blocke Adressebene - Namenebene - Routingebene synchron und das ohne proprietäre Lizenz oder Cloud-Black-Box.

Durch die Kombination ThreatFox Hosts + FireHOL L4 + Fullbogons habe ich meine Resolver von einer klassischen Werbe-Blockade zu einem proaktiven Threat-Intel-Firewall aufgebohrt. Wer DNS als ersten Verteidigungsring begreift und mit kuratierten Feeds zeitnah aktuell hält, der verschiebt den Angreifer zurück an den Start – lange bevor Endpoint-Sensorik Alarm schlägt. Und genau dieses Zeitfenster ist im Ernstfall der Unterschied zwischen einem verhinderten Vorfall und einer aufwendigen Incident-Response-Analyse.

Die Administration von öffentlichen DNS-Resolvern bereitet Freude, kostet allerdings Zeit und Geld. Bitte unterstützen Sie unsere Arbeit mit einer Spende.

Fast | Free | Open Source | Reliable | Secure

Übersicht

Features

Plain DNS | Unverschlüsselt

DNSCrypt

DNS-over-HTTPS (DoH)

DNS-over-Quic (DoQ)

DNS-over-TLS (DoT)

Current Certificate tbs-Hash

DNS Stamps dns01.eddns.eu

DNS Stamps dns02.eddns.de

DNS Stamps dns03.eddns.eu

Einstellungen

Android

iOS

Firefox

Thunderbird oder Betterbird

Chrome oder Chromium Derivate

Microsoft Edge

Online Tests

Centurion Titanium Ultimate Blocklist by coresecret.eu

Primäre Blocklisten

Unterstützte Cipher

AdGuard & Unbound mit ThreatFox, FireHOL L4 & Team-Cymru Fullbogons

Zusammenspiel der drei Listen

Widgets