Publieke DNS malware filters in 2024 getest

Hoe goed scoren de grootste publieke DNS-resolvers die je tegen malware domeinen beschermen in januari 2024? Wij deden de test!

Publieke DNS malware filters in 2024 getest

Het voorkomen van een malware infectie binnen je netwerk, is een kwestie van gelaagde defensieve maatregelen. Een van die maatregelen is DNS filtering. Maar aangezien er dagelijks tal van malware domeinen bijkomen, is het onmogelijk om zelf een blacklist bij te houden. Daarvoor kan je beroep doen op publieke DNS-resolvers die malware domeinen blokkeren.

In het voorjaar van 2023 legden we een aantal gratis publieke DNS-resolvers het vuur aan de schenen (zie dit artikel). Hoe is het nu in 2024 gesteld? Presteren deze DNS-resolvers beter of slechter dan een jaar geleden? We deden de test opnieuw!

Lijst van malafide domeinnamen

Opnieuw hebben we op de website van CERT Polen een lijst van 163.196 malafide domeinen gedownload. CERT Polen update deze lijst nog steeds dagelijks. Ook hebben we opnieuw van URLhaus een lijst met malafide domeinen gedownload, goed voor 8.709 domeinen. In totaal leverde dat een lijst op van 171.905 unieke malafide hosts. Meer dan voldoende om een goed beeld te krijgen hoe goed of slecht de DNS-resolvers presteren.

Geteste DNS-resolvers

Onze lijst met DNS-resolvers ziet er een beetje anders uit dan vorig jaar.

Verloop van de test

We schreven voor deze test een eenvoudig Bash script. Dit script deed:

  • 10 pings naar iedere DNS-resolver om een gemiddelde ping-tijd te bekomen.
  • Een test van 5 gekende websites die zeker niet in de malafide lijst voorkomen om te correctheid van de DNS-resolvers te bevestigen.
  • Een controle van ieder malafide domein tegenover de ongefilterde DNS-resovler 1.1.1.1 (Cloudflare) om te controleren of het domein tenminste 1 A-record heeft.
  • Als er minstens 1 A-record gevonden werd, dan werd het domein tegenover alle DNS-resolvers getest.
  • Als de geteste DNS-resolver een geldig IP-adres retourneerde, dan werd dit in een CSV opgeslagen. Retourneerde de DNS-resolver geen waarde of het IP-adres 0.0.0.0 of 127.0.0.1, dan werd er geen waarde in de CSV opgeslagen.

Als de DNS-resolver geen waarde of de waarde 0.0.0.0 of 127.0.0.1 retourneerde, dan was dat een teken dat hij het domein niet resolvde. In dat geval gingen we ervan uit dat het domein bij de provider bekend is als 'malafide'.

Resultaten

Cloudflare vond bij 51.507 hosts een A-record. Deze hosts werden aan alle DNS-resolvers aangeboden. Onderstaande tabel geeft weer hoeveel hosts met een geldig IP-adres de DNS-resolver geresolved (niet geblokkeerd) en niet geresolved (wel geblokkeerd) heeft.

Provider Google Public DNS ControlD Malware Norton ConnectSafe UltraDNS Threat Protection Quad9 Cloudflare for Families dns0.eu dns0.eu ZERO CleanBrowsing Security Filter Comodo Secure DNS
Geresolved 51389 32 51369 51397 7925 48259 2082 2015 7593 51399
Niet geresolved 118 51475 138 110 43582 3248 49425 49492 43914 108
Geblokkeerd 0.23% 99.94% 0.27% 0.21% 84.61% 6.31% 95.96% 96.09% 85.26% 0.21%

In onderstaande grafiek hebben we ter vergelijking (in het rood) de resultaten van 2023 toegevoegd.

Conclusie

Nieuwkomer in deze lijst 'ControlD Malware' scoort verrassend goed. Op slechts 32 domeinen na, blokkeert ControlD alle domeinen. DNS0 scoort beter dan vorig jaar en ook Quad9 maakt een flinke sprong voorwaarts. 'Cloudflare for Families' gaat er helaas sterk op achteruit.

Nieuwkomers 'Norton ConnectSafe' en 'UltraDNS Threat Protection' moeten hun malware filter misschien toch eens grondig nakijken. Ook 'Comodo Secure DNS' doet het nog even slecht als vorig jaar.

Het gevaar voor false positives

Het werken met malware lijsten van derden, brengt als nadeel met zich mee dat er misschien ook wel domeinen geblokkeerd worden die eigenlijk geen malware zijn. 'false positives' heet dat.

Van Cloudflare Radar hebben we de 'top 1.000' domeinen gedownload. Dit is een lijst van de 1.000 wereldwijd meest opgevraagde domeinen bij de Cloudflare ongefilterde DNS-resolver in de afgelopen 7 dagen. Kunnen we er 100% zeker van zijn dat deze domeinen geen malware domeinen zijn? Neen. Maar aangezien dit de 1.000 grootste websites zijn, kunnen we hier wel vanuit gaan. Daarom zouden alle DNS-resolvers deze domeinen niet mogen blokkeren.

Van de 1.000 domeinen werden er bij 706 aangeboden bij alle DNS-resolvers. Het resultaat? Slechts enkele werden er niet geresolved, dat is bijna verwaarloosbaar en een prima resultaat.

Provider Google Public DNS ControlD Malware Norton ConnectSafe UltraDNS Threat Protection Quad9 Cloudflare for Families dns0.eu dns0.eu ZERO CleanBrowsing Security Filter Comodo Secure DNS
Geresolved 706 705 706 706 706 706 706 705 704 703
Niet geresolved 0 1 0 0 0 0 0 1 2 3

Waarom niet alle 1.000 domeinen getest konden worden? Omdat sommige domeinen geen A-record retourneerden. Dat komt omdat het domein bijvoorbeeld enkel subdomeinen als 'CDN' of als 'tracker' gebruikt.