Análise de DNS Quad9

Ao contrário de muitos dos serviços DNS públicos de boa reputação que são gerenciados por corporações com fins lucrativos, o Quad9 é administrado por uma entidade sem fins lucrativos. Chamada de Global Cyber Alliance, é fundada por várias organizações de aplicação da lei e de pesquisa para ajudar a reduzir o crime cibernético. O grupo lançou o Quad9 em parceria com a IBM e a Packet Clearing House (PCH) com o objetivo de proteger os usuários do dilúvio de domínios maliciosos que propagam malware.

Você pode se inscrever no Quad9 aqui.

Características

O Quad9 é um serviço DNS recursivo gratuito que opera com a única intenção de impedir que os usuários acessem acidentalmente domínios mal-intencionados, como domínios de phishing, domínios de comando e controle C2, domínios comprometidos com kit de exploração e outros.

O serviço aproveita a inteligência de ameaças de várias fontes; 12 deles estão listados em seu site, incluindo Cisco, F-Secure, Netlab, IBM X-Force, Anti-Phishing Working Group (APWG) e outros.

Como a maioria dos serviços DNS públicos, Quad9 usa roteamento de tráfego anycast para enviar solicitações de seus computadores aos servidores mais próximos. O serviço tem servidores em mais de 145 locais em 88 países, e Quad9 afirma que grande parte da plataforma é hospedada em infraestrutura de TI que oferece suporte a DNS autoritativo para aproximadamente um quinto dos domínios de nível superior do mundo. Quad9 também aproveita os ativos da PCH, incluindo pontos de presença em 201 Internet Exchange Points em todo o mundo em setembro de 2022-2023. Graças a isso, Quad9 certamente será capaz de fornecer uma latência menor do que os servidores DNS padrão de seus ISPs.

Em seu FAQ, o serviço afirma implementar algoritmos de whitelisting para garantir que domínios legítimos não sejam bloqueados por acidente. No entanto, ele não entra em detalhes sobre seus métodos de lista de permissões.

O serviço também oferece suporte a redes IPv4 e IPv6. No entanto, ao contrário do Google Public DNS e Cloudflare DNS, Quad9 não oferece suporte ao mecanismo DNS64 para traduzir endereços IPv4 para redes exclusivas de IPv6.

Privacidade e segurança

Além de bloquear domínios maliciosos, o Quad9 também realiza algumas etapas para proteger a privacidade de seus usuários.

De acordo com seu FAQ, ele não registra o endereço IP dos usuários. No entanto, ele registra as informações de geolocalização generalizadas do computador solicitante (cidade, estado, país), que usa em sua análise de domínios maliciosos e também as compartilha com seus parceiros de inteligência de ameaças.

O serviço também afirma que não correlaciona ou combina informações de seus registros com seu endereço IP ou qualquer informação pessoal que você possa ter fornecido Quad9. O serviço também se compromete a não compartilhar nenhum dos dados registrados com os profissionais de marketing.

Para proteger ainda mais a sua privacidade, o Quad9 usa os protocolos DNS-Over-TLS, DNS-Over-HTTPS e DNSCrypt para autenticar, criptografar e até mesmo anonimizar a comunicação entre o seu computador e os resolvedores do Quad9. O uso desses protocolos garante que qualquer parte intermediária, como seu ISP, não consiga ver os sites que você está acessando.

Quad9 fornece a validação DNS Security Extensions (DNSSEC) em seus resolvedores para proteger contra falsificação de domínio e outros tipos de ataques que visam retornar dados falsos. Em outras palavras, o Quad9 garantirá criptograficamente que a resposta que recebe corresponde à resposta pretendida do operador de domínio para domínios que implementam DNSSEC.

Uso e desempenho

O nome do serviço vem do endereço IP de seu resolvedor DNS; 9.9.9.9. O serviço funciona como qualquer outro servidor DNS público, exceto que não resolve sites marcados como maliciosos.

O endereço IP primário para Quad9 é 9.9.9.9, que inclui a lista de bloqueio, validação de DNSSEC e outros recursos de segurança. O serviço também fornece um serviço DNS não seguro que você pode usar para determinar se há algum falso positivo no feed de ameaças Quad9 ou erros de DNSSEC com um domínio específico. O serviço não seguro está disponível em 9.9.9.10.

Como sempre, é melhor fazer alterações no servidor DNS em seu roteador e em seus dispositivos de endpoint para garantir que eles continuem a usar o servidor DNS de sua escolha, mesmo quando conectado a redes não confiáveis, como em uma biblioteca ou um café.

Os usuários do Android podem usar o aplicativo Quad9 Connect para mudar para o serviço com um único toque. Quando ativado, o aplicativo irá rotear todas as consultas DNS de todos os aplicativos em seu dispositivo para os servidores anycast Quad9 por meio de uma conexão criptografada DNS-Over-TLS.

Você pode usar o aplicativo para visualizar estatísticas sobre as solicitações de DNS que foram roteadas por meio do aplicativo, incluindo o número de solicitações bloqueadas. Ele também mostrará detalhes sobre as solicitações DNS individuais e dará a você a opção de relatar domínios maliciosos.

Em termos de desempenho, o Quad9 está atrás de muitos dos outros serviços DNS públicos populares. De acordo com DNSperf.com, no mês de agosto de 2022-2023, Quad9 tinha uma velocidade média de consulta de 30,25 ms na Europa, o que era bom apenas para o 8º lugar. Ele teve um desempenho um pouco melhor na América do Norte, onde ficou em 7º, com um tempo médio de 20,38ms.

O desempenho do Quad9 piorou na Ásia, com um tempo médio de consulta miserável de 74,12 ms. Graças às grandes flutuações, o DNSperf.com fixou a velocidade média do Quad9 em todo o mundo em 43,12 ms, colocando-o no 8º lugar, bem atrás de muitos de seus pares como Google Public DNS e Cloudflare DNS.

Para obter resultados mais precisos, no entanto, você deve usar o script de teste de desempenho de DNS, que consulta muitos dos serviços DNS públicos populares de sua localização. Você pode usar o script bash de dentro do Windows usando a camada de compatibilidade WSL. Os resultados deste script refletirão o verdadeiro desempenho do serviço, uma vez que são executados a partir do seu computador através da sua conexão com a Internet.

Veredicto Final

A principal atração do Quad9 é sua lista de bloqueio com curadoria que o impedirá de visitar domínios que hospedam conteúdo malicioso. A este respeito, o serviço supera a concorrência em vários testes de terceiros.

No lado negativo, porém, o impacto no desempenho da proteção extra é bastante severo. O Quad9 é amplamente superado por muitos dos serviços DNS públicos, incluindo nosso favorito atual, Cloudflare DNS. Além disso, você pode usar os servidores DNS alternativos do Cloudflare para bloquear malware, embora ele não tenha um desempenho tão bom quanto o Quad9 em testes independentes. Além disso, embora o Quad9 ofereça um aplicativo Android, muitos de seus concorrentes também oferecem.

Considerando tudo isso, existem dois tipos de usuários que gostariam de usar o Quad9. O serviço será útil principalmente para usuários para os quais o bloqueio de malware no nível do DNS é importante, mesmo que venha com uma penalidade de desempenho. Em segundo lugar, Quad9 vai ressoar com os usuários que preferem confiar suas consultas DNS a uma entidade sem fins lucrativos em vez de uma corporação com fins lucrativos. Se você pertence a qualquer um dos campos, ficará satisfeito com o Quad9. Porém, se o desempenho for fundamental, procure outro lugar.