Каково определение «защитной» службы DNS?
По сути, вопрос выше - будут ли основные облачные провайдеры (AWS Route53, служба GCP DNS) считаться защитными службами, или требуется дополнительный инструмент безопасности (например, OpenDNS)?
Прежде всего, это скорее маркетинговый термин, используемый для описания / дифференциации различных предложений услуг.Этот термин в значительной степени не требует пояснений относительно того, что служба делает больше, чем просто DNS (она также защищает от чего-то), но нет технического определения того, что именно служба должна делать, чтобы соответствовать требованиям.
Я когда-либо видел, что этот термин используется только в контексте серверов распознавателей, а не в отношении авторитетных серверов. (Я не могу сразу придумать, что мог бы сделать авторитетный сервер, чтобы быть «защитным».)
Что касается ваших примеров,Я думаю, что такие сервисы, как Quad9 и OpenDNS, являются хорошо известными примерами общедоступных сервисов, которые с полным основанием можно назвать «защитными», поскольку в них есть фильтры для известных «плохих» доменных имен. По сути, у них есть список доменных имен, которые, как было установлено, использовались в злонамеренных целях, и они отказываются отвечать на запросы по ним.
Подобные возможности фильтрации являются более или менее стандартной функцией для реализаций сервера распознавания, которые вы можете запустить самостоятельно (что фильтровать - это то, где находится значение, а не столько, как фильтровать).
Например, BIND, Unbound, Knot-resolver, PowerDNS-recursor все поддерживают зоны политики ответа (RPZ), которые являются стандартизированным форматом для переопределений разрешения имен на основе политик.
Если вы запустите свой собственный сервер распознавания и настроите его для загрузки зоны RPZ, которая блокирует некоторый известный набор вредоносных доменов, ваш собственный сервер также будет разумно квалифицирован как «защитный» DNS-сервер.