DNS blacklist

temps de lecture ~7 min
  1. 1. Les listes
    1. 1.1. Standard pi-hole
    2. 1.2. En complément
  2. 2. Recouvrement des sources
  3. 3. Conclusion
  4. 4. à voir aussi

Le filtrage DNS est vraiement efficace pour limiter les trafics vers des sites non sollicités et préserver un peu plus la vie privée. Vous qui avez lu mon précédent article sur pi-hole, voici de quoi compléter avec quelques listes de filtrage et leur contenu. Si vous disposez d’un autre outils de DNS qui accèpte les listes de filtrage, c’est le moment de regarder s’il n’y a pas de l’amélioration à faire.

Vous trouverez beaucoup de listes sur le net afin de filtrer les domaines, c’est bien de cela dont on parle ici en couplage avec le DNS. Le filtrage d’URL est plus fin et plus performant, mais nécessite plus de composants d’infrastructure pour le mettre en place chez soi.

Voici une petite liste de sources avec leurs volumétries, caractéristiques et quelques statistiques sur quelques jours d’utilisation à la maison. Ceci pour vous donner une idée de l’efficacité et d’envisager de le mettre en place chez vous, que vous soyez un particulier ou une entreprise. Pour mémoire, la solution pi-hole avec son matériel se met en place pour environ 50€ (en étant assez large) et deux heures de travail.

Les listes

Entre crochet les sources directement utilisables dans votre configuration pi-hole préférée, ou come base à votre système de filtrage.

Standard pi-hole

En standard dans la configuration pi-hole vous trouverez les listes suivantes :

  • chez StevenBlack la liste [unified host] comprenant principalement adware et malware, qui contient environ 65k domaines répertoriés. Il existe 4 sources complémentaires qui peuvent être directement intégrée à la source primaire (voir la section en complément),

  • chez Cameleon qui milite pour un internet sans publicicté, la liste [hosts] (20k entrées),

  • chez ZeuS Tracker la liste [domain blocklist] (382 entrées),

  • chez disconnect.me les listes [simple tracking] (35 entrées) et [simple ad] (2700 entrées),

  • chez hpHosts la liste [ATS] pour les publicités et tracking (45k entrées).

En complément

Recouvrement des sources

Je me suis penché sur le recouvrement des sources afin de limiter l’utilisation de liste qui ne font que dupliquer du contenu. En effet, même si la solution pi-hole effectue automatiquement le dédoublonnage des entrées, plus vous avez de sources plus le travail est long et fastidieux (tri + unicité) et la puissance du PI reste assez limitée, ne l’oubliez pas. L’intérêt est d’avoir un nombre d’entrées dédupliquées la plus grande et surtout la plus efficace pour son environnement, donc avec un maximum de hit par source.

Voici par source le nombre de lignes utiles, le volume dédupliqué et le nombre de lignes non déjà présentes dans le jeu précédement constitué (bien sûr l’ordre des sources impacte l’analyse, mais le résultat est homogène quel que soit l’ordre).

La dernière colonne correspond aux hits de filtrage sur des domaines uniques que j’ai eu sur mon pi-hole sur les 5 derniers jours précédent ce billet sur la base des logs historiques mis en place pour l’exercice. La présence dans la liste d’origine est également précisé. Les volumes correspondaient à 36.779 réponses résolues, 12.943 réponses bloquées soit un taux de 26% d’efficacité. Ceci est directement lié à notre configuration et notre usage, certaines catégories s’allument directement en fonction de ceux-ci.

source lignes dédupliquées en trop en trop% match
StevenBlack [unified host] 65 820 65 643 177 <1% 206
StevenBlack [fakenews] 669 66 312 0 0%
malware domains [justdomains] 26 848 93 050 110 <1%
malware domains [hosts] 1 113 94 162 1 <1%
malware domains [immortal] 3 204 96 796 570 18%
Cameleon [hosts] 20 568 105 647 11 717 57% 119
ZeuS Tracker [domain blocklist] 382 106 017 12 3%
disconnect.me [simple tracking] 35 106 031 21 60%
disconnect.me [simple ad] 2 704 106 536 108 735 81% 3
disconnect.me [malvertising] 2 857 106 562 2831 99% 3
hpHosts [ATS] 45 741 152 299 4 <1% 127
hpHosts [EXP] 1 158 153 450 7 <1%
hpHosts [EMD] 208 954 361 929 475 <1%
hpHosts [PSH] 154 732 516 648 13 <1% 1
hpHosts [GRM] 526 517 172 2 <1%
ransomware tracker [RW_DOMBL] 1 903 519 056 19 1%
SPAM404 [main-blacklist] 7 066 526 013 109 2%
anudeepND [YouTube] 8 882 534 895 0 0% 1
The Firebog [Airelle-hrsk] 46 734 574 016 7 613 16%
The Firebog [Prigent-Malware] 3 198 574 298 2 916 91%
The Firebog [w3kbl] 533 574 810 21 4% 13
Ultimate Hosts Blacklist [malicious-sites] 85 574 895 0 0%
CHEF-KOCH [Spotify-ad-free] 61 574 935 21 34% 9
The Firebog [Shalla-mal] 19 672 593 486 3 878 20%
The Firebog [Kowabit] 20 754 596 097 18 143 87%
The Firebog [Easyprivacy] 6 402 600 835 1 664 26%

Conclusion

Avec cette liste, vous avez de quoi paramétrer au mieux votre filtrage d’entreprise ou à la maison avec pi-hole, sans avoir pour autant d’impact sur votre expérience de navigation ou d’utilisation des outils standards.
Si vous disposez d’autres sources, je serais ravi d’amender cet article après analyse, n’hésitez pas dans les commentaires ci-après.

Alexandre Chauvin Hameau

2018-11-18T14:07:32