Implements NextDNS as zero-trust DNS filter for encrypted DoH/DoT resolution, threat intel blocking, privacy controls, and org policies across endpoints like Linux.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
NextDNS 是一种基于云的 DNS 解析器,提供加密 DNS 解析(DNS-over-HTTPS 和 DNS-over-TLS)、实时威胁情报阻断、广告和追踪器过滤,以及细粒度 DNS 策略执行。在零信任架构中,DNS 是关键控制点——每个网络连接都从 DNS 查询开始,这使 DNS 过滤成为阻断恶意域名、防止 DNS 隧道数据泄露、执行可接受使用策略,以及获取所有网络通信可见性的有效层次。NextDNS 使用包含数百万个实时更新恶意域名的威胁情报源处理查询,阻断加密货币挖矿和钓鱼域名,检测 DNS 重绑定攻击,并支持 CNAME 伪装保护。对于企业 Windows 环境,Microsoft 在 Windows 11 上的零信任 DNS(ZTDNS)功能通过强制端点只能通过批准的受保护 DNS 服务器解析域名来扩展这一概念。
Configures NextDNS for zero trust DNS: encrypted DoH/DoT resolution, real-time threat blocking, ad/tracker filtering, privacy protection, and endpoint policy enforcement.
Implements NextDNS as zero-trust DNS layer with DoH/DoT encryption, threat intelligence blocking, ad/tracker filtering, privacy controls, and policy enforcement across endpoints. Useful for securing network queries in enterprise environments.
Provides step-by-step guidance for zero trust configurations, generates production-ready code and configs, follows best practices, and validates outputs for Security Advanced tasks like pentesting, compliance, and threat modeling.
Share bugs, ideas, or general feedback.
NextDNS 是一种基于云的 DNS 解析器,提供加密 DNS 解析(DNS-over-HTTPS 和 DNS-over-TLS)、实时威胁情报阻断、广告和追踪器过滤,以及细粒度 DNS 策略执行。在零信任架构中,DNS 是关键控制点——每个网络连接都从 DNS 查询开始,这使 DNS 过滤成为阻断恶意域名、防止 DNS 隧道数据泄露、执行可接受使用策略,以及获取所有网络通信可见性的有效层次。NextDNS 使用包含数百万个实时更新恶意域名的威胁情报源处理查询,阻断加密货币挖矿和钓鱼域名,检测 DNS 重绑定攻击,并支持 CNAME 伪装保护。对于企业 Windows 环境,Microsoft 在 Windows 11 上的零信任 DNS(ZTDNS)功能通过强制端点只能通过批准的受保护 DNS 服务器解析域名来扩展这一概念。
端点设备
|
DNS 查询(加密)
|
+----+----+
| DoH/DoT | (DNS-over-HTTPS 或 DNS-over-TLS)
| 隧道 |
+----+----+
|
+----+----+
| NextDNS |
| 解析器 |
+----+----+
|
+----+----+------+--------+
| | | |
威胁情报 广告/追踪 隐私 家长
检查 拦截 控制 控制
| | | |
+----+----+------+--------+
|
允许或阻断
|
响应返回端点
仪表板:https://my.nextdns.io
配置 ID:abc123(每个配置文件唯一)
端点:
DNS-over-HTTPS: https://dns.nextdns.io/abc123
DNS-over-TLS: abc123.dns.nextdns.io
DNS-over-QUIC: quic://abc123.dns.nextdns.io
IPv4: 45.90.28.x, 45.90.30.x(绑定到配置)
IPv6: 2a07:a8c0::xx, 2a07:a8c1::xx
安全选项卡配置:
[x] 威胁情报源 - 阻断来自精选威胁源的域名
[x] AI 驱动威胁检测 - 基于机器学习的检测
[x] Google Safe Browsing - 与 Google 威胁数据库交叉验证
[x] 加密货币挖矿保护 - 阻断加密货币挖矿域名
[x] DNS 重绑定保护 - 防止 DNS 重绑定攻击
[x] IDN 同形异义词攻击 - 阻断国际化域名攻击
[x] 仿冒域名保护 - 阻断常见仿冒域名
[x] DGA 保护 - 阻断域名生成算法域名
[x] NRD(新注册域名)- 阻断注册不足 30 天的域名
[x] DDNS(动态 DNS)- 阻断动态 DNS 服务
[x] 停车域名 - 阻断停车/未使用域名
[x] CSAM - 阻断儿童性虐待材料域名
隐私选项卡配置:
拦截列表:
[x] NextDNS 广告和追踪器拦截列表
[x] OISD(完整版)
[x] EasyPrivacy
[x] AdGuard DNS 过滤器
原生追踪防护:
[x] 阻断 Windows 遥测
[x] 阻断 Apple 遥测
[x] 阻断 Samsung 遥测
[x] 阻断 Xiaomi 遥测
[x] 阻断 Huawei 遥测
[x] 阻断 Roku 遥测
[x] 阻断 Sonos 遥测
[x] 阻断伪装第三方追踪器(CNAME 伪装)
[x] 允许联盟和追踪链接(可选,用于商业需求)
允许列表(绕过所有阻断的域名):
- login.microsoftonline.com
- graph.microsoft.com
- *.company.com
拒绝列表(无论其他设置始终阻断):
- known-malicious-domain.com
- unauthorized-cloud-storage.com
- personal-email-provider.com(如策略要求)
# 使用 systemd-resolved 配置 DNS-over-TLS
sudo tee /etc/systemd/resolved.conf << 'EOF'
[Resolve]
DNS=45.90.28.x#abc123.dns.nextdns.io
DNS=45.90.30.x#abc123.dns.nextdns.io
DNS=2a07:a8c0::xx#abc123.dns.nextdns.io
DNS=2a07:a8c1::xx#abc123.dns.nextdns.io
DNSOverTLS=yes
Domains=~.
EOF
sudo systemctl restart systemd-resolved
# 验证
resolvectl status
resolvectl query example.com
# 安装 NextDNS CLI
sh -c 'sh -e $(curl -sL https://nextdns.io/install)'
# 使用您的配置文件配置
sudo nextdns install \
-config abc123 \
-report-client-info \
-auto-activate
# 验证
nextdns status
nextdns log
# 通过 Homebrew 安装
brew install nextdns/tap/nextdns
# 配置
sudo nextdns install \
-config abc123 \
-report-client-info
# 或通过系统设置 > 网络 > DNS 配置
# 添加 DNS-over-HTTPS:https://dns.nextdns.io/abc123
# 安装 Windows 版 NextDNS CLI
# 从以下地址下载:https://nextdns.io/download/windows
# 或在 Windows 11 上原生配置 DoH
# 设置 > 网络和 Internet > 以太网/Wi-Fi > DNS
# 首选 DNS:45.90.28.x
# HTTPS 加密 DNS:开启(手动模板)
# DoH 模板:https://dns.nextdns.io/abc123
# PowerShell:配置 DoH
Set-DnsClientDohServerAddress -ServerAddress "45.90.28.x" `
-DohTemplate "https://dns.nextdns.io/abc123" `
-AllowFallbackToUdp $false `
-AutoUpgrade $true
# 大多数路由器支持自定义 DNS 服务器
# 对于支持 DoH/DoT 的路由器(pfSense、OPNsense、OpenWrt):
# pfSense DNS 解析器(Unbound):
# 服务 > DNS 解析器 > 自定义选项:
server:
forward-zone:
name: "."
forward-tls-upstream: yes
forward-addr: 45.90.28.x@853#abc123.dns.nextdns.io
forward-addr: 45.90.30.x@853#abc123.dns.nextdns.io
# OpenWrt(使用 https-dns-proxy):
opkg update && opkg install https-dns-proxy
uci set https-dns-proxy.default.resolver_url='https://dns.nextdns.io/abc123'
uci commit https-dns-proxy
/etc/init.d/https-dns-proxy restart
iOS:
从 App Store 安装 NextDNS 应用
或:设置 > 通用 > VPN 与设备管理
安装 NextDNS 配置描述文件
Android:
设置 > 网络 > 私人 DNS
DNS 提供商:abc123.dns.nextdns.io
或:从 Play Store 安装 NextDNS 应用
对于企业 Windows 环境,Microsoft 的 ZTDNS 强制端点只能与通过批准 DNS 服务器解析的域名通信。
# 启用 ZTDNS(Windows 11 23H2 及以上)
# 需要 Windows Defender 防火墙处于强制执行模式
# 通过组策略配置受保护 DNS 服务器:
# 计算机配置 > 管理模板 > 网络 > DNS 客户端
# > 配置 DNS over HTTPS (DoH) 名称解析
# > 受保护 DNS 服务器:https://dns.nextdns.io/abc123
# Windows 防火墙阻断所有未通过受保护 DNS 服务器
# 解析的域名的流量
NextDNS 分析仪表板提供:
- 随时间变化的总查询量
- 按类别分类的阻断查询
- 热门域名(允许和阻断)
- 热门阻断原因(威胁、广告、追踪器)
- 设备级细分
- 查询的地理分布
日志设置:
保留期:1 小时 / 6 小时 / 1 天 / 1 周 / 1 月 / 3 月 / 1 年 / 2 年
存储位置:美国 / 欧盟 / 英国 / 瑞士
日志记录:[ ] 启用 / [ ] 禁用
# NextDNS API 用于自动化监控
# 获取分析数据
curl -H "X-Api-Key: your-api-key" \
"https://api.nextdns.io/profiles/abc123/analytics/domains?from=-24h"
# 获取阻断域名
curl -H "X-Api-Key: your-api-key" \
"https://api.nextdns.io/profiles/abc123/analytics/domains?from=-24h&status=blocked"
# 导出日志用于 SIEM 集成
curl -H "X-Api-Key: your-api-key" \
"https://api.nextdns.io/profiles/abc123/logs?from=-1h" \
| jq '.data[] | select(.status == "blocked")'
第 1 层 - 安全(所有人强制):
- 威胁情报阻断
- 加密货币挖矿保护
- DNS 重绑定保护
- DGA 检测
- NRD 阻断(< 30 天)
第 2 层 - 隐私(推荐):
- 追踪器阻断
- 原生遥测阻断
- CNAME 伪装保护
第 3 层 - 合规(组织特定):
- 基于类别的阻断
- 自定义允许/拒绝列表
- 基于时间的访问策略
- 按法规要求的日志保留