Anstelle von Root-DNS-Servern werden Intelligence DNS Server für die Namensauflösung angefragt. Diese kommunizieren mit dem European Threat Intelligence Defence Center und erhalten von dort in Echtzeit eine Bewertung der angefragten Namen.
Ist ein Name gesperrt, wird der anfragende Server darüber informiert und die Clients erhalten eine Meldung über die Sperrung.
Eine Kommunikation mit den Steuerungsservern ist nicht mehr möglich und die Schadsoftware ist wirkungslos. Dadurch wird diese im LAN auch transparent, da zwar die Kommunikation mit den Steuerservern nicht mehr funktioniert, aber trotzdem versucht wird.
Das European Threat Intelligence Defence Center überprüft mit zahlreichen Techniken die angefragten Server in Echtzeit im Internet auf Kompromittierung. Hier werden unter anderem auch mathematische Berechnungen einbezogen. Die Gefahren werden somit nicht nur erkannt, sondern ausgesperrt.