什麼是 DNS 篩選?| 安全 DNS 伺服器

DNS 篩選功能在 DNS 層級上封鎖惡意或被禁的網站及應用程式,使它們無法載入到使用者裝置上。

學習目標

閱讀本文後,您將能夠:

  • 理解 DNS 的工作方式
  • 瞭解 DNS 篩選在 DNS 過程中的哪個位置發揮作用
  • 探索 DNS 篩選服務可封鎖的攻擊類型

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 DNS 篩選?

DNS 篩選

DNS 篩選是使用網域名稱系統封鎖惡意網站並篩選掉有害或不當內容的過程。這可以保障公司資料安全,並且對於員工可以在公司管理的網路上存取哪些內容,公司也有了控制權。DNS 篩選通常隸屬於更大的存取控制策略。

什麼是網域名稱系統 (DNS)?

網域名稱系統 (DNS) 可比對網域名稱 (如 cloudflare.com) 與 IP 位址 (如 192.0.2.24)。DNS 的必要性在於,這能方便使用者存取網站,而不必記住令人困惑的一系列數字——這就好比您可以將朋友的電話號碼儲存在智慧型手機通訊錄中,而不必記住每一個電話號碼。

每當使用者開啟網站或存取 Web 應用程式時,只有使用者裝置找到了正確的 IP 位址後,才會開始載入內容的過程。以下是發現 IP 位址以便網站能夠載入的步驟:

  1. 使用者在瀏覽器中輸入網域名稱後,使用者裝置將建立 DNS 查詢並將其傳送到稱為 DNS 解析程式的專用網頁伺服器。
  2. DNS 解析程式透過查詢其他 DNS 伺服器或檢查其快取,比對查詢的網域名稱與 IP 位址。
  3. DNS 解析程式使用正確的 IP 位址向使用者裝置傳送回覆,這稱為「解析」網域。
  4. 使用者裝置聯繫該 IP 位址上的伺服器,以開啟連線並開始載入內容。

DNS 是存取 Web 內容時必不可少的部分。在 DNS 過程發生之前,任何內容都無法載入。這使 DNS 篩選成為一種有效手段,用來控制使用者可以存取哪些內容。

DNS 服務篩選服務的工作原理是什麼?

所有 DNS 查詢都移至 DNS 解析程式。經過特殊設定的 DNS 解析程式還可以充當篩選器,即拒絕解析針對封鎖清單上追蹤的某些網域的查詢,從而封鎖使用者觸達這些網域。除了封鎖清單外,DNS 篩選服務還可以使用允許清單 (詳見下文)。

假設某公司員工收到一封網路釣魚電子郵件,並被誘騙點選了一個指向 malicious-website.com 的連結。在員工的電腦載入網站之前,這首先會向公司的 DNS 解析服務傳送查詢,該服務使用了 DNS 篩選。如果該惡意網站列在公司的封鎖清單上,則 DNS 解析程式會封鎖該要求,防止 malicious-website.com 載入並阻擊網路釣魚攻擊。

DNS 篩選可以按網域名稱或 IP 位址將 Web 資產列入封鎖清單:

按網域:DNS 解析程式完全不能解析或查閱某些網域的 IP 位址。

按 IP 位址:DNS 解析程式嘗試解析所有網域,但若 IP 位址在封鎖清單中,則解析程式不會將其傳送回發出要求的裝置。

什麼是封鎖清單?

在 DNS 篩選的背景下,封鎖清單是指已知有害的網域或 IP 位址的清單。DNS 篩選廠商可以依賴網路安全社群內共享的封鎖清單,也可自己產生封鎖清單,或者同時採用這兩者。一些 DNS 篩選器甚至還會評估網頁,並將其自動新增到封鎖清單中。例如,如果發現有惡意 JavaScript 程碼在 example.com 上執行,那麼 example.com 會被新增到封鎖清單中。

對於未必用於惡意程式碼或網路釣魚攻擊、但代管了被禁或不當內容的網域,DNS 篩選也可以將這些網域列入封鎖清單。例如,公司可能希望將代管成人內容的網站新增到其 DNS 篩選封鎖清單中。

與封鎖清單相反,允許清單是指允許的網域或 IP 位址的清單。不在允許清單中的所有網域或 IP 位址都會被封鎖。

DNS 篩選如何有助於封鎖惡意程式碼和網路釣魚攻擊?

DNS 篩選可以將惡意程式碼或惡意軟體阻擋在公司網路和使用者裝置之外。這還可以幫助封鎖某些類型的網路釣魚攻擊。

1. 封鎖惡意網站

代管惡意程式碼的網站可能會嘗試誘騙使用者下載惡意程式,或者執行偷渡式下載,即網頁載入後自動觸發的惡意軟體下載。還可能會發生許多其他方式的攻擊。例如,網頁執行 JavaScript 程式碼,而作為一種完整的程式設計語言,JavaScript 可以透過多種方式用來危害使用者裝置。

DNS 篩選可以透過徹底封鎖使用者載入惡意網頁,來防範此類攻擊。

2. 封鎖網路釣魚網站

網路釣魚網站是一種偽造的網站,其設計宗旨是在網路釣魚攻擊中竊取登入認證。所使用的網域具有欺騙性,或者具有官方的外觀而不為大多數使用者所質疑。無論採取哪種手段,目標都是為了誘騙使用者將其帳戶認證提供給攻擊者。可透過使用 DNS 篩選來封鎖這些網站。

這些功能取決於 DNS 篩選系統是否知道將惡意 IP 位址或網域標識為不良性質。儘管 DNS 篩選可以封鎖這種惡意活動,但攻擊者會非常快速地產生新網域,而且也不可能將所有網域都列入封鎖清單。

DNS 篩選如何封鎖被禁內容?

限制存取特定種類內容的過程與上述過程類似;將已知代管被禁內容的 IP 位址或網域名稱列入封鎖清單,令使用者無法存取。或者,也可以將公司批准的網站新增至允許清單,而 DNS 篩選則封鎖所有其他網站。

什麼是安全 DNS 伺服器?

安全 DNS 伺服器是隸屬於 DNS 篩選服務的 DNS 解析程式,用於封鎖惡意網站或被禁網站。一些安全 DNS 伺服器還提供了更高的隱私性來保護使用者資料;例如,Cloudflare 提供了稱為 1.1.1.1 的 DNS 解析服務,該服務會在 24 小時後清除所有 DNS 查詢記錄。

除了 DNS 篩選之外,還可以透過其他一些方法來提高 DNS 過程的安全性——畢竟,DNS 在設計時並未考慮安全性。DNSSEC 通訊協定有助於驗證 DNS 解析程式是否提供了準確的資訊,並且沒有受到攻擊者的破壞。DNS over TLS (DoT) 和 DNS over HTTPS (DoH) 通訊協定對 DNS 查詢和回應進行加密,使攻擊者無法窺視使用者的 DNS 查詢,也無法追蹤他們存取的網站。

DNS 篩選和 Web 篩選有何區別?

Web 篩選是一個廣義詞彙,可以指涉許多用於控制 Web 流量的方法。DNS 篩選是 Web 篩選的其中一種類型。其他類型的 Web 篩選包括 URL 篩選、關鍵字篩選和內容篩選。

除了 DNS 篩選以外,Cloudflare 是否還提供其他 DNS 服務?

Cloudflare 提供權威 DNS 服務 (一種公用 DNS 解析程式),對於想要限制員工在網際網路上存取內容的公司,還提供了 DNS 篩選功能。Cloudflare Gateway 是一個安全 Web 閘道,這包括 DNS 篩選、瀏覽器隔離,以及其他可確保內部使用者安全的技術。詳細瞭解 Cloudflare Gateway安全 Web 閘道的工作原理