什麼是 DNS 篩選?| 安全 DNS 伺服器

DNS 篩選功能在 DNS 層級上封鎖惡意或被禁的網站及應用程式,使它們無法載入到使用者裝置上。

學習目標

閱讀本文後,您將能夠:

  • 理解 DNS 的工作方式
  • 瞭解 DNS 篩選在 DNS 過程中的哪個位置發揮作用
  • 探索 DNS 篩選服務可封鎖的攻擊類型

複製文章連結

什麼是 DNS 篩選?

DNS 篩選

DNS 篩選是使用網域名稱系統封鎖惡意網站並篩選掉有害或不當內容的過程。這可以保障公司資料安全,並且對於員工可以在公司管理的網路上存取哪些內容,公司也有了控制權。DNS 篩選通常隸屬於更大的存取控制策略。

什麼是網域名稱系統 (DNS)?

The Domain Name System, or DNS, matches domain names, like cloudflare.com, to IP addresses, like 192.0.2.24. DNS is necessary in order to allow users to access websites without memorizing confusing lists of numbers – just as a person is able to store their friends' phone numbers in their smartphone contacts list instead of memorizing every individual phone number.

每當使用者開啟網站或存取 Web 應用程式時,只有使用者裝置找到了正確的 IP 位址後,才會開始載入內容的過程。以下是發現 IP 位址以便網站能夠載入的步驟:

  1. 使用者在瀏覽器中輸入網域名稱後,使用者裝置將建立 DNS 查詢並將其傳送到稱為 DNS 解析程式的專用網頁伺服器。
  2. DNS 解析程式透過查詢其他 DNS 伺服器或檢查其快取,比對查詢的網域名稱與 IP 位址。
  3. DNS 解析程式使用正確的 IP 位址向使用者裝置傳送回覆,這稱為「解析」網域。
  4. 使用者裝置聯繫該 IP 位址上的伺服器,以開啟連線並開始載入內容。

DNS 是存取 Web 內容時必不可少的部分。在 DNS 過程發生之前,任何內容都無法載入。這使 DNS 篩選成為一種有效手段,用來控制使用者可以存取哪些內容。

DNS 服務篩選服務的工作原理是什麼?

所有 DNS 查詢都移至 DNS 解析程式。經過特殊設定的 DNS 解析程式還可以充當篩選器,即拒絕解析針對封鎖清單上追蹤的某些網域的查詢,從而封鎖使用者觸達這些網域。除了封鎖清單外,DNS 篩選服務還可以使用允許清單 (詳見下文)。

假設某公司員工收到一封網路釣魚電子郵件,並被誘騙點選了一個指向 malicious-website.com 的連結。在員工的電腦載入網站之前,這首先會向公司的 DNS 解析服務傳送查詢,該服務使用了 DNS 篩選。如果該惡意網站列在公司的封鎖清單上,則 DNS 解析程式會封鎖該要求,防止 malicious-website.com 載入並阻擊網路釣魚攻擊。

DNS 篩選可以按網域名稱或 IP 位址將 Web 資產列入封鎖清單:

按網域:DNS 解析程式完全不能解析或查閱某些網域的 IP 位址。

按 IP 位址:DNS 解析程式嘗試解析所有網域,但若 IP 位址在封鎖清單中,則解析程式不會將其傳送回發出要求的裝置。

什麼是封鎖清單?

在 DNS 篩選的背景下,封鎖清單是指已知有害的網域或 IP 位址的清單。DNS 篩選廠商可以依賴網路安全社群內共享的封鎖清單,也可自己產生封鎖清單,或者同時採用這兩者。一些 DNS 篩選器甚至還會評估網頁,並將其自動新增到封鎖清單中。例如,如果發現有惡意 JavaScript 程碼在 example.com 上執行,那麼 example.com 會被新增到封鎖清單中。

對於未必用於惡意程式碼或網路釣魚攻擊、但代管了被禁或不當內容的網域,DNS 篩選也可以將這些網域列入封鎖清單。例如,公司可能希望將代管成人內容的網站新增到其 DNS 篩選封鎖清單中。

與封鎖清單相反,允許清單是指允許的網域或 IP 位址的清單。不在允許清單中的所有網域或 IP 位址都會被封鎖。

DNS 篩選如何有助於封鎖惡意程式碼和網路釣魚攻擊?

DNS 篩選可以將惡意程式碼或惡意軟體阻擋在公司網路和使用者裝置之外。這還可以幫助封鎖某些類型的網路釣魚攻擊。

1. 封鎖惡意網站

代管惡意程式碼的網站可能會嘗試誘騙使用者下載惡意程式,或者執行偷渡式下載,即網頁載入後自動觸發的惡意軟體下載。還可能會發生許多其他方式的攻擊。例如,網頁執行 JavaScript 程式碼,而作為一種完整的程式設計語言,JavaScript 可以透過多種方式用來危害使用者裝置。

DNS 篩選可以透過徹底封鎖使用者載入惡意網頁,來防範此類攻擊。

2. 封鎖網路釣魚網站

A phishing website is a fake website that is set up to steal login credentials in phishing attacks. The domain used could be a spoofed domain or just an official-looking domain that most users will not think to question. Regardless of the method, the goal is to fool the user into giving their account credentials to an attacker. These websites can be blocked using DNS filtering.

這些功能取決於 DNS 篩選系統是否知道將惡意 IP 位址或網域標識為不良性質。儘管 DNS 篩選可以封鎖這種惡意活動,但攻擊者會非常快速地產生新網域,而且也不可能將所有網域都列入封鎖清單。

DNS 篩選如何封鎖被禁內容?

限制存取特定種類內容的過程與上述過程類似;將已知代管被禁內容的 IP 位址或網域名稱列入封鎖清單,令使用者無法存取。或者,也可以將公司批准的網站新增至允許清單,而 DNS 篩選則封鎖所有其他網站。

什麼是安全 DNS 伺服器?

A secure DNS server is a DNS resolver that blocks malicious or prohibited websites as part of a DNS filtering service. Some secure DNS servers also offer increased privacy to protect user data; Cloudflare, for example, offers a DNS resolving service called 1.1.1.1 that purges all DNS query logs after 24 hours.

Along with DNS filtering, there are additional ways of making the DNS process more secure, since DNS was not designed with security in mind. The DNSSEC protocol helps verify that DNS resolvers provide accurate information and have not been compromised by an attacker. The DNS over TLS (DoT) and DNS over HTTPS (DoH) protocols encrypt DNS queries and responses so that attackers cannot stalk a user's DNS queries and track the websites they visit.

DNS 篩選和 Web 篩選有何區別?

Web 篩選是一個廣義詞彙,可以指涉許多用於控制 Web 流量的方法。DNS 篩選是 Web 篩選的其中一種類型。其他類型的 Web 篩選包括 URL 篩選、關鍵字篩選和內容篩選。

除了 DNS 篩選以外,Cloudflare 是否還提供其他 DNS 服務?

Cloudflare 提供權威 DNS 服務 (一種公用 DNS 解析程式),對於想要限制員工在網際網路上存取內容的公司,還提供了 DNS 篩選功能。Cloudflare Gateway 是一個安全 Web 閘道,這包括 DNS 篩選、瀏覽器隔離,以及其他可確保內部使用者安全的技術。詳細瞭解 Cloudflare Gateway安全 Web 閘道的工作原理