一、DNS 是什麼？DNS 意思與 DNS 伺服器（DNS Server）介紹

DNS，英文全名為 Domain Name System，中文則稱為「網域名稱系統」，是將 IP 位址轉換為將常見網站地址的一套系統服務。

就像是現實生活中每棟建築物會對應一個地址，網際網路中所有電腦、智慧型手機、網站伺服器等各種裝置，也都擁有一串固定且唯一的數字「IP」位址，像是 168.95.1.1 （IPv4 位址） 或 2001:0db8:85a3:0000:0000:8a2e:0370:7334 （IPv6 位址），可以幫助電腦識別不同裝置在網路世界中的身分，並且讓不同裝置產生連線通訊時，不會找錯對象。

雖然 IP 位址能夠幫助網路設備辨識其他裝置，，但對使用者來說記憶這一長串數字極為困難，因此才會有 DNS 誕生，DNS 可以讓使用者可以透過簡單易記的域名來訪問網站，當使用者尋找網站時可以輸入「example.com」這種網域名稱，就能連線到正確的 IP 位址。

而 DNS 伺服器就是設有 IP 位址和網域地址轉換的資料庫電腦，舉例而言，就像是一本「網際網路的電話簿」。

現實中電話簿會將人名與電話號碼一一對應，而在 DNS 伺服器中，則是將網域名稱和 IP 位址一一對應。

使用者只要在瀏覽器中輸入網域名稱，DNS 伺服器就會自動檢索，並將使用者引導至相對的 IP 位址，讓使用者可以存取正確的網頁內容。

一旦 DNS 發生問題，如：設定錯誤、DNS Server 故障時，使用者輸入對應網址會無法看到正常的網站資料，因此正確設置 DNS 非常重要。

二、DNS 原理為何？4 步驟帶你掌握 DNS 運作流程說明

DNS 運作原理可以劃分為以下 4 大步驟：

STEP 1：使用者輸入網域名稱

當使用者在瀏覽器網址列輸入一個完整的網域名稱後，他的裝置會向所連接的網路服務供應商（ISP），也就是網路電信業者的 DNS 伺服器發出一個查詢請求。

STEP 2：本地 DNS 伺服器查詢

此時，網路服務供應商(ISP)的 DNS 伺服器會先檢查伺服器內部的快取資料，查看是否已經儲存有該網域名稱的解析結果。

若有相關記錄，就直接進行STEP 4， 將對應的 IP 位址回傳到使用者的裝置，讓其能連接到目標網站；如果沒有找到，則進入 STEP 3。

STEP 3：進入其他 DNS 伺服器查詢

如果網路服務供應商的本地 DNS 伺服器沒有快取記錄，它將請求轉發至更上一層的 DNS 伺服器，這一過程會一直持續，直到查詢到根DNS伺服器或找到有效的IP位址。每一層DNS伺服器都會嘗試在其快取中尋找此域名的紀錄，如果找不到就會繼續向上遞送查詢，直到找到對應 IP 或最高層級為止。

STEP 4：返回 IP 位址

一旦任一級別的 DNS 伺服器查找到網域名稱對應的 IP 位址，該位址將被回傳到起始的本地DNS 伺服器，然後再回傳至使用者的裝置上。使用者的裝置收到 IP 位址後，將建立連接並訪問對應的伺服器，讓使用者能正常瀏覽網頁內容。

若所有層級的 DNS 伺服器經過查詢後，仍無法解析該網域名稱，則最終將向使用者回傳一個查詢失敗的錯誤訊息。

三、DNS 伺服器種類有哪些？4 種 DNS 伺服器服務類型說明

（一）網頁載入解析過程中經歷的 4 個 DNS 伺服器

1. DNS 遞迴程式

DNS 遞迴程式雖然名稱為程式，實際上它是一種伺服器。當使用者輸入網域名稱後，DNS 遞迴解析程式負責在不同的DNS伺服器間遞迴查詢對應的IP位址，最終將查詢結果返回給使用者。

以在圖書館中尋找書籍為例，可以將 DNS 遞迴程式視為圖書館中專門負責尋找藏書的管理員，無論有沒有找到書籍，管理員最終都會向讀者回報結果。

2. 根網域名稱伺服器

根網域名稱伺服器是 DNS 查詢的第一步，當 DNS 遞迴程式接收到查詢請求時，它會先聯繫根網域名稱伺服器進行查詢。

根網域名稱伺服器可比喻為圖書館中的大類別書籍分類指示，例如哲學、宗教、文學等大分類方向，這有助於 DNS 遞迴伺服器確定下一步查詢的具體方向。

3. 頂層網域名稱（TLD）伺服器

頂層網域名稱（TLD）伺服器是查找 IP 的第二步，類似於在圖書館找書，確認大方向是「文學」後，進一步細分為東方文學、西方文學、詩詞戲劇等子類別。

4. 權威名稱伺服器

在確認具體的子類別後，查詢進入最後階段至「權威名稱伺服器」。權威名稱伺服器負責存儲具體網域名稱和其對應 IP 位址。DNS 遞迴程式將從這裡找到所需的 IP 位址，並將其回傳給使用者。

（二）遞迴 DNS 與權威 DNS 差別為何？

遞迴 DNS 和權威 DNS 是域名解析過程中兩個關鍵的伺服器類型，兩者的工作內容不同，它們在處理網域名稱的解析中，扮演著不同但互補的角色：

• 遞迴 DNS：遞迴 DNS 主要作為使用者與 DNS 查詢系統之間的橋樑。當使用者嘗試訪問一個網站時，遞迴 DNS 會先檢查其快取紀錄，以快速回應使用者的查詢。這些快取紀錄包括之前查詢過的網誌名稱及其對應的 IP 位址，能夠大幅提升解析速度。如果遞迴 DNS 中沒有相應的快取資料，它會向上一級的 DNS 伺服器發出查詢，逐級向上直至達到權威 DNS 伺服器，從中獲取所需的紀錄。

• 權威 DNS：權威 DNS 負責儲存關於網域名稱及其對應IP位址的官方紀錄。當遞迴 DNS 伺服器將查詢傳遞到權威 DNS 時，權威 DNS 會檢查其數據庫，找出網域名稱對應的IP位址，再將這個訊息回傳給遞迴 DNS 。之後，遞迴 DNS 再將這個 IP 位址回傳給最初發起查詢的使用者裝置。

四、DNS 快取如何幫助使用者更快解析 IP 位址？

DNS 快取的概念是指將網域名稱與其對應的 IP位址，暫時存儲在特定位置，這樣當同一個域名名稱再次被查詢時，系統可以直接從快取中取得資訊，而不必重新進行網域名稱解析過程。 這種機制不僅加快了網域名稱解析的速度，也能有效減少使用者等待時間、網路頻寬與 CPU資源的消耗。

常見的 DNS 快取存放位置主要有以下兩個：

（一）瀏覽器 DNS 快取

瀏覽器會在本地快取用戶近期訪問或頻繁瀏覽的網站 IP 位址。這樣當用戶在次訪問這些網站時，提高瀏覽器的處理效率，同時減少解析過程中的等待時間，加速使用者的連線速度。

（二）作業系統 DNS 快取

作業系統 DNS 快取是指儲存在使用者電腦或裝置中的 DNS 記錄，DNS 在發送查詢請求前，系統會先檢查本地DNS快取中，是否有所需的網域名稱。若有相關記錄，系統便直接使用該紀錄，無須再向上一級的網路服務供應商或其他 DNS 伺服器發出查詢請求。

五、DNS 代管與自管的差異為何？

對任何企業或品牌而言，在架設完官方網站或電商網站後，配置適當的 DNS 設定是關鍵步驟之一，DNS 負責將人類可讀的網域名稱轉換為機器可讀的 IP 位址。

這項設定主要有兩種方式：「DNS 自管」（自我管理）與「DNS 代管」（委託管理）2 種。

「DNS 自管」代表企業自行建置並維護 DNS 伺服器。這種方式允許企業完全控制其 DNS 解析過程，但同時需要投入額外的硬體成本和專業人力來管理與維護，因此許多企業都會選擇 DNS 託管服務。但對於需要高度客製化或有特殊安全需求的大型企業來說，這是一種可行的選擇。

而 DNS 代管又可以分為兩種代管方式：

• 網域服務商代管：大多數企業購買網域時，網域註冊商會提供基礎的 DNS 服務。這允許企業直接在網域註冊商提供的管理後台中設定 DNS，將網域指向指定的 IP 位址。這種方式簡化了管理的流程，企業無須擔心技術性的維護和更新。

• 第三方服務商代管：企業亦可選擇將 DNS 管理工作委託給專業的第三方服務商代管 DNS。這些服務商不僅提供 DNS 解析服務，還可能包含增強的安全防禦功能，像是提供防禦DDoS（分散式阻斷服務）攻擊服務等，進一步確保企業網站和伺服器的安全性。

網路攻擊無所不在，您的伺服器安全不容忽視！點擊下方按鈕，立即連繫我們，讓您的伺服器遠離各種網路威脅！

立即諮詢

六、DNS 設定教學全攻略！常見紀錄類型、設定步驟、查詢方法一次看！

接著將帶大家深入了解 DNS 的常見紀錄類型、設定步驟及查詢方法，讓您輕鬆掌握網域解析的技術細節。

（一）DNS 常見紀錄類型有哪些？

DNS 系統中有多種紀錄類型，每一種都有其特定的功能，以下是 DNS 中常見的 9 種紀錄類型：

1. A 紀錄（Address Record）：又稱為「地址紀錄」（或主機紀錄），用於將網域名稱連結到實際 IPv4 位址，使瀏覽器可以根據網域找到伺服器的正確位置， 例如： www.google.com 指向 74.125.19.147。

2. AAAA 紀錄：類似於 A 紀錄，但它將網域名稱設定到 IPv6 位址。

3. CNAME 紀錄（Canonical Name Record）：用於將別名指向正確的網域名稱，例如讓 www.example.com 指向 example.com。

4. MX 紀錄（Mail Exchange Record）：將網域的電子郵件導至指定使用者帳戶的伺服器，確保信件能正確發送到指定電子信箱。

5. NS 紀錄（Name Server Record）：指定網址的 DNS 伺服器名稱，成為網域名稱與伺服器間的連結。

6. TXT 紀錄：存放任意文字資訊，有多種用途，比如用於驗證驗證網域擁有權，或防止垃圾郵件的安全措施。

7. PTR 紀錄（Pointer Record）：是指反向解析 A 紀錄，將 IP 位址對應到網域名稱， 例如：74.125.19.147 指向 www.google.com ，適合有獨立 IP 的網站。

8. SRV 紀錄：定位特定服務的伺服器資訊，如 VoIP（一種透過網路打電話或視訊的方法）。

9. SOA 紀錄（Start of Authority Record）：記錄有關網域或區域的重要資訊，包括主名稱伺服器、上次更新網域的時間等。

（二）DNS 怎麼設定？從安裝到設定步驟報你知！

DNS 設定通常需要透過網域註冊商提供的後台來進行，因此每個平台介面會略有不同，步驟如下：

1. 登入管理平台

2. 選擇要設定的網域，或找到 DNS 網址設定的區塊

3. 依據個人需求，選擇採用 DNS 代管或 DNS 自管

• DNS代管：可能需要設定主機名稱、IP 位址、DNS 型態、參數

• DNS自管：可能需要輸入多台的 DNS Server Name 名稱、IP 位址

而如果是企業級網路伺服器，使用 Windows Server 安裝及設定 DNS 伺服器，可參考以下步驟：

【安裝 DNS 伺服器】

1. 從 Windows 桌面開啟「開始」功能表，然後選取「伺服器管理員」

2. 按一下「管理」，選取「新增角色和功能」，選取「下一步」

3. 選取「角色型或功能型安裝」選項，選取「下一步」

4. 保留預設選項，選取「下一步」

5. 在「選取伺服器角色」頁面上，勾選「DNS 伺服器」核取方塊，選取「下一步」

6. 系統會提示您新增 DNS 伺服器所需的功能，如果滿意預設值，請選取「新增功能」

7. 在「選取功能」頁面上，您可以保留預設選項，點選「下一步」

8. 檢閱角色描述和要注意的事項，選取「下一步」繼續

9. 檢閱選取的角色和功能，選擇「安裝」

10. 安裝完成後，不需要重新開機

【設定 DNS 伺服器】

安裝 DNS 伺服器角色後，就可以進一步設定伺服器。

1. 開啟「開始」功能表，選取「Windows 系統管理工具」>「DNS」

2. 選取並按住您的伺服器（或以滑鼠右鍵按一下），然後選取「屬性」

3. 若要限制 DNS 伺服器使用特定 IP 位址，請選取「僅下列 IP 位址」

4. 選取您想要使用的 IP 位址，然後選取「確定」

（三）如何查詢 DNS 是否設置正確？

DNS 設定完成後，通常等候 24～48 小時即可生效，可以透過以下幾種簡單的方法檢查 DNS 設置是否成功：

1. 使用 Mac 的 CMD 檢查： 在 Mac 電腦上打開「終端機」，輸入 nslookup 指令，並輸入型態和網址，以確認域名是否正確解析到設定的 IP 位址。

2. 線上免費 DNS 查詢工具： 您可以使用像「DNS 網域名稱線上查詢」 或「nslookup.io」 這些線上工具，來查詢 DNS 是否已經在全球生效，並顯示每個位置的解析結果。（請注意，輸入網址時，不可輸入 www（主機名稱）喔！）

七、DNS 伺服器會受到哪些攻擊？DNS 攻擊手法解析

不論是自架或託管的 DNS 伺服器，都有可能會因為因為惡意的網路攻擊，導致使用者無法正確轉換 DNS 位置，對企業與使用者造成負面影響。

以下帶大家認識常見的 DNS 攻擊手法：

➤ DNS 洪水攻擊

DNS 洪水攻擊是 DDoS 攻擊的一種，攻擊者會操控多個不同的 IP 向 DNS 伺服器發起查詢請求，這些請求所輸入的網域名稱不一定是真實的，目的只是為了讓 DNS 伺服器的流量被佔用，甚至癱瘓，讓正常使用者無法向 DNS 發起正常的連線查詢。

舉例而言，DNS 洪水攻擊就像大量顧客同時湧入餐廳點餐，造成餐廳產能無法負荷，只能暫時停止接單。

除了 DNS 洪水攻擊外，還有另一種針對 DNS 的 DDoS 攻擊手法，稱為「DNS 放大攻擊」。

延伸閱讀：流量清洗是什麼？抵擋DDoS攻擊的原理及多重防禦策略一次看

➤ DNS 放大攻擊

DNS 放大攻擊是利用 DNS 協議漏洞來達到癱瘓伺服器的攻擊模式，攻擊者會偽造受害者的 IP 位址，向 DNS 伺服器傳送大量的查詢請求，讓伺服器解析這些請求後，把回應傳送到受害者的裝置上，讓受害者的系統或裝置被大量回應佔據頻寬與資源，導致癱瘓。

舉例而言，DNS 放大攻擊就像是惡意人士冒名受害者的身份，向餐廳下訂大量餐點後，留下受害者的聯絡資訊，餐廳備完餐點後，才發現並不是受害者訂的餐點。

想知道如何保護伺服器，避免受到網路攻擊嗎？歡迎查看👉防火牆是什麼？認識防火牆運作原理、功能及常見的防火牆種類介紹

DNS 攻擊不容小覷！還在為伺服器安全問題煩惱嗎？點擊下方按鈕，立即連繫我們，運雲運算提供您最全面的網路安全解決方案，讓您的伺服器遠離駭客威脅！

立即諮詢

八、DNS 攻擊的最佳防禦夥伴｜騰雲運算 DDoS 防禦系統

擔心 DNS 伺服器被惡意攻擊嗎？騰雲運算提供優質的 DDoS 攻擊防禦系統，利用智能 DNS 感知監控系統，實時監測網路安全狀況，自動識別並清洗 L4／7 層的 Tb 級流量攻擊，能有效防禦高達 30 億連線次數的 CC 攻擊

騰雲運算深耕 Anti-DDoS 防禦多年，在全球部署全球佈署的流量清洗中心，服務超過 200 家亞洲客戶，提供二次或三次流量清洗服務，全方位的網路安全防護，深獲客戶肯定與信任。

隨著網路攻擊手法日益複雜，DDoS／CC 攻擊也越來越頻繁。騰雲運算的 DDoS／CC 防禦服務涵蓋了多種方案，可以滿足不同企業的需求。我們還提供 7 天 24 小時的專業技術支援，幫助企業快速解決突發狀況，打造堅固的網路安全防護網。

延伸閱讀：CDN是什麼？CDN服務用途、優缺點、運作原理一次看！

您的網站安全就差這一步！立即點擊下方按鈕，與我們聯繫，免費試用騰雲運算的網路安全解決方案，親自體驗專業團隊為您守護網站安全！

立即諮詢