DNS是什麼

DNS (Domain Name System，網域名稱系統) 是一套將人類可讀的網域名稱(如 skycloud.com.tw) 轉換為電腦可識別的 IP 位址(如 60.251.148.252) 的系統。

DNS 的運作流程可分為幾個步驟：

1. 使用者輸入網址(網域名稱)

2. (若有)查詢先由本地端快取解析

3. (若無)請求會送至本地 DNS 伺服器

4. 本地伺服器若找不到，會遞迴查詢 root DNS → TLD DNS → 權威 DNS

5. 獲得 IP 位址後回傳給使用者

6. 使用者連線至網站伺服器，完成瀏覽

▲CDN架構圖

這套將網域名稱轉換為機器能讀懂的 DNS系統，也有可能會因為惡意的網路攻擊，導致使用者無法正確轉換 DNS 位置，讓使用者無法正常瀏覽網頁，如常見於 OSI 模型 Layer 7 應用層的DDoS攻擊中的 DNS 洪水攻擊和 DNS放大攻擊，都容易使網站造成癱瘓無法服務。

DNS攻擊手法

DNS 攻擊是針對 DNS 系統的弱點進行惡意攻擊和利用，讓使用者無法正常連上網站，甚至將使用者導向錯誤或惡意網站，以下是幾種常見的 DNS 攻擊手法。

➤ DNS洪水攻擊

DNS 洪水攻擊是一種 DDoS 攻擊，攻擊者會操控多個不同且虛假的 IP 向 DNS 伺服器發起查詢請求，這些大量且無效或隨機的 DNS 查詢請求，會占用且消耗伺服器流量和資源，進而癱瘓網站或系統服務，讓正常使用者無法向 DNS 發起正常的連線查詢。

➤ DNS放大攻擊

DNS 放大攻擊 是利用 DNS 協議漏洞來達到癱瘓伺服器的攻擊模式，攻擊者透過偽造來源 IP 位址，向 DNS 伺服器發送大量的小型查詢請求，讓伺服器解析這些請求後，利用 DNS 回應的擴大回傳量來對目標伺服器發送大量資料，導致資源耗盡、癱瘓。

※DNS放大攻擊使用的協定，回應會大於相應的請求，這就容易帶來攻擊最大化的影響。

➤ DNS快取汙染 (DNS詐騙)

DNS快取汙染 DNS Cache Poisoning或稱DNS詐騙，這是一種破壞 DNS網域名稱系統查詢解析的行為，導致DNS伺服器快取錯誤紀錄，攻擊者將偽造的 DNS 回應注入至快取伺服器中，讓使用者被導向惡意網站，這種攻擊通常具有隱蔽性，常被用於網路釣魚或資訊竊取。

➤ DNS 通道攻擊 (DNS隧道攻擊)

DNS 通道攻擊 DNS Tunneling 會濫用 DNS 通訊協定傳遞惡意軟體或其他數據，DNS 通道攻擊會將其他協議的資料包(如HTTP) 偽裝成 DNS查詢封包，由於DNS 要求通常可以自由進出防火牆的關係，因此偽裝的DNS查詢封包可輕易繞過防火牆或監控系統，偷偷傳送資料，常用於資料滲透或建立隱藏通訊管道。

➤ NXDomain 攻擊

NXDomain 攻擊是利用查詢大量不存在的網域名稱來讓 DNS 伺服器忙碌處理無效請求，屬於特殊形式的資源耗盡攻擊(DDoS)。

DNS攻擊的風險

DNS 是整個網路通訊的基礎服務之一，一旦遭受攻擊，不僅會影響網站服務，更可能危害企業運營！尤其是企業官網、金融網站、遊戲伺服器和物聯網設備...等，都是非常容易成為 DNS攻擊的對象。

以下是 DNS 攻擊可能帶來的風險。

1. 服務中斷
   DNS 攻擊 會導致 DNS 伺服器無法正常解析網域名稱，讓網站或系統癱瘓，導致正常使用者無法使用線上服務。若是電子商務平台、金融或是線上服務平台系統，則將嚴重影響顧客體驗、信譽和商業營收。




2. 品牌形象與信譽受損
   當網站或系統被 DNS攻擊或導向惡意網站時，顧客及使用者可能會以為是官方網站有問題，若因此受到詐騙或引導下載惡意程式，將嚴重損害企業品牌形象及信譽。




3. 資料竊取與隱私外洩
   網站被 DNS 攻擊時，攻擊者可能會引導顧客及使用者進入釣魚網站，要求使用者提供帳號密碼登入網站或輸入資料的行為，攻擊者則可成功竊取資料及隱私，甚至還可以透過 DNS 通道偷渡內部資料至外部伺服器。




4. 資源耗盡
   DNS 洪水攻擊或 DNS 放大攻擊 會造成 DNS伺服器資源耗盡，進而拖垮整個網路基礎設施，甚至也會連帶影響其他的DNS服務，舉例：影響電子郵件服務(如：MX 記錄)、內容分發網路(如 Cloudflare、Akamai) 或 API 閘道的連線服務。

企業如何防範DNS攻擊？

DNS 是企業網路安全中最容易被忽略，卻也是最關鍵的基礎設施，透過合理的防禦部署與監控機制，能有效降低 DNS 攻擊的風險，確保網站穩定、安全、可信賴。

那麼面對 DNS 攻擊，企業要如何防範？

• 員工安全意識教育訓練
  對員工實施安全意識教育訓練，培育全公司所有人員識別惡意威脅，建議在點擊連結時要採取防禦措施，避免安裝惡意軟體，同時也培育所有人員識別網路釣魚可能的樣貌，避免遭遇攻擊。




• 定期更新DNS
  定期更新與維護DNS伺服器的軟體更新與安全設定，避免被利用已知漏洞進行攻擊，維持系統健全性。




• 啟用DNSSEC驗證
  DNSSEC 提供來源驗證與資料完整性檢查機制，有效防止快取汙染與 DNS 資料偽造，是強化 DNS 安全的重要措施。




• 部署防火牆、CDN與DDoS防禦機制
  透過部署Web應用防火牆WAF，搭配CDN 防護服務，阻擋惡意 DNS 查詢流量與異常行為，進一步保護後端伺服器與應用層資源。




• 監控與DDoS防禦機制
  利用智能 DNS 感知監控系統，實時監測網路安全狀況。

DNS 攻擊的最佳防禦夥伴｜騰雲運算 DDoS 防禦系統

擔心 DNS 伺服器被惡意攻擊？

騰雲運算提供優質的 DDoS 攻擊防禦系統，利用智能 DNS 感知監控系統，實時監測網路安全狀況，自動識別並清洗 L4/ L7 層的 Tbps 級流量攻擊，能有效防禦高達 30 億連線次數的 CC 攻擊。

騰雲運算深耕 Anti-DDoS 防禦多年，在全球部署全球佈署的流量清洗中心，服務超過 200 家亞洲客戶，提供二次或三次流量清洗服務，全方位的網路安全防護，深獲客戶肯定與信任。

隨著網路攻擊手法日益複雜，DDoS/ CC 攻擊也越來越頻繁。騰雲運算的 DDoS/ CC 防禦服務涵蓋了多種方案，可以滿足不同企業的需求。我們還提供 7 天 24 小時的專業技術支援，幫助企業快速解決突發狀況，打造堅固的網路安全防護網。

DNS 攻擊不容小覷！還在為伺服器安全問題煩惱嗎？點擊下方按鈕，立即連繫我們，騰雲運算提供您最全面的網路安全解決方案，讓您的伺服器遠離駭客威脅！

立即諮詢