DNS:網路世界的無名英雄,如何從「秘書」變身資安攻防的「最前線」?
您是否曾想過,在您日常瀏覽網頁,輸入如 www.google.com 這樣的網址時,您的電腦是如何精準地找到位於地球另一端的網站伺服器?這一切的幕後功臣,正是 DNS (Domain Name System)。它就像網路世界的「秘書」或「黃頁簿」,負責將您熟悉的網域名稱,轉換為電腦能夠理解的 IP 位址,為您指引網路世界的正確方向。如果將網路比作城市,DNS 便是將「敦化北路205號」這樣的地址,轉化為精確的 GPS 座標,讓您能順利抵達目的地。
然而,這個每天都在默默運作、不可或缺的基礎服務,如今卻不再只是單純的網路基礎設施,它已然成為駭客與資安防禦者之間,最激烈的資安戰場。為何這個看似簡單的「網路秘書」會變得如此危險?讓我們從近期發生的重大資安事件,以及 DNS 本身的設計特性來深入剖析。
DNS 資安威脅:不容忽視的五大趨勢與攻擊手法
近期多起全球性資安事件,都清晰地揭示了 DNS 在資安攻防中的關鍵角色,並預示了未來 DNS 相關威脅的發展方向:
- C2 指令隱藏於 DNS 的 TXT 記錄中,難以察覺的惡意通道: 駭客已進化出更為隱蔽的攻擊手法。他們利用 DNS 中原本用於儲存任意文字資訊的 TXT 記錄 (Text Record),來隱藏惡意程式的 C2(命令與控制)指令。想像一下,當惡意程式成功滲透企業內部網路後,它不再需要直接與外部伺服器建立顯眼的連線,而是透過查詢特定的 DNS TXT 記錄來接收加密的指令,甚至利用 DNS Tunneling 技術,將企業內部敏感資料偷偷地傳輸出去。這種隧道技術雖然效率不高,但卻能輕易繞過傳統資安設備的監控,因為許多企業對內部 DNS 查詢的管理相對寬鬆,甚至對外完全開放。GitHub 上甚至存在許多可供利用的 DNS Tunneling 工具,這顯示了此類攻擊的門檻已大幅降低。因此,企業必須重新審視對外 DNS 查詢的策略,不應再使用公眾 DNS 服務,而應對其進行嚴格的管制與管理。
- 全球最大規模 DDoS 攻擊,DNS 放大攻擊是主要幫兇: 2025 年 6 月 20 日,Cloudflare 成功抵禦了一次高達 7.3Tbps 的超大規模 DDoS 攻擊,其攻擊流量之巨,令人咋舌。這次攻擊中,DNS 放大攻擊 (DNS Amplification Attack) 扮演了關鍵角色。這種攻擊的原理是利用 DNS 協定主要基於 UDP 傳輸的特性。UDP 是一種「無連接」協定,不需經過雙向交握驗證即可傳輸資料,這使得攻擊者能夠輕易偽造來源 IP 位址。駭客會偽造受害者的 IP 位址,向全球數十萬個開放的 DNS 伺服器發送大量小型查詢請求,這些請求會誘使 DNS 伺服器回應巨量的資料,並將這些放大過的回應流量「反射」回被偽造的受害者 IP,造成受害者伺服器或網路服務因不堪負荷而癱瘓。此次攻擊的來源 IP 超過 12 萬個,顯示其大規模的反射性質。即使部署了 DNSSEC 這樣的安全擴充協定,也無法有效防禦這類放大攻擊。臺灣的蘋果日報在十年前也曾遭受過類似的大規模 DNS 放大攻擊,導致服務中斷。對於銀行、大型電商網站 (如 MOMO、PCHome) 等對聲譽和可用性極為敏感的企業,DNS 被擊毀將帶來毀滅性打擊,因此更需要強大的 DNS 防護機制。
- DDoS 作為煙霧彈,掩護資料竊取與橫向移動: 近年來的資安事件顯示,駭客發動 DDoS 攻擊的目的,不單純只是癱瘓服務。例如,某次攻擊中,駭客利用 DDoS 攻擊造成表面癱瘓,趁亂竊取了高達 9,600 萬筆內部資料。這提醒我們,DDoS 攻擊可能僅是駭客聲東擊西的策略,真正的目的在於資料竊取。為了應對此類威脅,企業的基礎設施,特別是 DNS 系統,需要實施分層防禦 (Tiered Defense)。這意味著企業不應只有單一的 DNS 防禦措施,而應同時擁有用於內部查詢的 DNS 系統和對外的 DNS 查詢系統,形成多重保護網。
- DoH (DNS over HTTPS) 的兩面性:隱私提升與監控盲點: 傳統的 DNS 查詢過程使用未加密的 UDP 封包傳輸。這意味著任何中間人都可以輕易地窺探用戶訪問了哪些網站,形同在馬路上大聲廣播你要去哪裡。為了解決這個隱私問題,DoH (DNS over HTTPS) 應運而生。它透過 HTTPS 加密協定來傳輸 DNS 查詢,使得只有查詢者和回答者知道查詢內容,極大地提升了用戶的隱私性。然而,這項技術的普及也帶來了新的資安挑戰:由於 DoH 流量是加密的,企業內部的傳統資安設備(如防火牆、入侵偵測系統)難以檢測其內容,形成監控盲點。駭客可能利用 DoH 或 DNS over TCP 傳送惡意 C2 指令或外洩資料,繞過企業既有的安全檢查。美國國家安全局 (NSA) 已就此發出警告。因此,企業必須採取更精細的管理策略,例如規定只允許使用認可的合法 DoH Provider、實施 TLS 緊密動作、限定憑證,甚至禁止非法規的 DoH 使用。同時,啟用 DNS logging 來記錄查詢行為,並結合 EDR (Endpoint Detection and Response) 工具偵測異常行為,成為不可或缺的防禦手段。
- 劫持高信任子網域,利用殘留 CNAME 記錄進行詐騙: 這是一種利用疏忽進行的巧妙攻擊。駭客發現許多組織在專案結束、雲端資源(如 Amazon S3 或 Azure App)被下架後,卻未移除其 DNS 的 CNAME 記錄。當合法的雲端資源因專案終止而被移除,但原有的 CNAME 記錄仍指向該路徑時,駭客可以重新註冊相同的雲端路徑,從而劫持該子網域。如此一來,任何嘗試訪問該子網域的用戶,就會被導向駭客控制的詐騙廣告、惡意網頁或釣魚網站。受害者不乏高信任度的組織,包括疾病管制局 (CDC)、TED、聯合國兒童基金會 (UNICEF)、加州政府,甚至是資安諮詢巨頭 PwC 和 Deloitte。這凸顯了 DNS 記錄生命週期管理的重要性。企業應定期審查 DNS 指向,並在刪除不使用的雲端資源時,務必同時移除相關的 DNS 記錄。導入 DNS Posture Management 工具進行管理和稽核,是有效防範此類風險的建議做法。
解析 DNS 本身為何如此脆弱?
DNS 系統雖然是現代網路不可或缺的基石,但其設計可追溯至數十年前。在設計之初,它主要考慮的是「速度」與「效率」,而非「安全性」,因此並未充分考慮加密和防冒用的需求。它就像一本早期的「黃頁電話簿」,查詢過程是公開的,容易被竊聽或篡改。
DNS 的核心架構包含以下四個主要角色:
- Resolver (解析器):這是使用者端發出 DNS 查詢的入口點,例如許多人使用的 Public DNS 服務 (8.8.8.8, 1.1.1.1).
- Root (根域名伺服器):這是 DNS 階層中最頂層的伺服器,負責管理所有頂級域名 (TLD) 的資訊.
- TLD (頂級域名伺服器):這些伺服器管理特定頂級域名下的所有二級域名,例如 .com 或 .TW.
- Authoritative (授權域名伺服器):這是負責特定網域(如 eric.com)的最終解析,提供該網域下所有主機名稱的 IP 位址.
正是因為其設計為了「快」而主要使用 UDP 連線,不需雙方交握驗證,這使得 DNS 在資安上存在多重弱點,容易被偽造和濫用,從而衍生出多種資安風險:
- 放大攻擊 (Amplification Attack):如前所述,利用 UDP 無交握的特性,駭客能輕易偽造來源 IP,並將回應流量放大反射給受害者。
- 快取汙染 (Cache Poisoning):駭客透過搶先回答 DNS 查詢,將錯誤的 IP 位址(通常是惡意網站的 IP)存入 DNS 解析器的快取中。一旦快取被汙染,所有查詢該網域的用戶都會被導向錯誤的惡意網站。中國的「長城防火牆」就曾利用類似原理阻擋外網訪問。在臺灣,警政機構也曾透過下架網域,影響到公眾 DNS 服務,導致部分 Azure 服務無法正常訪問,這顯示在公眾領域進行 DNS 攔截管理時,需要極度小心,以免影響範圍過廣。但同時,企業也可利用此機制,防止員工訪問惡意或 C&C 網域。
- 域名劫持 (Domain Hijacking):駭客直接竊取 DNS 管理平台的帳號密碼,進而轉移域名的控制權。這與 EP1 中提到的多因素驗證 (MFA) 議題密切相關。如果您的 DNS 管理平台僅依賴帳號密碼而未啟用 MFA,一旦這些字串被竊取,駭客就可能合理合法地奪取您的域名控制權。這再次強調了在所有重要管理平台啟用 MFA 的重要性。
- DNS Tunneling 竊取資料與 C2 通道 (DNS Tunneling for Data Exfiltration & C2):利用 DNS 查詢的 TXT 記錄或其他 DNS 記錄類型,駭客可以在受限制的網路環境中建立隱蔽的通道,進行資料外洩或命令控制。這種方式極具危險性,因為許多企業對 DNS 查詢的管理相對寬鬆,甚至對外完全開放,使得這種隱蔽通道難以被發現。
如何防範?企業與個人的資安策略
面對 DNS 日益嚴峻的資安威脅,無論是企業或個人,都必須採取積極的防護措施:
對企業而言:
- 嚴格管理與管制對外 DNS 查詢:企業不應使用公用的 DNS 服務 (如 8.8.8.8 或 1.1.1.1)。相反,必須對企業內部的 DNS 查詢進行嚴格的管制與管理,限制可查詢的 DNS 為受信任的來源,以防止內部惡意軟體利用開放的 DNS 進行 C2 或資料外洩。
- 部署分層 DNS 防禦 (Tiered DNS Defense):同時擁有用於內部查詢的 DNS 系統和對外的 DNS 查詢系統,形成多層次的防禦體系,避免單一防禦措施的脆弱性。
- 導入專業 DNS 代管服務:將企業的 DNS Hosting 轉移到專業的代管中心。這些中心通常具備強大的基礎設施和 DDoS 防護能力,可以有效應對大規模的 DDoS 攻擊壓力,並確保 DNS 服務的連續性。
- 嚴格管理 DoH Provider 與啟用監控:由於 DoH 的加密特性會使監控變得困難,企業應規定只使用認可的合法 DoH Provider。可考慮實施 TLS 緊密動作、限定憑證,甚至禁止非法規的 DoH 使用。最重要的是,必須啟用 DNS logging 來記錄所有 DNS 查詢,並結合 EDR (Endpoint Detection and Response) 產品偵測異常的 DNS 行為,例如異常的查詢模式或高頻率的 TXT 記錄查詢,以發現潛在的 DNS Tunneling。
- 定期審查 DNS 記錄並導入管理工具:定期檢查企業的 DNS 指向,特別是 CNAME 記錄。在刪除不使用的雲端資源時,務必同時移除 DNS 記錄,避免被駭客劫持子網域。建議導入 DNS Posture Management 工具來協助進行自動化管理和稽核,確保所有記錄都處於安全狀態。
- 強化 DNS 管理平台安全與 MFA:對於管理企業域名的平台(如域名註冊商或 DNS 服務提供商),務必開啟 MFA(多因素驗證)。僅依賴帳號密碼將大大增加域名被劫持的風險,因為一旦憑證被竊,駭客就能完全控制域名,造成無法估量的損失。
對一般使用者而言:
- 使用加密 DNS (DoH):若您重視個人隱私,可以在家中使用 DoH 服務(如 Chrome 瀏覽器中的選項),因為它能加密您的 DNS 查詢,讓第三方無法輕易窺探您的網路行為,從而保護您的上網足跡。
DNS 不再只是網路世界的「無名英雄」或「秘書」,它已然成為駭客發動 DDoS 攻擊、滲透網路、隱藏 C2 指令,甚至是竊取資料的關鍵工具。無論是大型企業還是普通個人用戶,都應充分了解其潛在風險,並採取積極主動的防護措施,從 DNS 層面強化網路安全。未來的資安防禦,將更加依賴對這些基礎協定的深入理解與管理。
