如果您使用 VPN(請參閱我們的 Windows 平台 VPN 技術支持如果你經常調整網路設置,你可能看過類似這樣的選項: 提供者特定的 DNS、整合解析、來自 Google 或 Cloudflare 的公共 DNS、握手協議,或像 Pi-hole 這樣的自訂 DNS。乍一看,這似乎只是另一個設置,但 DNS 伺服器的選擇會對您的隱私、安全性、效能,甚至您可以訪問的網站產生重大影響。
在日常使用中,我們通常保持預設設定: 來自 ISP 或 VPN 提供者的 DNS 服務已在執行然而,切換到自訂 DNS(例如,在家中設定 Pi-hole 或使用 Control-D 之類的服務)可以讓你更能控制瀏覽行為,但同時也需要承擔一定的風險和責任。因此,了解 DNS 的工作原理以及每種方案的優缺點至關重要。
什麼是DNS?為什麼它如此重要?
網域名稱系統(DNS)是網際網路的「電話簿」。它將人類可讀的網址(例如 xataka.com 或 kaspersky.com)轉換成電腦可以理解的數位 IP 位址。如果沒有這種自動轉換功能,你就無法透過輸入網域來瀏覽網路;你必須記住每個網站對應的長串數字。
您的網路服務供應商 (ISP) 通常會為您提供一個具有某些功能的路由器。 由運營商自身控制的預先配置DNS伺服器每次您輸入網址時,您的裝置都會查詢 DNS 伺服器以尋找對應的 IP 位址。這不僅對網站加載至關重要,而且還決定了誰可以看到您的查詢,以及誰可以阻止或篡改這些請求。
名稱解析過程涉及幾種類型的伺服器:a 遞迴求解器接收您的查詢根伺服器、頂級網域名稱(TLD)伺服器(例如 .com 或 .net)和權威網域名稱伺服器最終都會傳回正確的 IP 位址。在許多情況下,部分資訊會被緩存,以加快後續查詢速度。
當你在瀏覽器中輸入網域名稱時,系統首先嘗試從伺服器解析它。 本機快取(電腦、作業系統、解析器)如果找不到目標 IP 位址,查詢會依序傳送到遞歸解析器、根伺服器、頂級網域名稱伺服器,最終到達權威伺服器,由權威伺服器傳回最終的 IP 位址。所有這些過程都在幾毫秒內完成,但每一跳都可能成為攻擊面或控制點。
一個關鍵細節是,預設情況下, 傳統DNS不包含加密功能。這意味著,您的網路服務供應商 (ISP) 和任何能夠存取您網路流量的中間方都可以看到您造訪的域名,但如果您使用 HTTPS,他們則無法看到頁面的具體內容。如果系統安全措施不到位,這種設計更容易導致審查、追蹤和攻擊。
控制 DNS 的人對你了解多少?
你發出的每一個DNS請求都會留下痕跡。 DNS 伺服器擁有者可以看到您正在使用哪個 IP 位址進行查詢以及您正在嘗試存取哪些網域名稱。光是這兩組簡單的資料(IP + 網域 + 時間),就可以建構出非常精細的瀏覽習慣畫像。
像Google公共DNS這樣的服務商都公開表示: 他們會暫時儲存您的 IP 位址(例如 24-48 小時),並永久儲存其他「匿名化」的使用資料。這樣一來,他們就可以收集統計數據,改進服務…而且,對於廣告公司來說,即使他們承諾不會將廣告與你直接關聯起來,也可以豐富他們的用戶細分。
一些較注重隱私的第三方DNS供應商,例如Cloudflare或Quad9,會透過宣稱以下幾點來宣傳自己: 他們不會永久記錄您的 IP 位址,他們會盡量減少日誌記錄,也不會將資料出售給廣告商。但值得注意的是, 技術上 它們與其他 DNS 伺服器一樣,具有查看您的查詢的權限:信任取決於它們的政策、透明度和獨立審計。
此外,DNS 是政府和營運商常用的控制點。許多網站被封鎖的情況就是如此… 拒絕在官方 DNS 中解析某些域名 國家或公司層級的審查。透過更改 DNS 設置,通常可以繞過這種基本的審查,但在限制非常嚴格的環境下,可能會結合其他屏蔽技術。
重要的是要明白 使用備用DNS並不能隱藏您的IP位址,也不能取代VPN。免費公共 DNS 服務並不能起到虛擬私人網路 (VPN) 的作用:您造訪的網站仍然可以看到您的真實 IP 位址,即使您使用某些現代技術,您的 ISP 無法清楚地看到域名,他們仍然能夠看到您連接的 IP 位址。 DNS 服務提供了一層隱私和安全保障,但它並非完美的解決方案。
ISP DNS、VPN DNS 或自訂 DNS:常見選項
許多 VPN 提供者提供多種 DNS 配置: 您可以使用自己的 DNS 伺服器、整合解析器、握手協議,維護外部 DNS 伺服器(例如 Google、Cloudflare 等),或定義自訂 DNS 伺服器,就像家庭版的 Pi-hole 一樣。每種選擇都有不同的後果。
當您將設定保留在“他自己的您的所有 DNS 流量都透過該 VPN 控制的伺服器進行解析。這樣做的好處是查詢在加密隧道內傳輸,對您的 ISP 隱藏 DNS 請求並減少 DNS 洩漏,但同時也意味著您將所有信任都寄託在 VPN 提供者身上,他們可以查看您在 VPN 啟動期間訪問的網域名稱。
如果您決定使用外部 DNS,例如 Google (8.8.8.8)、Cloudflare (1.1.1.1) 或其他根據您選擇的服務,您可以獲得速度提升和一些額外的保護。但是,如果沒有 VPN,您的查詢仍將直接發送到這些解析器,並且您將與一家大型公司共享您的網域歷史記錄,而該公司的利益可能與您的隱私並不一致。
選項“現有 DNS在 VPN 中啟用「使用系統 DNS」會保留您現有的 DNS 設定。這很方便,但如果 VPN 用戶端不強制使用自己的解析器或加密這些查詢,則可能導致 DNS 洩漏。換句話說,您可能認為所有流量都通過 VPN,但實際上您的網域請求仍然會發送到您的 ISP。
很多 自訂 DNS (例如,指向 Pi-hole 或您自己的雲端伺服器)可以讓您擁有最大的控制權:您可以決定記錄哪些內容、封鎖哪些內容以及如何過濾。但是,您也需要負責其安全性、可用性和維護,如果您不小心將其暴露在互聯網上,它可能會成為攻擊的入口。
使用自訂 DNS(Pi-hole、Control D 等)的優勢
設定自訂 DNS,可以使用以下方法: 在本地網路上部署 Pi-hole,使用自己的伺服器並啟用 DNSSEC,或使用 Control-D 等託管服務。與使用 ISP 的預設 DNS 甚至一些通用的公共 DNS 相比,它具有許多優勢。
第一個主要優勢是能夠 從源頭阻止威脅。使用配備最新黑名單的現代化 DNS 可以阻止您的裝置解析與惡意軟體、網路釣魚、加密劫持或惡意廣告相關的網域名稱。由於「惡意」網域無法轉換為 IP 位址,因此連線根本無法建立。
這種「預防性」方法預判了傳統防毒軟體會採取的行動,而傳統防毒軟體通常是被動應對。 當威脅已經在你的系統中發生時使用過濾式 DNS,您就永遠不會接觸到已知的危險域名,這大大降低了家用電腦的風險,尤其降低了擁有眾多用戶的企業網絡的風險。
其次,使用經過良好優化的自訂 DNS 可以提高效能。 屏蔽廣告、追蹤器和不必要的資源 (例如, 刪除智慧電視上的廣告頁面載入速度更快,外部請求數量減少,頻寬消耗也隨之降低。在網路連線速度一般或連接裝置較多的網路中,這種差異會非常明顯。
另一個關鍵優勢是增強了隱私保護(請參閱我們的 線上隱私權保護要點像是 Pi-hole 或以隱私為中心的服務之類的解決方案可以 阻止追蹤器和廣告公司收集您的瀏覽活動 透過腳本和追蹤域名。雖然這並非萬全之策,但確實能顯著減少你在瀏覽網路時不斷向數十個廣告網路「洩露」資訊的情況。
最後,許多自訂 DNS 伺服器(例如 Control D)提供 設定相對簡單,具有過濾模板(例如,屏蔽成人內容、遊戲、社交網路等)。 此外,還提供將該服務整合到企業級 RMM 或 MDM 大規模部署中的選項。這簡化了向數十台或數百台設備引入安全控制層的過程。
自訂 DNS 的風險和缺點
另一方面,自訂 DNS 也引入了… 新的故障點和責任第一個顯而易見的問題:如果您的 DNS 伺服器宕機、過載或設定錯誤,您的整個網路可能會失去明顯的網路存取權限,因為即使您的連線正常,網站也會停止解析。
如果你信任一個 未知或可疑的 DNS 伺服器風險倍增。惡意或被入侵的DNS伺服器可以篡改您的請求,將您重定向到虛假網站(網路釣魚)、安裝惡意軟體或攔截敏感資訊。 DNS快取投毒或DNS伺服器劫持是攻擊者常用的將流量重新導向到其控制網站的技術。
此外,自訂 DNS 可能沒有 針對DDoS攻擊或基礎設施攻擊採取相同的保護措施 相較於主流服務商,DNS解析器的安全風險更高。針對DNS解析器的拒絕服務攻擊可能會導致所有依賴該解析器的使用者無法進行網域解析。因此,如果您為企業或關鍵服務建立了自己的DNS伺服器,建議採用冗餘部署,並將其部署在穩健的網路中。
另一個關鍵點是,如果您不實施 DNSSEC 或安全性配置等措施,您的伺服器可能會受到攻擊。 易受緩存投毒攻擊在這種情況下,犯罪分子會欺騙網域解析器,使其誤以為合法的網域名稱實際上指向的是詐騙伺服器的IP位址。此後,所有查詢該網域的使用者都會收到被竄改的地址,直到快取被清除為止。
最後,對廣告、追蹤器或內容類別進行過於激進的 DNS 過濾可能會導致 誤報和破壞合法功能網站無法正常載入、服務停止運作或安全更新無法送達,都是因為網域被封鎖。正確調整屏蔽清單並查看日誌至關重要。
與 DNS 相關的具體威脅及其緩解方法
由於 DNS 基礎設施至關重要,因此它成為各種攻擊的目標。以下是最常見的幾種攻擊:
- 分散式阻斷服務 (DDoS) 攻擊 攻擊者會攻擊網站或服務提供者的DNS伺服器。他們透過向伺服器發送大量惡意流量,使其資源飽和,導致合法請求無法處理,從而使網站在攻擊期間從網路上「消失」。
- 註冊近似域名這包括註冊與知名品牌域名幾乎完全相同的域名,利用用戶的拼字錯誤。如果使用者拼字錯誤,未過濾的DNS會將使用者重新導向到這些虛假域名,然後攻擊者就可以利用這些虛假域名發動極具迷惑性的網路釣魚攻擊或竊取憑證。
- 網域註冊劫持。 如果攻擊者攻破了您的網域名稱註冊商帳戶,他們可以更改 DNS 記錄並將其指向他們控制的伺服器,甚至可能改變網域的所有權。為了降低這種風險,使用強密碼、雙重認證以及選擇具有強大安全措施的註冊商至關重要。
- DNS緩存中毒 他們更進一步。攻擊者會在DNS伺服器快取中插入特定網域的虛假數據,這樣一來,不知情的用戶未來的查詢就會使用偽造的IP位址進行解析。由於瀏覽器依賴DNS回應,使用者可能會在不知不覺中造訪到偽造的銀行網站或惡意軟體網站。
為了降低這些風險, 建議使用 DNSSEC(DNS 安全擴充)。這些系統會在 DNS 回應中新增加密簽名,以確保資料未被竄改。結合加密通訊(DoT、DoH、VPN)和嚴格的 DNS 伺服器存取策略,可以大幅降低 DNS 劫持或投毒的風險。
最常見的公有和私有 DNS 伺服器
除了您的 ISP 或 VPN 的 DNS 伺服器之外,您還可以使用種類繁多的 DNS 伺服器。 免費開放的DNS伺服器 您可以手動在路由器、電腦或行動裝置上進行設定。一些最知名的包括:
- OpenDNS的 (208.67.222.222 和 208.67.220.220)。這是歷史最悠久的公共服務之一,現歸思科所有。它提供付費版本和免費版本,免費版本速度快、可用性高、預設屏蔽釣魚網站,並提供家長控制選項。
- 的CloudFlare (IP 位址 1.1.1.1 和 1.0.0.1)。注重性能和隱私。承諾不會將您的資料用於廣告,也不會將您的 IP 位址寫入磁碟。設定通常非常快速方便,沒有太多額外步驟。
- 谷歌公共DNS (8.8.8.8 和 8.8.4.4)。專為技術水平較低的使用者設計,並提供完善的文件。為了提供易用性和高效能,它會在有限的時間內保留匿名瀏覽日誌和您的 IP 位址。
- Comodo安全DNS (8.26.56.26 和 8.20.247.20)。旨在阻止危險網站、間諜軟體和廣告過多的域名,依靠 Comodo 在安全領域的經驗。
- Quad9 (9.9.9.9 和 149.112.112.112)。雖然相對較新,但它專注於利用來自多個來源的威脅情報來阻止惡意域名。它在安全性和性能之間取得了良好的平衡。
- Yandex.DNS (77.88.8.8 和 77.88.8.1)。俄羅斯的替代方案,提供基本配置文件和「安全」變體(77.88.8.88 和 77.88.8.2),用於屏蔽危險網站,以及「家庭」(77.88.8.7 和 77.88.8.3),用於過濾成人內容。
- 公共 DNS 伺服器列表一個龐大的資料庫,您可以在其中搜尋全球免費 DNS 伺服器,並按國家/地區篩選。
在選擇放棄 VPN 的 DNS、使用公共伺服器或建立自己的 Pi-hole 時,關鍵因素在於如何抉擇。 你想信任誰來查看你的網域查詢?你需要對過濾、效能和隱私進行多大程度的控制?透過了解每種選項的優點和風險,您可以更輕鬆地根據自己的優先事項調整設置,而不會出現意外的安全或導航問題。
