網站 DNS 安全防護：防止域名劫持與 DNS 攻擊的實務指南

想像你經營一間生意興隆的實體店面，門口掛著醒目的招牌，每天都有客人循著地址上門。某天早上你照常開店，卻發現所有客人都被導到隔壁一間山寨店——原來有人偷偷竄改了路標，讓所有導航系統都指向錯誤的地點。這就是域名劫持在數位世界中的真實寫照。對企業網站來說，DNS（Domain Name System）就是你的數位門牌，一旦被攻擊者掌控，所有流量、客戶信任甚至商業機密都可能在瞬間流失。

本篇指南將帶你認識 DNS 面臨的主要安全威脅，並提供從基礎到進階的實務防護策略，讓你的企業網站在數位世界中擁有一塊堅不可摧的門牌。如果你對 DNS 的基本運作原理還不太熟悉，建議先閱讀網域與 DNS 基礎教學，再回來深入了解安全防護層面。

為什麼 DNS 安全如此重要

DNS 是整個網際網路的「電話簿」，負責將使用者輸入的網域名稱（例如 www.example.com）轉換為伺服器的 IP 位址。這個看似簡單的翻譯過程，卻是所有網路連線的第一步。如果 DNS 被攻破，後續所有的安全措施都形同虛設。

即使你的網站已經部署了 SSL 憑證、啟用了防火牆，甚至架設了完善的網站資安防護基礎，只要攻擊者能竄改 DNS 紀錄，就能將訪客導向偽造的網站，竊取帳號密碼或植入惡意程式。根據資安研究機構統計，全球每年因 DNS 相關攻擊造成的企業損失高達數十億美元，平均每次 DNS 攻擊事件的處理成本超過 100 萬美元。

常見的 DNS 攻擊類型

了解敵人的手段，才能做好防禦。以下是企業最常面臨的四種 DNS 攻擊手法：

域名劫持（Domain Hijacking）

攻擊者透過社交工程、釣魚攻擊或入侵域名註冊商帳號，直接竄改域名的 DNS 設定，將流量導向自己控制的伺服器。這是最具破壞力的攻擊方式，因為攻擊者一旦取得域名控制權，等同於完全接管了你的線上身份。知名案例包括多家國際企業和政府機構的域名遭到劫持，導致數百萬用戶被導向惡意網站。

DNS 快取中毒（DNS Cache Poisoning）

又稱為 DNS Spoofing，攻擊者向 DNS 解析器注入偽造的回應紀錄，讓解析器將錯誤的 IP 位址存入快取。之後所有向該解析器查詢的使用者，都會被導向攻擊者指定的伺服器，而且使用者的瀏覽器不會顯示任何異常警告。

DNS DDoS 攻擊

攻擊者利用殭屍網路向目標的 DNS 伺服器發送大量查詢請求，耗盡伺服器資源使其無法正常回應。當 DNS 伺服器癱瘓後，所有依賴該 DNS 的網站都會無法存取。2016 年知名的 Dyn DNS 攻擊事件，就導致包括 Twitter、Netflix 等大型網站在內的數百個網站同時中斷服務。

DNS 隧道攻擊（DNS Tunneling）

攻擊者將資料藏在 DNS 查詢與回應封包中，繞過防火牆和入侵偵測系統，偷偷傳送機敏資料或與惡意程式進行通訊。由於大多數企業的防火牆都會允許 DNS 流量通過，這種攻擊手法特別難以偵測。

DNSSEC：DNS 安全的基石

**DNSSEC（DNS Security Extensions）**是目前最重要的 DNS 安全機制，它透過數位簽章來驗證 DNS 回應的真實性與完整性，有效防止快取中毒和中間人攻擊。

DNSSEC 的運作原理類似於掛號信的簽收機制：

• 每一筆 DNS 紀錄都會附上數位簽章，確保資料在傳輸過程中未被竄改
• 接收端可透過公鑰驗證簽章，確認回應確實來自授權的 DNS 伺服器
• 信任鏈（Chain of Trust）從根 DNS 伺服器一路延伸到你的域名，任何環節被篡改都會被發現

啟用 DNSSEC 的步驟並不複雜，大多數主流的域名註冊商都已支援。你需要在 DNS 代管服務中產生 DNSSEC 金鑰，然後將 DS（Delegation Signer）紀錄提交給上層域名註冊商即可。搭配SSL/TLS 安全指南中介紹的 HTTPS 加密傳輸，就能為網站建立從 DNS 查詢到資料傳輸的全程安全保護。

DNS 安全防護的三層架構

完整的 DNS 安全策略應該涵蓋三個層次，從基礎到應用層層疊加，形成縱深防禦體系。

基礎層：鎖定與驗證

這是 DNS 安全的根基，目標是確保域名控制權不被非法奪取。

• 啟用域名鎖定（Registrar Lock）：在域名註冊商處開啟 clientTransferProhibited 狀態，防止未經授權的域名移轉
• 啟用 DNSSEC：如上一節所述，透過數位簽章防止 DNS 紀錄被竄改
• 使用高強度帳號防護：為域名註冊商帳號設定強密碼並啟用雙因素驗證（2FA）
• 選擇可信賴的 DNS 服務商：優先選擇具備 Anycast 架構、全球節點分布的服務商

監控層：即時偵測與告警

即使基礎防護做得再好，仍需要持續監控才能在第一時間發現異常。

• DNS 變更通知：設定 DNS 紀錄變更時自動發送 Email 或簡訊通知
• DNS 查詢日誌分析：定期檢視 DNS 查詢模式，識別可疑的大量查詢或異常查詢類型
• WHOIS 監控：監控域名的 WHOIS 資訊變更，防止域名被偷偷移轉
• SSL 憑證透明度日誌（CT Log）監控：偵測是否有人為你的域名非法申請 SSL 憑證

應用層：流量過濾與加速

這一層的重點是在 DNS 之上提供額外的保護，降低攻擊成功時的衝擊。

• 使用 CDN 與 WAF：透過像Cloudflare 網站防護這類服務，同時獲得 DNS 代管、DDoS 防護、WAF 規則與 CDN 加速
• 設定合理的 TTL 值：平衡 DNS 快取效率與紀錄更新速度，一般建議正式環境設定 300 至 3600 秒
• DNS 速率限制（Rate Limiting）：限制單一來源的 DNS 查詢頻率，降低 DDoS 攻擊的影響
• 啟用 DNS over HTTPS（DoH）或 DNS over TLS（DoT）：加密 DNS 查詢，防止中間人竊聽

域名註冊商帳號安全強化

域名註冊商帳號是 DNS 安全的最大單點故障（Single Point of Failure）。一旦攻擊者入侵了你的註冊商帳號，就能直接修改 DNS 紀錄、移轉域名，甚至讓你的網站徹底消失。以下是強化帳號安全的具體做法：

DNS 安全檢測與監控工具

定期檢測 DNS 設定是否正確，是維持安全的關鍵環節。以下介紹幾種實用的檢測方式：

DNSSEC 驗證檢測：使用 DNSViz 或 Verisign DNSSEC Analyzer 等線上工具，可以視覺化呈現你的 DNSSEC 信任鏈是否完整，是否有簽章過期或設定錯誤的情況。

DNS 傳播檢查：當你修改 DNS 紀錄後，可以透過 whatsmydns.net 等工具確認全球各地的 DNS 解析器是否都已更新到正確的紀錄。

DNS 效能監控：使用 DNS 監控服務定期從全球多個節點查詢你的 DNS 紀錄，監測解析速度與可用性。一旦偵測到解析失敗或回應異常，立即發送告警。

自動化安全掃描：將 DNS 安全檢測納入定期的資安掃描流程，檢查項目包括：

• DNSSEC 簽章是否有效且未過期
• DNS 紀錄是否存在不必要的開放解析器
• SPF、DKIM、DMARC 等 Email 驗證紀錄是否正確設定
• 是否存在懸空 DNS 紀錄（Dangling DNS），可能被攻擊者接管

DNS 安全事件應變計畫

即使做了萬全準備，仍然可能遭遇 DNS 安全事件。事先擬定應變計畫，能在事件發生時將損害降到最低。

事前準備：

• 記錄所有 DNS 紀錄的備份，儲存在安全的離線位置
• 建立域名註冊商的緊急聯繫管道，確認帳號恢復流程
• 準備替代的 DNS 服務商設定，以便在主要服務中斷時快速切換

事件發生時：

1. 立即確認事件範圍：檢查哪些 DNS 紀錄被竄改、影響了哪些服務
2. 聯繫域名註冊商：要求凍結域名並恢復正確的 DNS 設定
3. 更換所有相關憑證：如果域名曾被劫持，攻擊者可能已取得偽造的 SSL 憑證
4. 通知使用者與合作夥伴：透過社群媒體或其他管道告知狀況
5. 記錄事件時間線與處理過程：作為日後改善的依據

事後復原：

• 徹底更換域名註冊商帳號的所有存取憑證
• 檢視並強化 DNS 安全設定
• 更新應變計畫，將本次事件的教訓納入

企業 DNS 安全防護檢查清單

以下是一份實用的檢查清單，建議每季至少檢視一次：

• 帳號安全：域名註冊商帳號是否啟用 2FA？密碼是否為高強度？
• 域名鎖定：clientTransferProhibited 狀態是否開啟？
• DNSSEC：是否已啟用？簽章是否有效且未過期？
• DNS 服務冗餘：是否使用至少兩家 DNS 服務商？
• 監控告警：是否設定 DNS 變更通知？是否有定期的自動化檢測？
• TTL 設定：各項紀錄的 TTL 值是否合理？
• Email 安全紀錄：SPF、DKIM、DMARC 是否正確設定？
• 存取控制：DNS 管理權限是否遵循最小權限原則？
• 應變計畫：是否有文件化的 DNS 安全事件應變流程？
• 備份：DNS 紀錄備份是否為最新版本？

DNS 安全不是一次性的工作，而是需要持續維護的過程。就像你會定期檢查實體店面的門鎖和保全系統一樣，你的數位門牌也需要定期的安全體檢。

如果你正在規劃企業形象網站或希望強化現有網站的安全防護，元伸科技可以協助你從 DNS 設定、SSL 憑證到整體資安架構進行全面檢視。歡迎與我們聯繫，讓專業團隊為你的網站打造堅實的安全基礎。