什么是 DNS 过滤?| 安全 DNS 服务器

DNS 过滤在 DNS 级别阻止恶意或禁止的网站和应用程序,使它们无法加载到用户设备上。

学习目标

阅读本文后,您将能够:

  • 理解 DNS 的工作方式
  • 了解 DNS 过滤融入到 DNS 过程的哪一位置
  • 探索 DNS 过滤服务可以阻止的攻击类型

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是 DNS 过滤?

DNS 过滤

DNS 过滤是使用域名系统阻止恶意网站并过滤掉有害或不当内容的过程。这可以确保公司数据保持安全,并让公司能够控制其员工可在公司管理的网络上访问的内容。DNS 过滤通常隶属于更大的访问控制策略。

什么是域名系统(DNS)?

域名系统 (DNS) 会匹配域名(如 cloudflare.com)与 IP 地址(如 192.0.2.24)。DNS 的必要性在于,它让用户能够轻松访问网站,而不必记住令人困惑的数字列表。就像您可以将朋友的电话号码存储在智能手机通讯录中,而不必记住每一人的电话号码一样。

每当用户打开网站或访问 Web 应用程序时,只有用户设备找到了正确的 IP 地址后,才会开始加载内容的过程。下方列出发现 IP 地址以便网站能够加载的步骤:

  1. 用户在浏览器中输入域名后,用户设备将创建 DNS 查询并将其发送到称为 DNS 解析器的专用 Web 服务器。
  2. DNS 解析器通过查询其他 DNS 服务器或检查其缓存来将查询的域名与 IP 地址相匹配。
  3. DNS 解析器使用正确的 IP 地址向用户设备发送回复,这称为“解析”域。
  4. 用户设备联系该 IP 地址上的服务器,以打开连接并开始加载内容。

DNS 是访问 Web 内容时必不可少的部分。在 DNS 过程发生之前,任何内容都无法加载。这使 DNS 过滤成为一种控制用户可以访问哪些内容的有效手段。

DNS 服务过滤如何工作?

所有 DNS 查询都会转到 DNS 解析器。特殊配置的 DNS 解析器还可以充当过滤器,具体方式是拒绝解析针对黑名单上跟踪的某些域的查询,从而阻止用户访问这些域。除了黑名单外,DNS 过滤服务还可以使用白名单(详见下文)。

假设某公司员工收到一封网络钓鱼电子邮件,并被诱骗点击了一个指向 malicious-website.com 的链接。在员工的计算机加载网站之前,它会首先向公司的 DNS 解析服务发送查询,该服务使用了 DNS 过滤。如果该恶意站点列在公司的黑名单上,则 DNS 解析器会阻止该请求,从而阻止 malicious-website.com 加载并阻击网络钓鱼攻击。

DNS 过滤可以按域名或 IP 地址将 Web 资产列入黑名单:

按域:DNS 解析器完全不能解析或查找某些域的 IP 地址。

按 IP 地址:DNS 解析器尝试解析所有域,但若 IP 地址在黑名单中,则解析器不会将其发送回请求设备。

什么是阻止列表?

在 DNS 过滤的上下文中,黑名单是已知有害的域或 IP 地址的列表。DNS 过滤供应商可以依赖网络安全社区内共享的黑名单,也可自己生成黑名单,或者同时采用这两者。一些 DNS 过滤器甚至还会评估网页,并将其自动添加到黑名单中。例如,如果检测到有恶意 JavaScript 代码在 example.com 上运行,那么 example.com 会被添加到黑名单中。

DNS 过滤还可以将不一定用于恶意软件或网络钓鱼攻击,但托管了被禁或不当内容的域列入黑名单。例如,公司可能希望将托管了成人内容的网站添加到其 DNS 过滤黑名单中。

与黑名单相反,白名单是允许的域或 IP 地址的列表。不在白名单中的所有域或 IP 地址都会被阻止。

DNS 过滤如何有助于阻止恶意软件和网络钓鱼攻击?

DNS 过滤可以帮助阻止恶意软件或恶意程序进入公司网络范围和用户设备。它还可以帮助阻止某些类型的网络钓鱼攻击。

1. 阻止恶意网站

托管恶意软件的网站可能会尝试诱骗用户下载恶意程序,或者执行偷渡式下载,即网页加载后自动触发的恶意软件下载。也可能会进行许多其他攻击。例如,网页运行 JavaScript 代码,而作为一种完整的编程语言,JavaScript 可以通过多种方式被用来危害用户设备。

DNS 过滤可以通过彻底阻止用户加载恶意网页来防止此类攻击。

2. 阻止网络钓鱼网站

网络钓鱼网站是一种伪造的网站,其设计宗旨是在网络钓鱼攻击中窃取登录凭证。所使用的域具有欺骗性的域,或者具有官方的外观而不为大多数用户所质疑。无论采取哪种手段,目标都是为了诱骗用户将其帐户凭证提供给攻击者。这些网站可通过使用 DNS 过滤来阻止。

这些功能取决于 DNS 过滤系统是否知道将恶意 IP 地址或域标识为不良性质。尽管 DNS 过滤可以阻止这种恶意活动,但攻击者会非常快速地生成新域,而且也不可能将所有域都列入黑名单。

DNS 过滤如何阻止被禁内容?

限制访问特定内容类型的过程与上述过程类似;将已知托管被禁内容的 IP 地址或域名列入黑名单,使用户无法访问它们。或者,可以将公司批准的网站添加至白名单,而 DNS 过滤则阻止所有其他网站。

什么是安全 DNS 服务器?

安全 DNS 服务器是隶属于 DNS 过滤服务的 DNS 解析器,用于阻止恶意网站或被禁网站。一些安全 DNS 服务器还提供更高的隐私性来保护用户数据。例如,Cloudflare 提供称为 1.1.1.1 的 DNS 解析服务,该服务会在 24 小时后清除所有 DNS 查询日志。

除了 DNS 过滤之外,还可以通过其他一些方法来提高 DNS 过程的安全性,因为 DNS 在设计时并未考虑安全性。DNSSEC 协议有助于验证 DNS 解析器是否提供了准确的信息,以及是否受到攻击者的入侵。DNS over TLS (DoT) 和 DNS over HTTPS (DoH) 协议对 DNS 查询和响应进行加密,使攻击者无法跟踪用户的 DNS 查询,也无法追踪他们访问的网站。

DNS 过滤和 Web 过滤有什么区别?

Web 过滤是一个广义术语,可以指代许多用于控制 Web 流量的方法。DNS 过滤是 Web 过滤的一种类型。其他类型的 Web 过滤包括 URL 过滤、关键字过滤和内容过滤。

除了其他 DNS 服务以外,Cloudflare 是否还提供 DNS 过滤?

Cloudflare 提供权威 DNS 服务(一种公共 DNS 解析器),还为对于想要限制员工访问互联网的公司提供 DNS 过滤功能。Cloudflare Gateway 是一个安全 Web 网关,它包括 DNS 过滤、浏览器隔离,以及其他可确保内部用户安全的技术。了解有关 Cloudflare Gateway安全 Web 网关工作方式的更多信息。