DNS是什麼？DNS運作流程、設定教學、攻擊手法全解析！

DNS是什麼？DNS運作流程、設定教學、攻擊手法全解析！

DNS（Domain Name System）是互联网中不可或缺的基础服务之一，它将人类可读的域名转换为机器可识别的IP地址，使得用户能够通过简单的域名访问复杂的网络资源。本文将详细介绍DNS的基本概念、运作流程、服务器类型、设置方法以及安全攻击等内容，帮助读者全面了解这一重要的网络技术。

一、DNS 是什麼？DNS 意思與 DNS 伺服器（DNS Server）介紹

DNS，英文全名為 Domain Name System，中文則稱為「網域名稱系統」，是將 IP 位址轉換為將常見網站地址的一套系統服務。

就像是現實生活中每棟建築物會對應一個地址，網際網路中所有電腦、智慧型手機、網站伺服器等各種裝置，也都擁有一串固定且唯一的數字「IP」位址，像是 168.95.1.1 （IPv4 位址） 或 2001:0db8:85a3:0000:0000:8a2e:0370:7334 （IPv6 位址），可以幫助電腦識別不同裝置在網路世界中的身分，並且讓不同裝置產生連線通訊時，不會找錯對象。

雖然 IP 位址能夠幫助網路設備辨識其他裝置，，但對使用者來說記憶這一長串數字極為困難，因此才會有 DNS 誕生，DNS 可以讓使用者可以透過簡單易記的域名來訪问网站，當使用者尋找網站時可以輸入「example.com」這種網域名稱，就能連線到正确的 IP 位址。

而 DNS 伺服器就是設有 IP 位址和網域地址轉換的資料庫电脑，舉例而言，就像是一本「網際網路的电话簿」。

现实中电话簿会将人名与电话号码一一对应，而在 DNS 服务器中，则是将网域名称和 IP 地址一一对应。

使用者只要在浏览器中输入网域名称，DNS 服务器就会自动检索，并将使用者引导至相对的 IP 地址，让使用者可以存取正确的网页内容。

一旦 DNS 发生问题，如：设置错误、DNS Server 故障时，使用者输入对应的网址会无法看到正常的网站资料，因此正确设置 DNS 非常重要。

二、DNS 原理為何？4 步驟帶你掌握 DNS 運作流程说明

DNS 运作原理可以划分为以下 4 大步骤：

STEP 1：使用者输入网域名称

当使用者在浏览器地址栏输入一个完整的网域名称后，他的装置会向所连接的网络服务供应商（ISP），也就是网络电信业者的 DNS 服务器发出一个查询请求。

STEP 2：本地 DNS 服务器查询

此时，网络服务供应商（ISP）的 DNS 服务器会先检查服务器内部的快取资料，查看是否已经储存有该网域名称的解析结果。

若有相关记录，就直接进行STEP 4， 将对应的 IP 地址回传到使用者的装置，让其能连接到目标网站；如果找不到，就进入 STEP 3。

STEP 3：进入其他 DNS 服务器查询

如果网络服务供应商的本地 DNS 服务器没有快取记录，它将请求转发至更上一层的 DNS 服务器，这一过程会一直持续，直到查询到根DNS服务器或找到有效的IP地址。每一层DNS服务器都会尝试在其快取中寻找此域名的记录，如果找不到就会继续向上递送查询，直到找到对应 IP 或最高层级为止。

STEP 4：返回 IP 地址

一旦任一级别的 DNS 服务器查找到网域名称对应的 IP 地址，该地址将被回传到起始的本地DNS 服务器，然后回传至使用者的装置上。使用者的装置收到 IP 地址后，将建立连接并访问对应的服务器，让使用者能正常浏览网页内容。

若所有层级的 DNS 服务器经过查询后，仍无法解析该网域名称，则最终将向使用者回传一个查询失败的错误信息。

三、DNS 服务器种类有哪些？4 種 DNS 服务器服务类型说明

（一）网页加载解析过程中经历的 4 个 DNS 服务器

1. DNS 递回程序

DNS 递回程序虽然名称为程序，实际上它是一种服务器。当使用者输入网域名称后，DNS 递回解析程序负责在不同的DNS服务器间递回查询对应的IP地址，最终将查询结果返回给使用者。

以在图书馆中寻找书籍为例，可以将DNS 递回程序视为图书馆中专门负责寻找藏书的管理员，无论有没有找到书籍，管理员最终都会向读者回报结果。

2. 根网域名称服务器

根网域名称服务器是 DNS 查询的第一步，当 DNS 递回程序接收到查询请求时，它会先联系根网域名称服务器进行查询。

根网域名称服务器可比喻为图书馆中的大类别书籍分类指示，例如哲学、宗教、文学等大分类方向，这有助于 DNS 递回服务器确定下一步查询的具体方向。

3. 顶级网域名称（TLD）服务器

顶级网域名称（TLD）服务器是查找 IP 的第二步，类似于在图书馆找书，确认大方向是「文学」后，进一步细分东方文学、西方文学、诗词戏剧等子类别。

4. 权威名称服务器

在确认具体的子类别后，查询进入最后阶段至「权威名称服务器」。权威名称服务器负责存储具体网域名称和其对应的 IP 地址。DNS 递回程序将从这里找到所需的 IP 地址，并将其回传给使用者。

（二）递回 DNS 与权威 DNS 差别为何？

递回 DNS 和权威 DNS 是域名解析过程中两个关键的服务器类型，两者的功能不同，它们在处理网域名称的解析中，扮演着不同但互补的角色：

递回 DNS：递回 DNS 主要作为使用者与 DNS 查询系统之间的桥梁。当使用者尝试访问一个网站时，递回 DNS 会先检查其快取记录，以快速回应使用者的查询。这些快取记录包括之前查询过的网志名称及其对应的 IP 地址，能够大幅提升解析速度。如果递回 DNS 中没有相应的快取资料，它会向上一级的 DNS 服务器发出查询，逐级向上直至达到权威 DNS 服务器，从中获取所需的记录。

权威 DNS：权威 DNS 负责存储关于网域名称及其对应的 IP 地址的官方记录。当递回 DNS 服务器将查询传递到权威 DNS 时，权威 DNS 会检查其数据库，找出网域名称对应的 IP 地址，再将这个信息回传给递回 DNS 。之后，递回 DNS 再将这个 IP 地址回传给最初发起查询的使用者装置。

四、DNS 快取如何帮助使用者更快解析 IP 地址？

DNS 快取的概念是指将网域名称与对应的 IP 地址，暂时存储在特定位置，这样当同一个域名名称再次被查询时，系统可以直接从快取中取得信息，而不必重新进行网域名称解析过程。 这种机制不仅加快了网域名称解析的速度，也能有效减少使用者等待时间、网络带宽与 CPU 资源的消耗。

常见的 DNS 快取存放位置主要有以下两个：

（一）浏览器 DNS 快取

浏览器会在本地快取用户近期访问或频繁浏览的网站 IP 地址。这样当用户在次访问这些网站时，提高浏览器的处理效率，同时减少解析过程中的等待时间，加速使用者的连接速度。

（二）操作系统 DNS 快取

操作系统 DNS 快取是指存储在使用者电脑或装置中的 DNS 记录，DNS 在发送查询请求前，系统会先检查本地 DNS 快取中，是否有所需的网域名称。若有相关记录，系统便直接使用该记录，无须再向上一级的网络服务供应商或其他 DNS 服务器发出查询请求。

五、DNS 代管与自管的差异为何？

对任何企业或品牌而言，在架设完官方网站或电商网站后，配置适当的 DNS 设置是关键步骤之一，DNS 负责将人类可读的网域名称转换为机器可读的 IP 地址。

这项设置主要有两种方式：「DNS 自管」（自我管理）与「DNS 代管」（委托管理）2 种。

「DNS 自管」代表企业自行建置并维护 DNS 服务器。这种方式允许企业完全控制其 DNS 解析过程，但同时需要投入额外的硬件成本和专业人力来管理与维护，因此许多企业都会选择 DNS 藉管服务。但对需要高度客制化或有特殊安全需求的大型企业来说，这是一種可行的选择。

而 DNS 代管又可以分为两种代管方式：

网域服务商代管：大多数企业购买网域时，网域注册商会提供基础的 DNS 服务。这允许企业直接在网域注册商提供的管理后台中设置 DNS，将网域指向指定的 IP 地址。这种方式简化了管理的流程，企业无须担心技术性的维护和更新。

第三方服务商代管：企业亦可选择将 DNS 管理工作委托给专业的第三方服务商代管 DNS。这些服务商不仅提供 DNS 解析服务，还可能包含增强的安全防御功能，像是提供防御 DDoS（分布式拒绝服务）攻击服务等，进一步确保企业网站和服务器的安全性。

六、DNS 设置教学全攻略！常见记录类型、设置步骤、查询方法一次看！

接着将带大家深入了解 DNS 的常见记录类型、设置步骤及查询方法，让您可以轻松掌握网域解析的技术细节。

（一）DNS 常见记录类型有哪些？

DNS 系统中有多種记录类型，每一种都有其特定的功能，以下是 DNS 中常见的 9 种记录类型：

A 记录（Address Record）：又称为「地址记录」（或主机记录），用于将网域名称链接到实际 IPv4 地址，使浏览器可以根据网域找到服务器的正确位置， 例如： www.google.com 指向 74.125.19.147。

AAAA 记录：类似于 A 记录，但它将网域名称设定到 IPv6 地址。

CNAME 记录（Canonical Name Record）：用于将别名指向正确的网域名称，例如让 www.example.com 指向 example.com。

MX 记录（Mail Exchange Record）：将网域的电子邮件导至指定使用者账户的服务器，确保信件能正确发送到指定电子邮箱。

NS 记录（Name Server Record）：指定网址的 DNS 服务器名称，成为网域名称与服务器间的链接。

TXT 记录：存放任意文字信息，有多種用途，比如用于验证验证网域拥有权，或防止垃圾邮件的安全措施。

PTR 记录（Pointer Record）：是指反向解析 A 记录，将 IP 地址对应到网域名称， 例如：74.125.19.147 指向 www.google.com ，适合有独立 IP 的网站。

SRV 记录：定位特定服务的服务器信息，如 VoIP（一种通过网络打电话或视频的方法）。

SOA 记录（Start of Authority Record）：记录有关网域或区域的重要信息，包括主名称服务器、上次更新网域的时间等。

（二）DNS 怎么设置？从安装到设置步骤报你知！

DNS 设置通常需要通过网域注册商提供的后台来进行，因此每个平台界面会略有不同，步骤如下：

登录管理平台

选择要设置的网域，或找到 DNS 网址设置的区块

依据个人需求，选择采用 DNS 代管或 DNS 自管

DNS代管：可能需要设置主机名称、IP 地址、DNS 类型、参数

DNS自管：可能需要输入多台的 DNS Server Name 名称、IP 地址

而如果是企业级网络服务器，使用 Windows Server 安装及设置 DNS 服务器，可参考以下步骤：

【安装 DNS 服务器】

从 Windows 桌面开启「开始」功能表，然后选取「服务器管理器」

按一下「管理」，选取「新增角色和功能」，选取「下一步」

选取「角色型或功能型安装」选项，选取「下一步」

保留预设选项，选取「下一步」

在「选取服务器角色」页面上，勾选「DNS 服务器」核取方块，选取「下一步」

系统会提示您新增 DNS 服务器所需的功能，如果满意预设值，请选取「新增功能」

在「选取功能」页面上，您可以保留预设选项，点选「下一步」

检阅角色描述和要注意的事項，选取「下一步」继续

检阅选取的角色和功能，选择「安装」

安装完成後，不需要重新开机

【设置 DNS 服务器】

安装 DNS 服务器角色后，就可以进一步设置服务器。

开启「开始」功能表，选取「Windows 系统管理工具」>「DNS」

选取并按住您的服务器（或以滑鼠右键按一下），然後选取「属性」

若要限制 DNS 服务器使用特定 IP 地址，请选取「仅下列 IP 地址」

选取您想要使用的 IP 地址，然後选取「确定」

（三）如何查询 DNS 是否设置正确？

DNS 设置完成后，通常等候 24～48 小时即可生效，可以透过以下几种简单的方法检查 DNS 设置是否成功：

使用 Mac 的 CMD 检查： 在 Mac 电脑上打开「终端机」，输入 nslookup 指令，并输入类型和网址，以确认域名是否正确解析到设置的 IP 地址。

线上免费 DNS 查询工具： 您可以使用像「DNS 网域名称线上查询」 或「nslookup.io」 這些线上工具，來查询 DNS 是否已經在全球生效，並显示每个位置的解析结果。（请注意，输入网址时，不可输入 www（主机名称）喔！）

七、DNS 服务器会受到哪些攻击？DNS 攻击手法解析

不论是否自架或託管的 DNS 服务器，都有可能会因为恶意的网络攻击，导致使用者无法正确转换 DNS 位置，对企业和使用者造成负面影响。

以下带大家认识常见的 DNS 攻击手法：

➤ DNS 洪水攻击

DNS 洪水攻击是 DDoS 攻击的一种，攻击者会操控多个不同的 IP 向 DNS 服务器发起查询请求，这些请求所输入的网域名称不一定是真实的，目的只是为了让 DNS 服务器的流量被占用，甚至瘫痪，让正常使用者无法向 DNS 发起正常的连接查询。

举例而言，DNS 洪水攻击就像大量顾客同时湧入餐厅点餐，造成餐厅产能无法负荷，只能暂时停止接单。

除了 DNS 洪水攻击外，还有另一种针对 DNS 的 DDoS 攻击手法，称为「DNS 放大攻击」。

➤ DNS 放大攻击

DNS 放大攻击是利用 DNS 协议漏洞来达到瘫痪服务器的攻击模式，攻击者会伪造受害者的 IP 地址，向 DNS 服务器发送大量的查询请求，让服务器解析这些请求后，把回应传送到受害者的装置上，让受害者的系统或装置被大量回应占据频宽与资源，导致瘫痪。

举例而言，DNS 放大攻击就像是恶意人士冒名受害者的身份，向餐厅下订大量餐点后，留下受害者的联络信息，餐厅备完餐点后，才发现並不是受害者订的餐点。

DNS 攻击不容小覷！随着网络攻击手法日益复杂，DDoS/CC 攻击也越來越频繁。企业需要采取有效的防护措施，以保护其 DNS 服务器免受攻击。