一、 引言：DNS 成為網路攻擊的新戰場

隨著網路科技的演進，網路犯罪者的攻擊手法也日新月異。傳統的網路安全防禦措施，如防火牆與入侵偵測系統，正逐漸面臨挑戰。根據最新的威脅趨勢報告，網域名稱系統（DNS）已成為網路攻擊者愈發青睞的滲透與攻擊管道。這份報告分析了超過 700 億次每日 DNS 查詢，揭示了 2025 年 DNS 威脅態勢的嚴峻性，特別強調了由 AI 技術驅動的新型攻擊模式。

過去一年，網路威脅行為者在 DNS 攻擊的專業性與速度上均取得了顯著提升。他們不再滿足於傳統的洪水攻擊，而是轉向更具欺騙性與隱蔽性的手法，利用 DNS 協議的本質來規避偵測、挾持信任並傳播惡意內容，這對全球的企業與個人都構成了巨大的風險。

二、 威脅趨勢的關鍵發現

1. 惡意與可疑網域激增：在過去一年中，新觀察到的 1.008 億個網域中，高達 25.1% 被歸類為惡意或可疑。這顯示出攻擊者正透過自動化註冊流程，以驚人的速度建立大量用於惡意活動的新網域。
2. 惡意廣告技術（Malicious Adtech）的崛起：報告發現，82% 的企業環境都曾查詢與惡意廣告技術相關的網域。這種攻擊利用廣告流量分發系統（TDS）來不斷變換網域，從而規避安全工具的偵測，並向使用者投放惡意內容。在過去一年中，Infoblox 網路中偵測到將近 50 萬個 TDS 網域，顯示其已成為主流的攻擊手法。
3. AI 驅動的威脅更具欺騙性：AI 技術的進步使得威脅行為者能夠生成高度逼真的「深度偽造」（Deepfakes），並利用機器學習來大規模發動複雜的釣魚攻擊。這些攻擊能更有效地模仿知名品牌，竊取使用者憑證，或透過驅動下載（Drive-by Download）的方式植入惡意軟體。
4. 網域劫持與品牌假冒：攻擊者正利用 DNS 設定錯誤來劫持現有網域，進而冒充大型品牌。此外，他們還會使用同形異義字（Homoglyphs）、組合字（Combosquats）等技術建立與官方網域極其相似的「山寨網域」，藉此竊取使用者憑證與資料。

三、 隱蔽性攻擊手法的演進

1. DNS 隧道（DNS Tunneling）：攻擊者利用 DNS 查詢的合法性，將惡意通訊隱藏在其中，進行數據外洩、命令與控制（C&C）等活動。這種方法能有效繞過傳統的防火牆，因為 DNS 流量通常被視為正常的網路通訊而被允許通過。
2. ​​​​​​​DNS over HTTPS (DoH) 的兩面性：DoH 的設計初衷是為了加密 DNS 查詢，保護使用者隱私。然而，這項技術也被攻擊者用來隱藏惡意流量。對於沒有能力解析加密 DNS 流量的企業而言，DoH 反而成為一個巨大的盲點，讓他們錯失了早期偵測威脅的關鍵機會。

四、 對企業資安長的啟示與建議

1. 將 DNS 視為關鍵資安數據源：DNS 是每個設備連上網路時必須使用的協議，它提供了無與倫比的威脅基礎設施可見性。CISO 必須將 DNS 查詢日誌視為重要的資安數據來源，從中分析模式，尋找攻擊者活動的早期指標，從而實現威脅的前瞻性阻斷。
2. ​​​​​​​部署 DNS 層次防禦：僅僅封鎖已知的惡意網域已不足以應對當前的威脅。企業需要部署能夠進行即時分析、行為偵測與威脅情報整合的 DNS 安全解決方案，建立多層次的防禦體系。

3. 重新評估 DoH 的使用：雖然 DoH 能夠提升隱私，但企業應確保其部署能夠在不犧牲可見性的前提下進行。建議採用集中管理的 DoH 解決方案，以便在保護使用者隱私的同時，仍能對網路流量進行必要的監控與分析。

五、 結論

2025 年的 DNS 威脅趨勢報告向所有企業敲響了警鐘。網路攻擊者正變得更具創造力與隱蔽性，利用 DNS 協議的弱點來發動高效的攻擊。為了在不斷演變的威脅環境中保護企業資產，CISO 必須從根本上改變思維，將 DNS 安全視為企業整體資安防禦體系中不可或缺的一環。透過強化技術防禦、提升威脅可見性並採用前瞻性策略，企業才能在日益複雜的網路世界中築起一道堅實的防線。

資料來源：https://www.helpnetsecurity.com/2025/08/12/dns-threat-landscape-2025/