快訊/Cloudflare故障全球大當機 ChatGPT、X等都掛了
▲Cloudflare故障,出現全球網站大規模當機。(圖/ETtoday新聞雲)
網路公司Cloudflare技術故障全球出現大規模當機,包括X、ChatGPT、政府網站、《英雄聯盟》等使用者普遍都遭遇頁面無法載入的問題,而故障就是源於Cloudflare網路內部伺服器錯誤。
Cloudflare為提供網路基礎設施服務的公司,技術廣泛支撐網站穩定、安全性。該公司在公告中表示,已發現到相關問題並著手調查,同時承諾將提供進一步詳細信息。目前Cloudflare尚未公布故障的具體原因或受影響的範圍,當機已波及多個依賴其技術的網站。
此次故障也一度影響了專門追蹤網路全球當機情況的網站Down Detector,該網站顯示相關問題的報告量急劇上升,大量使用者陸續反映受影響情形。受故障影響的頁面通常伴隨提示,建議使用者稍候幾分鐘後重新嘗試。快訊/Cloudflare故障全球大當機 ChatGPT、X等都掛了 | ETtoday3C家電新聞 | ETtoday新聞雲 https://bit.ly/43EFRGu
昨(18)晚ChatGPT、X等平台傳出全球災情,經了解為「網路大總管」Cloudflare發生當機,官方已經證實且修復完成。(圖/ChatGPT)
Cloudflare昨(18)晚大當機,全球許多網站無法使用,包含社群平台X、ChatGPT等都受到影響。Cloudflare正式自家出包,已經在今(19)凌晨修復,技術長柯奈特(Dane Knecht)也在X上向受影響用戶道歉。快速來看懂Cloudflare在網路世界是什麼角色,為什麼有辦法一當機就癱瘓整個網路世界。
Cloudflare是什麼?為何故障可以「癱瘓全球網路」 災情原由速懂 | 3C車市 | 生活 | NOWnews今日新聞 https://bit.ly/4nZ2xsd
Cloudflare當機原因?
Cloudflare公司表示,問題源自一份自動生成、用於安全防護的設定檔規模異常膨脹,造成流量管理系統失效。Cloudflare已於台灣時間凌晨3時左右完成修復,技術長柯奈特(Dane Knecht)也在X上向受影響用戶道歉,Cloudflare未來將加強監控,避免類似狀況再度發生。
Cloudflare災情:哪些平台受影響?
包括社群媒體X、雲端儲存 Dropbox、加密貨幣平台Coinbase、ChatGPT、英雄聯盟、YouTube、Google等。
Cloudflare是什麼?
多數人對於Cloudflare應該感到陌生,但其實你每天都在使用,Cloudflare可以看成是雲端防火牆,舉例來說,網路世界就像是百貨公司,裡面有各種品牌專櫃,像是Google、ChatGPT櫃位,而Cloudflare的角色,就是這棟百貨公司的警衛和服務台。
警衛負責擋走壞人,在網路上就是防堵駭客;服務台則負責幫你指路,讓你更快到達想去的櫃位。
Cloudflare昨晚發生什麼事情?
昨晚的網路災情可以延伸想像,就像是到了百貨公司外面,卻發現大門被鎖住,服務台沒有人,也找不到入口,就算裡面的店都還開著,你也無法走進去。這就是昨晚大量網站同時連不上、ChatGPT、X等服務全部轉圈圈的原因。
真正壞掉的不是網站本身,而是通往網站的路被擋住,只要Cloudflare修復後重新把大門打開,網站立刻又會恢復正常。正因為全球太多網站都共用這個入口,一旦入口卡住了,用戶進不去,就會形成網路同時大當機的情況。
為何大家都用Cloudflare?
Cloudflare一旦出狀況就會拖累全世界,為什麼全球網站還要一起依賴它?因為Cloudflare速度快、功能強、而且不貴,對網站而言就像便利商店一樣方便。久而久之,大量網站都把入口交給Cloudflare管理,但這也代表只要Cloudflare出問題,所有網站就會一起受到影響。
資料來源:Cloudflare、技術長柯奈特(Dane Knecht)
▲今(18)日全球發生網路大當機災情,對此,Cloudflare持續透過公告對外更新狀況排除情況,稍早宣布「問題已識別」。(圖/翻攝Cloudflare官網)
▲關於昨晚全球網路大當機,Cloudflare持續透過公告對外更新狀況排除情況。(圖/翻攝Cloudflare官網)Cloudflare是什麼?為何故障可以「癱瘓全球網路」 災情原由速懂 | 3C車市 | 生活 | NOWnews今日新聞 https://bit.ly/4nZ2xsd
吳靜怡揭Cloudflare崩潰是國安警訊:台灣恐難擋境外勢力干擾
2025/11/19 09:5
總部位於美國舊金山的網路基礎設施公司Cloudflare於18日發生系統異常,全球多項網路服務都受到影響。時事評論員吳靜怡說,如果Cloudflare這種事故是被操縱的,後果將不是卡一下而已,而可能是造成台灣社會混亂、信任崩盤,甚至被外部勢力利用來操弄輿論。
吳靜怡今(19)日以「Cloudflare大崩潰,全球資訊流量的單點脆弱,才是真正的國安警訊!」為題發文表示,昨天數千個網站和應用程式瞬間癱瘓,從ChatGPT、X,到遊戲伺服器、新聞平台、企業系統,甚至連台灣近期最多人同時上線的「普發一萬元現金登記網站」都徹底陷入無法登入的混亂。
吳靜怡指出,中斷原因並非外部攻擊,而是 Cloudflare內部的一個配置檔案過大,導致流量處理系統崩潰,這事件也凸顯了現代網路高度依賴少數雲端服務提供者的風險,一旦出問題,就可能造成連鎖效應,影響全球用戶的日常生活和商業運作。
吳靜怡提到,台灣是全球面對網路攻擊、資訊滲透最密集的國家之一,如果Cloudflare這種事故不是意外,而是被操縱的呢?像是選舉開票當天?後果將不是「卡一下而已」,而可能是社會混亂、信任崩盤,甚至被外部勢力利用來操弄輿論。
吳靜怡說,昨天的全球癱瘓事件也讓我們知道,台灣的公共數位系統沒有足夠韌性,單一企業能癱瘓全球,這本身就是結構風險,遇到選舉、國安事件,脆弱性可能被放大成政治災難。
吳靜怡也說,台灣許多網站將流量服務交給國外公司,但必須有備援機制,政府應該要有跨雲、跨國、在地化的鏡像系統,任何重大服務都應有「國內緊急入口」,必要時能自動切換,不該讓單一國外廠商卡住全台。
吳靜怡直言,各立委要推「不在籍投票」前,是不是要確認台灣已經有足夠資訊技術韌性和環境足以抵擋任何境外勢力的干擾?真是哪來的自信!
吳靜怡揭Cloudflare崩潰是國安警訊:台灣恐難擋境外勢力干擾 | 政治 | 三立新聞網 SETN.COM https://bit.ly/4o70thL
Cloudflare(Cloudflare, Inc.)是一家總部位於舊金山的美國跨國科技企業,以向客戶提供基於反向代理的內容傳遞網路(Content Delivery Network, CDN)及分佈式網域名解析服務(Distributed Domain Name Server)為主要業務。"Cloudflare - 維基百科,自由的百科全書" https://zh.wikipedia.org/zh-tw/Cloudflare
歷史[編輯]
Cloudflare由三個曾為Project Honey Pot工作的工程師Matthew Prince、Lee Holloway和Michelle Zatlyn於2009年創立,最終在[2][3]2010年9月舉行的TechCrunch Disrupt大賽上首度公開出現。
2011年,駭客組織LulzSec使用Cloudflare的產品保護它的網站不被他人攻擊,並在Twitter上讚揚此公司。Cloudflare因此於當年6月受到傳媒留意。[4][5]
2011年7月,Cloudflare宣布來自恩頤投資、文洛克創投及珀利翁風投夥伴的新一輪風險融資已經完成,金額為2000萬美元。[6][7]
2012年6月,Cloudflare與數家虛擬主機提供者(包括HostPapa)建立合作夥伴關係,以實作其Railgun技術。
2012 年 6 月,駭客組織UGNazi 利用Google帳號驗證程式的缺陷入侵Cloudflare CEO Matthew Prince的企業信箱,以此篡改著名社區網站4chan的Cloudflare帳號密碼並將它的DNS指向該組織的Twitter主頁。[8][9]
2012年12月,Cloudflare得到來自合廣投資及其他現有投資方的C輪融資,其金額為5000萬美元。[10]
2014年2月,Cloudflare減緩了當時有記錄以來規模最大的DDoS攻擊,針對未揭露之客戶的攻擊流量最高達每秒400 Gbit。在2014年11月,Cloudflare報告了另一個大規模DDoS攻擊,該次攻擊對獨立媒體網站的流量為每秒500Gbit[11]。
2014年2月,Cloudflare宣布收購反病毒企業StopTheHacker。[12]
2014年6月,Cloudflare宣布收購CryptoSeal公司。[13]
2014年6月下旬,佔領中環投票網站popvote.hk於2014年6月14日遭受DDoS攻擊,攻擊流量峰值達到300 Gbit/s,Cloudflare作為其內容傳遞網路服務的提供者,使用DNS沉洞緩解了此攻擊[14]。
2019年9月6日,維基百科受到DDoS攻擊。歐洲使用者有幾個小時無法訪問維基百科[15]。在維基媒體網路工程師使用Cloudflare的網路和 DDoS 保護服務重新路由和過濾網際網路流量後,攻擊得到緩解[16]。使用的特定 Cloudflare 產品是 Magic Transit[17]。
2025年11月18日︁,Cloudflare出現技術故障,連帶影響包括ChatGPT、X在內的全球多個網站無法正常載入。[18]該故障在約6小時後修復,據Cloudflare聲明,故障因內部檔案大小超出預期導致的軟體崩潰造成,不涉及網路攻擊。[19]
併購[編輯]
在2014年6月,Cloudflare併購了由Ryan Lackey所創立的CryptoSeal,意欲藉此交易延伸其Web使用者安全性服務。在2014年2月,它併購了StopTheHacker,這家公司提供惡意程式碼偵測、自動惡意程式碼移除,以及信譽與黑名單監視服務。在2016年12月,Cloudflare併購了Eager,並透過此次併購升級了Cloudflare的應用程式平台,以支援使用拖放方式將第三方應用程式安裝到使用Cloudflare服務的網站[20]。在2017年底,Cloudflare收購了Neumob,一間手機VPN初創企業。[21]在2022年2月,Cloudflare收購了Area 1 Security,並透過其技術保護企業免受基於電子郵件的安全威脅。[22]
服務[編輯]
DDoS保護[編輯]
Cloudflare為所有客戶提供「我正遭受攻擊模式(I'm Under Attack)」設定。Cloudflare宣稱這樣可要求使用者必須先通過JavaScript計算式查問的驗證才能存取網站,進而減輕進階第7層攻擊的影響。Cloudflare所提供的保護使得Spamhaus免於流量超過每秒300 Gbit的DDoS攻擊。Akamai的首席結構設計師將它稱為「有史以來網際網路上規模最大的公開DDoS攻擊」。據說Cloudflare當時吸收了峰值超過每秒400 Gbit的NTP校時服務放大攻擊(NTP Reflection Attack) [23]。
網頁應用程式防火牆[編輯]
Cloudflare預設可讓付費方案客戶使用Web應用程式防火牆;此防火牆具有OWASP ModSecurity核心規則集與Cloudflare自有規則集,以及常見Web應用程式規則集。[24]
網域名稱伺服器[編輯]
Cloudflare為所有客戶提供具有任一傳播網路的免費網域名稱伺服器(DNS)。根據W3Cook,Cloudflare的DNS服務目前所服務的對象超過受管理DNS網域的35%。SolveDNS發現Cloudflare能持續提供全球數一數二的 DNS 查閱速度,在2016年4月回報的查閱速度為8.66毫秒。[25]
公共DNS解析器[編輯]
主條目:1.1.1.1
2018年4月1日,Cloudflare推出了面向使用者,聲稱「隱私第一」的域名系統解析服務。
IP位置爲1.1.1.1和1.0.0.1。IPv6位置爲2606:4700:4700::1111和2606:4700:4700::1001。
由於其所使用的位址塊原來屬於未分配的位址塊,部分網路會使用該位址作為內部認證系統或測試系統位址,所以可能會導致使用者無法正常訪問該位址或導致被惡意流量攻擊。[26]
2018年11月11日,Cloudflare推出了1.1.1.1解析器的手機應用程式,可在iOS和Android裝置下載。
反向代理[編輯]
Cloudflare的其中一個主要功能是他們扮演網頁流量的反向代理角色。Cloudflare支援新的網頁通訊協定,包括HTTP/2[27]與HTTP/3[28]。此外,Cloudflare還提供針對HTTP/2 Server Push的支援。Cloudflare也支援Websocket的代理處理。[29]
內容分發網路[編輯]
Cloudflare的網路在全球擁有許多連線到網際網路交換點的連線。Cloudflare會將內容快取到其邊緣位置,以扮演內容提供網路(CDN)的角色,所有要求接著會透過Cloudflare進行反向Proxy處理,並直接從Cloudflare提供快取的內容。[30]
中國大陸服務[編輯]
Cloudflare推出了中國大陸地區的服務,幫助所有企業改善他們的網際網路應用的效能及安全並擴充其全球業務。Cloudflare最初以百度為合作夥伴,但之後轉而與京東雲合作。Cloudflare和京東雲的合作節點預計將在2023年擴充到中國大陸的150個地點。[31]但使用者網站必須取得ICP備案,並且必須購買Enterprise服務才可使用,而且中國大陸的網路不支援任播。
Project Galileo[編輯]
爲回應對藝術組織、人道救援機構和反政府組織等目標的攻擊,在2014年,Cloudflare推出了Project Galileo,希望可以透過其服務爲這些組織的網站提供網路攻擊保護和效能提升,確保網站長期在線。
域名註冊商[編輯]
在2019年,Cloudflare宣佈提供域名註冊服務,以不抽利潤的最低價提供域名註冊服務,聲稱只會收取它們需付的費用。[32]
Cloudflare Access[編輯]
2018年,Cloudflare宣佈提供Cloudflare Access服務,讓員工無需使用虛擬私人網路(VPN)就能透過一次性密碼、GitHub、Azure Active Directory、G Suite或SAML等登入,安全存取公司內部網路。
服務在少於50個使用者的環境使用爲免費,超出後每個使用者每月收費5美金。[33][34]
WARP[編輯]
2019年4月1日,Cloudflare宣佈提供虛擬私人網路服務,名爲WARP[35],可在Android及iOS裝置的1.1.1.1軟體使用,現已支援電腦裝置Windows及macOS和Linux。[36]
Workers[編輯]
Cloudflare於2017年9月29日宣布了Workers服務。該服務屬於無伺服器框架類型,允許使用者在邊緣網路執行Javascript指令碼。[37]
爭議[編輯]
Cloudflare因其為恐怖主義、網路犯罪和仇恨言論提供遮蔽而面臨爭議,其中包括伊斯蘭國、塔利班、緬甸軍政府、新納粹等極端組織,也包括群體槍擊案罪犯[38][39][40][41][42][43],它參照言論自由為自己辯護。[44][45] 許多有爭議的網站使用Cloudflare,包括The Daily Stormer和8chan[46],Cloudflare因為其堅持網路中立性的政策受到批評[47]。
恐怖主義[編輯]
赫芬頓郵報記錄了Cloudflare為美國國務院指定[40][42]的 「至少7個恐怖組織」提供服務,包括塔利班、索馬利亞青年黨、阿克薩烈士旅、哈馬斯和巴勒斯坦聖城旅。Cloudflare至少從2012年起就知道了,但沒有採取任何行動。然而,據Cloudflare的執行長稱,沒有任何執法機構要求該公司停止這些服務[48]。伊斯蘭國的兩個線上論壇以及近四十個網站都由Cloudflare遮蔽[48]。
群體槍擊案[編輯]
2019年,Cloudflare因向貼圖討論版8chan提供服務而受到批評,該板塊允許使用者發布和討論任何內容,網站管理員幾乎不做干預。該留言板與美國的大規模槍擊事件和紐西蘭基督城清真寺槍擊案有關[49][50][51][52]。此外,包括《華盛頓郵報》和《The Daily Dot》在內的一些新聞機構報道了兒童色情和兒童性虐待討論板的存在[52][53][54]。 BBC援引Cloudflare代表的話稱,該平台「不託管所提及的網站,不能封鎖網站,也不從事隱藏代管非法內容的公司的業務」。[55] 2019年埃爾帕索槍擊案發生後接受《衛報》採訪時,執行長Matthew Prince為Cloudflare對8chan的支援辯護,稱他有「道德義務」讓該網站保持線上。[56]之後迫於公眾和法律壓力,Cloudflare才終止了對8chan的服務。[56]
客戶[編輯]
直至2017年,Cloudflare提供DNS服務給1200萬個網站,[57]每日增加兩萬使用者。[58]其中著名的網站包括Uber、OKCupid與Fitbit。[59]
"Cloudflare - 維基百科,自由的百科全書" https://zh.wikipedia.org/zh-tw/Cloudflare
DNS(網域名稱系統)是一個用於將人類易讀的網域名稱(如 www.google.com)轉換為機器可讀的IP地址(如 172.217.160.142)的系統。由於它是一個分佈在全球的數據庫,而非單一的伺服器,因此被稱為「分散式網域名稱系統」(Distributed Domain Name System)。這個系統透過層層查詢的過程,確保使用者能順利造訪網站。
DNS 的主要功能
網域名稱解析:將網址轉換為IP地址,是DNS最核心的功能。
郵件服務:透過MX記錄指定郵件伺服器的地址,確保郵件能正確送達。
負載平衡:將流量分發到多個伺服器上,以提高效能和穩定性。
網絡安全:防止惡意攻擊,如網域名稱劫持或DNS緩存中毒。
DNS 的運作流程
使用者輸入網域名稱:使用者在瀏覽器輸入網址,電腦會向本地的DNS伺服器發出查詢請求。
本地DNS伺服器查詢:該伺服器會先檢查其快取(cache)中是否有記錄。若有,則直接將IP地址傳回。若無,則進入下一步。
層層向上查詢:本地DNS伺服器會向上一級的伺服器(例如根伺服器)發出請求,這個過程會不斷重複,直到找到該網域名稱的IP地址為止。
回傳IP地址:一旦找到IP地址,就會由下往上傳回給使用者的電腦,讓瀏覽器能夠連接到正確的伺服器並載入網站
-------
網域名稱系統(英語:Domain Name System,縮寫:DNS)是網際網路的一項服務。它作為將域名和IP位址相互對映的一個分散式資料庫,能夠使人更方便地訪問網際網路。DNS使用TCP和UDP埠53[1]。當前,對於每一級域名長度的限制是63個字元,域名總長度則不能超過253個字元。
開始時,域名的字元僅限於ASCII字元的一個子集。2008年,ICANN通過一項決議,允許使用其它語言作為網際網路頂級域名的字元。使用基於Punycode碼的IDNA系統,可以將Unicode字串對映為有效的DNS字元集。因此,諸如「XXX.中國」、「XXX.台灣」的域名可以在網址列直接輸入並訪問,而不需要安裝外掛程式。但是,由於英語的廣泛使用,使用其他語言字元作為域名會產生多種問題,例如難以輸入、難以在國際推廣等。
歷史[編輯]
DNS最早於1983年由保羅·莫卡派喬斯(Paul Mockapetris)發明;原始的技術規範在882號網際網路標準草案(RFC 882)中發布。1987年發布的第1034和1035號草案修正了DNS技術規範,並廢除了之前的第882和883號草案。在此之後對網際網路標準草案的修改基本上沒有涉及到DNS技術規範部分的改動。
早期的域名必須以英文句號.結尾。例如,當使用者訪問維基百科的HTTP服務時必須在網址列中輸入:http://www.wikipedia.org.,這樣DNS才能夠進行域名解析。如今DNS伺服器已經可以自動補上結尾的句號 "域名系統 - 維基百科,自由的百科全書" https://zh.wikipedia.org/zh-tw/%E5%9F%9F%E5%90%8D%E7%B3%BB%E7%BB%9F
------------------
什麼是 DNS?
網域名稱系統 (DNS) 是網際網路的電話簿。人們透過 nytimes.com 或 espn.com 之類的網域名稱線上存取資訊。Web 瀏覽器透過網際網路通訊協定 (IP) 位址進行互動。DNS 將網域名稱轉換為 IP 位址,以便瀏覽器能夠載入網際網路資源。
連接到網際網路的每個裝置都有一個唯一 IP 位址,其他電腦可使用該 IP 位址尋找此裝置。DNS 伺服器讓人們無需儲存 192.168.1.1 (IPv4 中) 之類的 IP 位址或更複雜的新版字母數字 IP 位址,例如 2400:cb00:2048:1::c629:d7a2(IPv6 中)。
DNS——放大鏡檢查 IP 位址,找到 www.example.com
DNS 如何運作?
DNS 解析過程是指將主機名稱(例如 www.example.com)轉換為便於電腦使用的 IP 位址(例如 192.168.1.1)的過程。網際網路上的每個裝置都被分配了一個 IP 位址,必須有該位址才能找到相應的網際網路裝置——就像使用街道地址來尋找特定住所一樣。若使用者想要載入網頁,使用者在 Web 瀏覽器中輸入的內容 (example.com) 與機器方便使用的位址之間必須進行轉譯,才能讓機器找到 example.com 網頁。
為理解 DNS 解析過程,務必瞭解 DNS 查詢必須經過的不同硬體元件。對於 Web 瀏覽器而言,DNS 查詢是「在幕後」發生的,除了初始要求外,不需要從使用者的電腦進行任何交互。
載入網頁涉及 4 個 DNS 伺服器:
DNS 遞迴程式 - 遞迴程式可視為被要求前往圖書館某處尋找特定書籍的圖書館員。DNS 遞迴程式是一種伺服器,其設計是為了透過 Web 瀏覽器等應用程式接收來自用戶端機器的查詢。通常遞迴程式隨後會負責進行其他請求,以便滿足用戶端的 DNS 查詢。
根名稱伺服器 - 根伺服器是將人們可讀的主機名稱轉譯(解析)為 IP 位址的第一個步驟。可將其視為指向不同書架的圖書館中的索引,通常作為對其他更具體位置的引用。
TLD 名稱伺服器 - 頂層網域名稱伺服器 (TLD) 可看做是圖書館中一個特殊的書架。此名稱伺服器是搜尋特定 IP 位址的下一步,其代管主機名稱的最後一部分(例如,在 example.com 中,TLD 伺服器為「com」)。
權威名稱伺服器 - 這個最終名稱伺服器可視為書架上的字典,其中特定名稱可轉譯為其定義。權威名稱伺服器是名稱伺服器查詢中的最後一站。如果權威名稱伺服器能夠存取請求的記錄,則其會將已請求主機名稱的 IP 位址傳回到發出初始請求的 DNS 解析程式(圖書館員)。
快速、安全的 DNS
所有 Cloudflare 方案中均包含免費 DNS
免費開始使用
權威 DNS 伺服器與遞迴 DNS 解析程式之間有何區別?
這兩個概念都是指 DNS 基礎架構不可或缺的伺服器(伺服器組),但各自執行不同的角色,並且位於 DNS 查詢管道內的不同位置。可以這樣來考慮二者之間的差異:遞迴解析程式位於 DNS 查詢的開頭,而權威名稱伺服器位於末尾。
遞迴 DNS 解析程式
遞迴解析程式是回應來自用戶端之遞迴請求的電腦,並花時間追蹤 DNS 記錄。為執行此操作,其發出一系列請求,直到其到達所請求記錄的權威 DNS 名稱伺服器(或者逾時,或者如果未找到記錄,則傳回錯誤)。幸運的是,遞迴 DNS 解析程式並不總是需要發出多個請求才能追蹤回應用戶端所需的記錄;快取是一種資料持久性過程,可透過在 DNS 查閱中更早地提供所請求的資源記錄,協助減少所需的請求數。
DNS 記錄請求序列——DNS 遞迴解析程式從用戶端獲取請求
權威 DNS 伺服器
簡言之,權威 DNS 伺服器是實際上保留並負責處理 DNS 資源記錄的伺服器。這是位於 DNS 查閱鏈底部的伺服器,其將使用所查詢的資源記錄進行回應,從而最終允許發出請求的 Web 瀏覽器達到存取網站或其他網頁資源所需的 IP 位址。權威名稱伺服器可以透過自己的資料滿足查詢,不需要查詢另一個來源,因為這就是特定 DNS 記錄的事實最終來源。
DNS 記錄請求序列——DNS 查詢到達 cloudflare.com 的權威名稱伺服器
值得一提的是,在查詢對象為子網域(例如 foo.example.com 或 blog.cloudflare.com)的情況下,將向權威名稱伺服器之後的序列新增一個附加名稱伺服器,其負責儲存該子網域的 CNAME 記錄。
DNS 記錄請求序列——對子網域 blog.cloudflare.com 的 CNAME 記錄進行 DNS 查詢
許多 DNS 服務與 Cloudflare 提供的服務之間存在一個關鍵區別。Google DNS、OpenDNS 等不同 DNS 遞迴解析程式以及 Comcast 等提供者均保持 DNS 遞迴解析程式的資料中心安裝。這些解析程式允許透過 DNS 最佳化電腦系統的最佳化叢集快速輕鬆地進行查詢,但它們與 Cloudflare 代管的名稱伺服器截然不同。
Cloudflare 維護網際網路功能不可或缺的基礎結構級名稱伺服器。一個主要範例是 Cloudflare 部分負責代管的 f-根伺服器網路。F 根是每天負責數十億個網際網路請求的根級 DNS 名稱伺服器基礎結構元件之一。我們的 Anycast 網路在處理大量 DNS 流量方面發揮著不可替代的作用,同時不會出現服務中斷。
DNS 查閱有哪些步驟?
在大部分的情況下,DNS 與轉譯為適當 IP 位址的網域名稱有關。要瞭解此過程的工作方式,在 DNS 查閱從 Web 瀏覽器經過 DNS 查閱過程然後再返回時,追蹤 DNS 查閱的路徑會有所幫助。現在來看看步驟。
注意:通常會在查詢電腦內部本機快取或在 DNS 基礎架構中遠端快取 DNS 查閱資訊。DNS 查閱通常涉及 8 個步驟。快取 DNS 資訊時,會在 DNS 查閱過程中略過步驟,以加快速度。以下範例概述了沒有快取任何內容時的所有 8 個步驟。
DNS 查閱的 8 個步驟:
使用者在 Web 瀏覽器中鍵入「example.com」,查詢傳輸到網際網路中,然後 DNS 遞迴解析程式接收該查詢。
接著該解析程式查詢 DNS 根名稱伺服器 (.)。
然後根伺服器使用儲存其網域資訊的頂層網域 (TLD) DNS 伺服器(例如 .com 或 .net)的位址回應該解析程式。搜尋 example.com 時,我們的請求會指向 .com TLD。
然後該解析程式向 .com TLD 發出請求。
TLD 伺服器隨後使用該網域的名稱伺服器 example.com 的 IP 位址進行回應。
最後,遞迴解析程式將查詢傳送到該網域的名稱伺服器。
接著 example.com 的 IP 位址從名稱伺服器傳回該解析程式。
然後 DNS 解析程式使用最初請求的網域的 IP 位址回應 Web 瀏覽器。
DNS 查閱的這 8 個步驟傳回了 example.com 的 IP 位址後,瀏覽器便能夠發出對該網頁的請求:
瀏覽器向該 IP 位址發出 HTTP 請求。
位於該 IP 的伺服器傳回將在瀏覽器中轉譯的網頁 (第 10 步)。
DNS 查閱和網頁查詢的 10 個步驟圖
什麼是 DNS 解析程式?
DNS 解析程式是 DNS 查閱的第一站,其負責與發出初始請求的用戶端打交道。解析程式會開始進行查詢序列,最終導致 URL 被轉譯為必要的 IP 位址。
注意:典型的未快取 DNS 查閱將涉及遞迴查詢和反覆查詢。
務必區分遞迴 DNS 查詢和遞迴 DNS 解析程式。該查詢是指向需要解析該查詢的 DNS 解析程式發出的請求。DNS 遞迴解析程式是一種電腦,其接受遞迴查詢並透過發出必要的請求來處理回應。
DNS 遞迴查詢從 DNS 用戶端前往 DNS 遞迴解析程式
DNS 查詢有哪些類型?
在一般的 DNS 查閱中,會發生三種類型的查詢。藉由使用這些查詢組合,最佳化的 DNS 解析流程可減少傳輸距離。在理想情況下,將可使用快取記錄資料,允許 DNS 名稱伺服器傳回非遞迴查詢。
3 種 DNS 查詢類型:
遞迴查詢 - 在遞迴查詢中,DNS 用戶端要求 DNS 伺服器 (一般為 DNS 遞迴解析程式) 使用所請求的資源記錄回應用戶端,或者如果解析程式無法找到該記錄,則傳回錯誤訊息。
反覆查詢 - 在這種情況下,DNS 用戶端將允許 DNS 伺服器傳回其能夠提供的最佳應答。如果所查詢的 DNS 伺服器與查詢名稱不相符,則其將傳回對較低等級網域名稱空間具有權威性的 DNS 伺服器的引用。然後,DNS 用戶端將對引用位址進行查詢。此過程繼續使用查詢鏈中的其他 DNS 伺服器,直至發生錯誤或逾時為止。
非遞迴查詢 - 一般當 DNS 解析程式用戶端查詢 DNS 伺服器以獲得其有權存取的記錄時會進行此查詢,因為其對該記錄具有權威性,或者該記錄存在於其快取記憶體內。一般 DNS 伺服器將快取 DNS 記錄,以防止更多頻寬消耗和上游伺服器上的負載。
什麼是 DNS 快取?DNS 快取發生在哪裡?
快取的目的是將資料臨時儲存在某個位置,從而提高資料請求的效能和可靠性。DNS 快取涉及將資料儲存在更靠近請求用戶端的位置,以便能夠更早地解析 DNS 查詢,並且能夠避免在 DNS 查閱鏈中進一步向下的額外查詢,從而縮短載入時間並減少頻寬/CPU 消耗。DNS 資料可快取在各個位置,每個位置均將儲存 DNS 記錄並儲存由存留時間 (TTL) 確定的一段時間。
瀏覽器 DNS 快取
新式 Web 瀏覽器被設計為預設將 DNS 記錄快取一段時間。目的很明顯;越靠近 Web 瀏覽器進行 DNS 快取,為檢查快取記憶體並向 IP 位址發出正確請求而必須採取的處理步驟就越少。為 DNS 記錄發出請求時,瀏覽器快取是針對請求記錄檢查的第一個位置。
在 Chrome 瀏覽器中,您可以切換到 chrome://net-internals/#dns 檢視 DNS 快取記憶體的狀態。
作業系統 (OS) 級 DNS 快取
作業系統層級 DNS 解析程式是 DNS 查詢離開機器之前的本機第二站和最後一站。作業系統內旨在處理此查詢的過程通常稱為「存根解析程式」或 DNS 用戶端。然後存根解析程式會取得來自應用程式的請求,這會先檢查自己的快取,以查看是否有記錄。如果沒有,則其將本機網路外部的 DNS 查詢(設定了遞迴標記)傳送到網際網路服務提供者 (ISP) 內部的 DNS 遞迴解析程式。
與先前所有步驟一樣,當 ISP 內的遞迴解析程式收到 DNS 查詢時,其還將檢視所請求的主機到 IP 位址轉換是否已經儲存在其本機持久性層中。
根據其快取記憶體中具有的記錄類型,遞迴解析程式還具有其他功能:
如果解析程式沒有 A 記錄,但確實有針對權威名稱伺服器的 NS 記錄,則其將直接查詢這些名稱伺服器,從而繞過 DNS 查詢中的幾個步驟。此捷徑可防止來自根和 .com 名稱伺服器的尋找(在我們搜尋 example.com 時)並協助 DNS 查詢解析更快發生。
如果解析程式沒有 NS 記錄,其將向 TLD 伺服器(在本例中為 .com)傳送查詢,從而跳過根伺服器。
萬一解析程式沒有指向 TLD 伺服器的記錄,其將查詢根伺服器。這種情況通常在清除了 DNS 快取記憶體後發生。
"dns 是什麼?如何運作解析懶人包 | Cloudflare" https://www.cloudflare.com/zh-tw/learning/dns/what-is-dns/
---------------------
一、DNS 是什麼?DNS 意思與 DNS 伺服器(DNS Server)介紹
DNS,英文全名為 Domain Name System,中文則稱為「網域名稱系統」,是將 IP 位址轉換為將常見網站地址的一套系統服務。
就像是現實生活中每棟建築物會對應一個地址,網際網路中所有電腦、智慧型手機、網站伺服器等各種裝置,也都擁有一串固定且唯一的數字「IP」位址,像是 168.95.1.1 (IPv4 位址) 或 2001:0db8:85a3:0000:0000:8a2e:0370:7334 (IPv6 位址),可以幫助電腦識別不同裝置在網路世界中的身分,並且讓不同裝置產生連線通訊時,不會找錯對象。
雖然 IP 位址能夠幫助網路設備辨識其他裝置,,但對使用者來說記憶這一長串數字極為困難,因此才會有 DNS 誕生,DNS 可以讓使用者可以透過簡單易記的域名來訪問網站,當使用者尋找網站時可以輸入「example.com」這種網域名稱,就能連線到正確的 IP 位址。
而 DNS 伺服器就是設有 IP 位址和網域地址轉換的資料庫電腦,舉例而言,就像是一本「網際網路的電話簿」。
現實中電話簿會將人名與電話號碼一一對應,而在 DNS 伺服器中,則是將網域名稱和 IP 位址一一對應。
使用者只要在瀏覽器中輸入網域名稱,DNS 伺服器就會自動檢索,並將使用者引導至相對的 IP 位址,讓使用者可以存取正確的網頁內容。
一旦 DNS 發生問題,如:設定錯誤、DNS Server 故障時,使用者輸入對應網址會無法看到正常的網站資料,因此正確設置 DNS 非常重要。
二、DNS 原理為何?4 步驟帶你掌握 DNS 運作流程說明
DNS 運作原理可以劃分為以下 4 大步驟:
DNS運作原理
STEP 1:使用者輸入網域名稱
當使用者在瀏覽器網址列輸入一個完整的網域名稱後,他的裝置會向所連接的網路服務供應商(ISP),也就是網路電信業者的 DNS 伺服器發出一個查詢請求。
STEP 2:本地 DNS 伺服器查詢
此時,網路服務供應商(ISP)的 DNS 伺服器會先檢查伺服器內部的快取資料,查看是否已經儲存有該網域名稱的解析結果。
若有相關記錄,就直接進行STEP 4, 將對應的 IP 位址回傳到使用者的裝置,讓其能連接到目標網站;如果沒有找到,則進入 STEP 3。
STEP 3:進入其他 DNS 伺服器查詢
如果網路服務供應商的本地 DNS 伺服器沒有快取記錄,它將請求轉發至更上一層的 DNS 伺服器,這一過程會一直持續,直到查詢到根DNS伺服器或找到有效的IP位址。每一層DNS伺服器都會嘗試在其快取中尋找此域名的紀錄,如果找不到就會繼續向上遞送查詢,直到找到對應 IP 或最高層級為止。
STEP 4:返回 IP 位址
一旦任一級別的 DNS 伺服器查找到網域名稱對應的 IP 位址,該位址將被回傳到起始的本地DNS 伺服器,然後再回傳至使用者的裝置上。使用者的裝置收到 IP 位址後,將建立連接並訪問對應的伺服器,讓使用者能正常瀏覽網頁內容。
若所有層級的 DNS 伺服器經過查詢後,仍無法解析該網域名稱,則最終將向使用者回傳一個查詢失敗的錯誤訊息。
三、DNS 伺服器種類有哪些?4 種 DNS 伺服器服務類型說明
(一)網頁載入解析過程中經歷的 4 個 DNS 伺服器
4個DNS伺服器
1. DNS 遞迴程式
DNS 遞迴程式雖然名稱為程式,實際上它是一種伺服器。當使用者輸入網域名稱後,DNS 遞迴解析程式負責在不同的DNS伺服器間遞迴查詢對應的IP位址,最終將查詢結果返回給使用者。
以在圖書館中尋找書籍為例,可以將 DNS 遞迴程式視為圖書館中專門負責尋找藏書的管理員,無論有沒有找到書籍,管理員最終都會向讀者回報結果。
2. 根網域名稱伺服器
根網域名稱伺服器是 DNS 查詢的第一步,當 DNS 遞迴程式接收到查詢請求時,它會先聯繫根網域名稱伺服器進行查詢。
根網域名稱伺服器可比喻為圖書館中的大類別書籍分類指示,例如哲學、宗教、文學等大分類方向,這有助於 DNS 遞迴伺服器確定下一步查詢的具體方向。
3. 頂層網域名稱(TLD)伺服器
頂層網域名稱(TLD)伺服器是查找 IP 的第二步,類似於在圖書館找書,確認大方向是「文學」後,進一步細分為東方文學、西方文學、詩詞戲劇等子類別。
4. 權威名稱伺服器
在確認具體的子類別後,查詢進入最後階段至「權威名稱伺服器」。權威名稱伺服器負責存儲具體網域名稱和其對應 IP 位址。DNS 遞迴程式將從這裡找到所需的 IP 位址,並將其回傳給使用者。
(二)遞迴 DNS 與權威 DNS 差別為何?
遞迴 DNS 和權威 DNS 是域名解析過程中兩個關鍵的伺服器類型,兩者的工作內容不同,它們在處理網域名稱的解析中,扮演著不同但互補的角色:
遞迴 DNS:遞迴 DNS 主要作為使用者與 DNS 查詢系統之間的橋樑。當使用者嘗試訪問一個網站時,遞迴 DNS 會先檢查其快取紀錄,以快速回應使用者的查詢。這些快取紀錄包括之前查詢過的網誌名稱及其對應的 IP 位址,能夠大幅提升解析速度。如果遞迴 DNS 中沒有相應的快取資料,它會向上一級的 DNS 伺服器發出查詢,逐級向上直至達到權威 DNS 伺服器,從中獲取所需的紀錄。
權威 DNS:權威 DNS 負責儲存關於網域名稱及其對應IP位址的官方紀錄。當遞迴 DNS 伺服器將查詢傳遞到權威 DNS 時,權威 DNS 會檢查其數據庫,找出網域名稱對應的IP位址,再將這個訊息回傳給遞迴 DNS 。之後,遞迴 DNS 再將這個 IP 位址回傳給最初發起查詢的使用者裝置。
四、DNS 快取如何幫助使用者更快解析 IP 位址?
DNS 快取的概念是指將網域名稱與其對應的 IP位址,暫時存儲在特定位置,這樣當同一個域名名稱再次被查詢時,系統可以直接從快取中取得資訊,而不必重新進行網域名稱解析過程。 這種機制不僅加快了網域名稱解析的速度,也能有效減少使用者等待時間、網路頻寬與 CPU資源的消耗。
常見的 DNS 快取存放位置主要有以下兩個:
(一)瀏覽器 DNS 快取
瀏覽器會在本地快取用戶近期訪問或頻繁瀏覽的網站 IP 位址。這樣當用戶在次訪問這些網站時,提高瀏覽器的處理效率,同時減少解析過程中的等待時間,加速使用者的連線速度。
(二)作業系統 DNS 快取
作業系統 DNS 快取是指儲存在使用者電腦或裝置中的 DNS 記錄,DNS 在發送查詢請求前,系統會先檢查本地DNS快取中,是否有所需的網域名稱。若有相關記錄,系統便直接使用該紀錄,無須再向上一級的網路服務供應商或其他 DNS 伺服器發出查詢請求。
五、DNS 代管與自管的差異為何?
對任何企業或品牌而言,在架設完官方網站或電商網站後,配置適當的 DNS 設定是關鍵步驟之一,DNS 負責將人類可讀的網域名稱轉換為機器可讀的 IP 位址。
這項設定主要有兩種方式:「DNS 自管」(自我管理)與「DNS 代管」(委託管理)2 種。
「DNS 自管」代表企業自行建置並維護 DNS 伺服器。這種方式允許企業完全控制其 DNS 解析過程,但同時需要投入額外的硬體成本和專業人力來管理與維護,因此許多企業都會選擇 DNS 託管服務。但對於需要高度客製化或有特殊安全需求的大型企業來說,這是一種可行的選擇。
而 DNS 代管又可以分為兩種代管方式:
網域服務商代管:大多數企業購買網域時,網域註冊商會提供基礎的 DNS 服務。這允許企業直接在網域註冊商提供的管理後台中設定 DNS,將網域指向指定的 IP 位址。這種方式簡化了管理的流程,企業無須擔心技術性的維護和更新。
第三方服務商代管:企業亦可選擇將 DNS 管理工作委託給專業的第三方服務商代管 DNS。這些服務商不僅提供 DNS 解析服務,還可能包含增強的安全防禦功能,像是提供防禦DDoS(分散式阻斷服務)攻擊服務等,進一步確保企業網站和伺服器的安全性。
網路攻擊無所不在,您的伺服器安全不容忽視!點擊下方按鈕,立即連繫我們,讓您的伺服器遠離各種網路威脅!
立即諮詢
六、DNS 設定教學全攻略!常見紀錄類型、設定步驟、查詢方法一次看!
接著將帶大家深入了解 DNS 的常見紀錄類型、設定步驟及查詢方法,讓您輕鬆掌握網域解析的技術細節。
(一)DNS 常見紀錄類型有哪些?
DNS 系統中有多種紀錄類型,每一種都有其特定的功能,以下是 DNS 中常見的 9 種紀錄類型:
A 紀錄(Address Record):又稱為「地址紀錄」(或主機紀錄),用於將網域名稱連結到實際 IPv4 位址,使瀏覽器可以根據網域找到伺服器的正確位置, 例如: www.google.com 指向 74.125.19.147。
AAAA 紀錄:類似於 A 紀錄,但它將網域名稱設定到 IPv6 位址。
CNAME 紀錄(Canonical Name Record):用於將別名指向正確的網域名稱,例如讓 www.example.com 指向 example.com。
MX 紀錄(Mail Exchange Record):將網域的電子郵件導至指定使用者帳戶的伺服器,確保信件能正確發送到指定電子信箱。
NS 紀錄(Name Server Record):指定網址的 DNS 伺服器名稱,成為網域名稱與伺服器間的連結。
TXT 紀錄:存放任意文字資訊,有多種用途,比如用於驗證驗證網域擁有權,或防止垃圾郵件的安全措施。
PTR 紀錄(Pointer Record):是指反向解析 A 紀錄,將 IP 位址對應到網域名稱, 例如:74.125.19.147 指向 www.google.com ,適合有獨立 IP 的網站。
SRV 紀錄:定位特定服務的伺服器資訊,如 VoIP(一種透過網路打電話或視訊的方法)。
SOA 紀錄(Start of Authority Record):記錄有關網域或區域的重要資訊,包括主名稱伺服器、上次更新網域的時間等。
(二)DNS 怎麼設定?從安裝到設定步驟報你知!
DNS 設定通常需要透過網域註冊商提供的後台來進行,因此每個平台介面會略有不同,步驟如下:
登入管理平台
選擇要設定的網域,或找到 DNS 網址設定的區塊
依據個人需求,選擇採用 DNS 代管或 DNS 自管
DNS代管:可能需要設定主機名稱、IP 位址、DNS 型態、參數
DNS自管:可能需要輸入多台的 DNS Server Name 名稱、IP 位址
而如果是企業級網路伺服器,使用 Windows Server 安裝及設定 DNS 伺服器,可參考以下步驟:
【安裝 DNS 伺服器】
從 Windows 桌面開啟「開始」功能表,然後選取「伺服器管理員」
按一下「管理」,選取「新增角色和功能」,選取「下一步」
選取「角色型或功能型安裝」選項,選取「下一步」
保留預設選項,選取「下一步」
在「選取伺服器角色」頁面上,勾選「DNS 伺服器」核取方塊,選取「下一步」
系統會提示您新增 DNS 伺服器所需的功能,如果滿意預設值,請選取「新增功能」
在「選取功能」頁面上,您可以保留預設選項,點選「下一步」
檢閱角色描述和要注意的事項,選取「下一步」繼續
檢閱選取的角色和功能,選擇「安裝」
安裝完成後,不需要重新開機
【設定 DNS 伺服器】
安裝 DNS 伺服器角色後,就可以進一步設定伺服器。
開啟「開始」功能表,選取「Windows 系統管理工具」>「DNS」
選取並按住您的伺服器(或以滑鼠右鍵按一下),然後選取「屬性」
若要限制 DNS 伺服器使用特定 IP 位址,請選取「僅下列 IP 位址」
選取您想要使用的 IP 位址,然後選取「確定」
(三)如何查詢 DNS 是否設置正確?
DNS 設定完成後,通常等候 24~48 小時即可生效,可以透過以下幾種簡單的方法檢查 DNS 設置是否成功:
使用 Mac 的 CMD 檢查: 在 Mac 電腦上打開「終端機」,輸入 nslookup 指令,並輸入型態和網址,以確認域名是否正確解析到設定的 IP 位址。
線上免費 DNS 查詢工具: 您可以使用像「DNS 網域名稱線上查詢」 或「nslookup.io」 這些線上工具,來查詢 DNS 是否已經在全球生效,並顯示每個位置的解析結果。(請注意,輸入網址時,不可輸入 www(主機名稱)喔!)
七、DNS 伺服器會受到哪些攻擊?DNS 攻擊手法解析
不論是自架或託管的 DNS 伺服器,都有可能會因為惡意的網路攻擊,導致使用者無法正確轉換 DNS 位置,對企業與使用者造成負面影響。
以下帶大家認識常見的 DNS 攻擊手法:
➤ DNS 洪水攻擊
DNS 洪水攻擊是 DDoS 攻擊的一種,攻擊者會操控多個不同的 IP 向 DNS 伺服器發起查詢請求,這些請求所輸入的網域名稱不一定是真實的,目的只是為了讓 DNS 伺服器的流量被佔用,甚至癱瘓,讓正常使用者無法向 DNS 發起正常的連線查詢。
舉例而言,DNS 洪水攻擊就像大量顧客同時湧入餐廳點餐,造成餐廳產能無法負荷,只能暫時停止接單。
除了 DNS 洪水攻擊外,還有另一種針對 DNS 的 DDoS 攻擊手法,稱為「DNS 放大攻擊」。
延伸閱讀:流量清洗是什麼?抵擋DDoS攻擊的原理及多重防禦策略一次看
➤ DNS 放大攻擊
DNS 放大攻擊是利用 DNS 協議漏洞來達到癱瘓伺服器的攻擊模式,攻擊者會偽造受害者的 IP 位址,向 DNS 伺服器傳送大量的查詢請求,讓伺服器解析這些請求後,把回應傳送到受害者的裝置上,讓受害者的系統或裝置被大量回應佔據頻寬與資源,導致癱瘓。
舉例而言,DNS 放大攻擊就像是惡意人士冒名受害者的身份,向餐廳下訂大量餐點後,留下受害者的聯絡資訊,餐廳備完餐點後,才發現並不是受害者訂的餐點。
想知道如何保護伺服器,避免受到網路攻擊嗎?歡迎查看👉防火牆是什麼?認識防火牆運作原理、功能及常見的防火牆種類介紹
DNS 攻擊不容小覷!還在為伺服器安全問題煩惱嗎?點擊下方按鈕,立即連繫我們,騰雲運算提供您最全面的網路安全解決方案,讓您的伺服器遠離駭客威脅!
八、DNS 攻擊的最佳防禦夥伴|騰雲運算 DDoS 防禦系統
擔心 DNS 伺服器被惡意攻擊嗎?騰雲運算提供優質的 DDoS 攻擊防禦系統,利用智能 DNS 感知監控系統,實時監測網路安全狀況,自動識別並清洗 L4/7 層的 Tb 級流量攻擊,能有效防禦高達 30 億連線次數的 CC 攻擊
騰雲運算深耕 Anti-DDoS 防禦多年,在全球部署全球佈署的流量清洗中心,服務超過 200 家亞洲客戶,提供二次或三次流量清洗服務,全方位的網路安全防護,深獲客戶肯定與信任。
隨著網路攻擊手法日益複雜,DDoS/CC 攻擊也越來越頻繁。騰雲運算的 DDoS/CC 防禦服務涵蓋了多種方案,可以滿足不同企業的需求。我們還提供 7 天 24 小時的專業技術支援,幫助企業快速解決突發狀況,打造堅固的網路安全防護網。
"DNS是什麼?DNS運作流程、設定教學、攻擊手法全解析!" https://www.skycloud.com.tw/news/38
