深入解析臺灣 DNS RPZ 網路封鎖與解鎖策略

前言

藝人黃子佼近期捲入桃色風波，該事件引發廣泛關注並促使媒體報導「創意私房已關閉」的消息。許多出於好奇心嘗試訪問該網站的使用者，卻發現其網址遭到劫持，最終被導向台灣網路資訊中心（TWNIC）設置的封鎖頁面。

台灣網路資訊中心（Taiwan network information center，TWNIC）是管理臺灣網域（.tw、.台灣）與 IP 位址的機構，負責網路資源分配、技術教育推廣、國際合作及網路安全發展。

網路自由

網路本質上是自由的，這裡所謂的自由指的是使用者能夠連線到任意網站。然而，受到法規限制的影響，政府可能會控制或禁止部分特定網頁的存取。例如，在中國大陸，常見的被封鎖對象包括 Google、YouTube、Facebook、維基百科等…。

網絡自由並不意味著對色情、賭博、盜版等行為的容忍或鼓勵，尤其當這些活動建立在剝削他人痛苦或侵犯他人權益的基礎上時。這些行為本質上就不應受到支持或許可，且若有人因接觸此類內容而進一步涉入犯罪或非法活動，將可能引發更嚴重的社會問題。

而臺灣早在 2013 年，因應國內外部分網站提供侵權內容的情況，智慧財產局曾建議國內 ISP 採用 DNS 或封鎖 IP 的方式進行阻擋，但最終未能落實。

在近期新聞媒體的渲染下，當使用者點選創意私房時，便會發現其網址被轉導至封鎖頁面。事實上，自 2020-03-30 日起，TWNIC（財團法人台灣網路資訊中心）召開了第一次 DNS RPZ 會議，並透過 DNS 等方式進行網路封鎖持續至今。

被 TWNIC 封鎖的頁面

回應政策區域（DNS RPZ）

什麼是 DNS RPZ

域名系統回應政策區域（domain name system response policy zone，DNS RPZ）是一項由互聯網系統聯盟開發的技術，旨在於 DNS 伺服器層級實現網址過濾機制。

RPZ 允許網路管理員在 DNS 伺服器中配置特殊的回應政策區域，當查詢涉及受限制的網域名稱時，該 DNS 伺服器將依據預設策略，回傳指定的 IP 位址或錯誤訊息，藉此將流量重定向或阻斷，從而有效防範訪問惡意網站、釣魚網站或政治不正確的內容。

舉例而言，若使用者欲瀏覽 NSFW.com，其正確 IP 位址為 1.2.3.4，但若該網域已被列入中華電信（DNS 伺服器 IP：168.95.1.1）的 RPZ 過濾名單中，DNS 解析後將回傳 NXDOMAIN 或被重定向至特定 IP 位址，導致無法正常取得該網站內容。

相對地，若將 DNS 伺服器改為使用未參與 RPZ 過濾的公共 DNS 服務（如 CloudFlare 的 1.1.1.1），則在解析 NSFW.com 時不受過濾名單影響，能夠正常解析並取得該網站的原始內容。

DNS RPZ 的工作原理

誰使用了 TWNIC 的 RPZ？

根據 2024/04 擷取自 TWNIC (網址已失效) 的資料，目前已參與該機制的成員包括：

教育部（Ministry of Education Republic of China）
中華電信（Chunghwa Telecom）
台灣碩網（So-net Taiwan）
宏遠電訊（SaveCom International）
中嘉和網（KBT）
大台中數位有線電視（VeeTIME Corp.）
天外天數位有線電視（TWT Digital Communication Corporation）
正源科技（Yulon IT Solutions）
台灣固網（台灣大哥大）（Taiwan Fixed Network）
新世紀資通（遠傳）（New Century InfoComm Tech，NCIC）
亞太電信（Asia Pacific Telecom，APT）
台灣之星（Taiwan Star Telecom，T Star）
三大有線電視（SAN DA CATV）
公共電視（Public Television Service，PTS）
統一資訊（President Information）

換言之，如果使用的是中華電信、台灣固網、遠傳等網路服務，其預設的 DNS 伺服器皆會透過 RPZ 進行過濾。

RPZ 安全嗎？

域名解析的核心功能在於將網址轉換成相應的 IP 位址。當我們將網址提交給 DNS 伺服器時，該伺服器僅會記錄使用者請求的域名，而不會接觸到網頁內容或傳輸的敏感資訊（例如密碼、個人資料）。DNS 伺服器會回傳經過過濾或確認安全的 IP 位址，確保使用者能夠安全地連線。

例如，當使用者嘗試瀏覽 NSFW.com，若其域名遭到劫持而回傳 150.242.101.120，瀏覽器將比對該連線的憑證。若憑證與預期域名不一致或連線使用 HTTP 協定，則會顯示不安全提示。使用者若選擇忽略警告，則最終會被重定向到 TWNIC 設置的封鎖頁面。

此外，若電腦的「受信任根憑證」遭竄改，即使域名被劫持且信任了可疑憑證，瀏覽器也可能無法發出有效警告，從而使攻擊者得以執行中間人攻擊（MITM），進一步攔截和解析所有網頁傳輸內容，實施更精確的封鎖。因此，在使用公共電腦時，建議避免進行登入等敏感操作，以降低安全風險。

被劫持下憑證不匹配的警告

瀏覽 NSFW.com，被 DNS 劫持

如何避免網路封鎖

上述內容說明，實際上只是 DNS 解析中被套用一層 RPZ 而已。若要正常瀏覽網站，建議不要使用這些機構預設所提供的 DNS 伺服器。較新一代的系統可以透過設定 DNS over HTTPS（DoH）來防範攻擊者偽造 DNS 訊息。從網路管理員的角度來看，DoH 流量會與其他 HTTPS 流量相同，進而使網管更難追蹤使用者瀏覽的網頁。

瀏覽器端

步驟 1：開啟瀏覽器的設定

右上角開啟瀏覽器設定

步驟 2：搜尋並輸入 DNS，填入 DoH 網址後，即可正常解析網頁。

輸入 DNS 後，右方找到 DoH 的欄位並更改設定

手機端

在手機裝置上，大部分新系統均支援 DNS over HTTPS（DoH）。以 iPhone 為例，可透過安裝 mobileconfig 設定檔 來啟用此功能。安裝完成後，手機所有流量將透過指定的 DNS 伺服器進行解析，您可以選擇 Google、Cloudflare 或 Quad9 等公認的 DNS 伺服器。

點擊上述連結後，選擇允許安裝描述檔。
前往系統中的「設定」→「一般」→「VPN 與裝置管理」。
在「已下載的描述檔」中，找到 Cloudflare DNS over HTTPS 描述檔，然後點選右上角的「安裝」。
進入「DNS」設定，將「自動」切換為「Cloudflare DNS over HTTPS」。

完成以上步驟後，您的手機將以 DoH 方式查詢域名，有效避免 DNS 劫持並提升使用者隱私保護。

備註： 請注意，DNS over HTTPS（DoH）僅為加密 DNS 查詢的技術，並不等同於虛擬私人網路（VPN）。

結論

網路審查是一項極為複雜的議題，涉及政府、企業與使用者之間的持續對抗。以中國大陸為例，使用者冒著違法風險利用 VPN，並結合各種加密協定（如 Shadowsocks、V2ray、Trojan、Hysteria、Juicity、WireGuard、Snell）進行翻牆；而在臺灣，市面上充斥著各式 VPN 服務，付費訂閱後即可繞過相關限制，最終僅使 VPN 供應商、中繼商與 VPS 供應商獲利。

此外，盜版商的網站 NSFW.com 一旦遭封鎖，對方只需更換為 NSFW.ai 或 NSFW.io，即可讓政府難以及時封鎖。甚至透過 Telegram、Line、Facebook 與各類私密群組分享、販售該類內容，使得封鎖措施形同虛設。正如新聞媒體渲染的「創意私房已關閉」訊息，反而令更多人認識該網站。

成人內容產業涉及廣泛的倫理與法律問題，但當市場需求存在時，即使花費巨額資金取得內容，產業仍難以徹底瓦解。真正的解決之道在於釋出高額獎金以捉拿幕後操控者（例如拍攝者或詐騙廣告投遞者），並實施嚴格法律制裁；對於屢次違規者，則採取全面封鎖措施。

然而，色情產業是否能夠真正根除仍存疑問：想觀看的人總能找到方法，甚至不惜支付更高金額獲得內容。值得一提的是，Apple 於 2021 年曾提出兒童性虐待素材（child sexual abuse material，CSAM）檢測系統，計劃透過比對使用者 iCloud 照片與兒童保護組織提供的已知 CSAM 圖片雜湊值來偵測相關素材，但最終因爭議與準確性問題而未獲推行。

期盼未來能有更完善的措施，減少因脅迫而拍攝的不良影片與缺乏內容、沒營養價值的詐騙垃圾廣告，讓這個世界變得更加美好。