主机文件黑名单仅通过将特定域映射到远离其预期目标（通常为本地）来提供保护。这不会阻止IP 或数据传输，只是查找 IP。我想说附加值很小，特别是如果您使用 AdBlock 或 Ghostery 等本地阻止功能。如果您想将“已知威胁”列入黑名单，请使用具有维护良好列表的 IP 阻止软件。如果您想完全安全，请拔下以太网电缆。

正如您所指出的，它会导致 DNS 查找速度大幅下降（它会线性解析 DNS 缓存未命中的文本文件）。那是因为主机文件从未打算用作黑名单。

编辑：这是使用 Windows 防火墙阻止 IP 的脚本：http: //www.sans.org/windows-security/2011/10/25/windows-firewall-script-block-addresses-network-ranges

如果不出意外，将已知站点列入黑名单会消除日志中的噪音，因此更容易发现真正的威胁。

我说是的，使用主机文件有一个附加值。以下是一些好处：

1. 寻找可疑流量时需要搜索的日志更少。
2. 大多数员工不知道主机文件是什么，因此您也可以在那里阻止到 Facebook 等的流量。加在防火墙上，但主机文件会显示“无法显示”错误，而不是被防火墙阻止。这阻止了大多数用户试图找到“绕过”该块的方法。
3. 使用较少的带宽，因为它会阻止大多数广告（这也可以防止广告中毒）。

就我个人而言，我在符合 HIPAA 要求的环境中使用此结构，以及防火墙上的 AV (Kaspersky) 和本地计算机上的 AV (AVG)。我特意选择了 2 种不同的防病毒程序，因为永远无法治愈，特别是对于 0Day、1Day 等感染，因此阻止它的可能性更高。

此外，大多数体面的防火墙都有某种 GEO IP 过滤来阻止来自特定国家的所有流量。它不会阻止所有攻击，但它大大减少了我在凌晨 3 点收到的 IDS 警报数量，所以我是 GEO IP 阻止的粉丝。

为了减少部署的劳动强度，如果连接到域控制器，您可以使用登录脚本复制主机文件，或者我只是编写了一个批处理文件，我运行如下：

copy hosts \\192.168.1.2\c$\windows\system32\drivers\etc
copy hosts \\192.168.1.3\c$\windows\system32\drivers\etc
copy hosts \\192.168.1.4\c$\windows\system32\drivers\etc
copy hosts \\192.168.1.5\c$\windows\system32\drivers\etc

等等。

对于仍然存在的旧 Win2000/NT 盒子，请使用：

copy hosts \\192.168.1.6\c$\winNT\system32\drivers\etc

只需替换 IP 并验证您是否有权访问机器上的管理员共享。对我来说，更新近 60 台机器大约需要 2 分钟。