当我注册域名并更新 DNS 记录时,这些更改会传播到世界各地的其他 DNS 服务器。但是,接受这些更改的服务器如何知道它们可以信任这些更改?它们如何确保不是犯罪分子通过更改 DNS 记录将流量从 example.com 重定向到其恶意软件网站?
答案1
- DNS 的传播方式可能和您想象的不一样。唯一的“传播”是在对域具有权威性的服务器内(即 com.TLD)。
- 只有注册商可以更新 TLD NS 和 Glue 记录。它会跟踪当前注册域名的注册商。
- 对记录完整性的验证极少,这就是为什么缓存中毒以及各种其他类似攻击成为可能的原因。DNSsec 试图解决这个问题,但采用率一直慢的。