DNSSEC MITM 攻击

Question 1

MITM 并非不可能，只是需要付出更多努力。由于 Keith 和 Nik 指出的完整性验证过程，您不仅需要欺骗目标 example.com 域，还需要欺骗 .com 和 .（一旦签名）。这意味着简单的缓存投毒将不再有效，您必须完全颠覆目标的整个解析器流。

它在很多方面都与 SSL 类似。根域具有委托签名者记录，用于验证子域（在本例中为 .com）解析器是否确实是正确的解析器。对每个子域重复此过程，直到获得主机名。实际验证过程反向进行，即沿着树向上直到到达未签名的级别并从那里进行验证。DNS 攻击者必须伪造整个解析器树直至签名的根（无论是 .com 还是 .）才能成功。这就是为什么获得 DNS 根签名是如此重要的原因。

DNSSEC 提高安全性的很大一部分原因是使恶意数据更难输入到解析器缓存中，并提高对在客户端和合法解析器之间玩弄 DNS 交易过程的抵抗力。即使使用 DNSSEC，完全受感染的 DNS 服务器仍会返回恶意数据，而在线重写 DNS 请求的内联代理必须伪造每个 DNS 请求，而不仅仅是伪造预期的请求，但这是一个更难解决的问题；而且一开始就更难实施。

Answer

MITM 并非不可能，只是需要付出更多努力。由于 Keith 和 Nik 指出的完整性验证过程，您不仅需要欺骗目标 example.com 域，还需要欺骗 .com 和 .（一旦签名）。这意味着简单的缓存投毒将不再有效，您必须完全颠覆目标的整个解析器流。

它在很多方面都与 SSL 类似。根域具有委托签名者记录，用于验证子域（在本例中为 .com）解析器是否确实是正确的解析器。对每个子域重复此过程，直到获得主机名。实际验证过程反向进行，即沿着树向上直到到达未签名的级别并从那里进行验证。DNS 攻击者必须伪造整个解析器树直至签名的根（无论是 .com 还是 .）才能成功。这就是为什么获得 DNS 根签名是如此重要的原因。

DNSSEC 提高安全性的很大一部分原因是使恶意数据更难输入到解析器缓存中，并提高对在客户端和合法解析器之间玩弄 DNS 交易过程的抵抗力。即使使用 DNSSEC，完全受感染的 DNS 服务器仍会返回恶意数据，而在线重写 DNS 请求的内联代理必须伪造每个 DNS 请求，而不仅仅是伪造预期的请求，但这是一个更难解决的问题；而且一开始就更难实施。

Question 2

这篇文章对此进行了解释. 简要概述：什么是 DNSSEC？

DNSSEC 是一项拟议的互联网标准，它修改了 DNS 资源记录和协议，为域名解析器和域名服务器之间的查询和响应事务提供安全性。具体来说，DNSSEC 提供的安全性包括：
完整性验证：DNS 解析器可以确定从名称服务器收到的信息在传输过程中未被篡改。源认证：DNS 解析器可以确定收到的信息源自权威名称服务器。
经过身份验证的拒绝存在：DNS 解析器可以验证特定查询是否无法解析，因为权威名称服务器上实际上不存在 DNS 记录

Answer

这篇文章对此进行了解释. 简要概述：什么是 DNSSEC？

DNSSEC 是一项拟议的互联网标准，它修改了 DNS 资源记录和协议，为域名解析器和域名服务器之间的查询和响应事务提供安全性。具体来说，DNSSEC 提供的安全性包括：
完整性验证：DNS 解析器可以确定从名称服务器收到的信息在传输过程中未被篡改。源认证：DNS 解析器可以确定收到的信息源自权威名称服务器。
经过身份验证的拒绝存在：DNS 解析器可以验证特定查询是否无法解析，因为权威名称服务器上实际上不存在 DNS 记录

DNSSEC MITM 攻击

答案1

答案2

相关内容