DNSSEC——它不涵盖什么?

DNSSEC——它不涵盖什么?

我目前正在准备与 DNS/DNSSEC 相关的考试。

虽然我知道 DNSSEC 为 DNS 提供了各种安全增强功能,但我想深入了解一下(因为我自己对知识的渴求!),并且想知道即使使用 DNSSEC 后在安全方面仍然存在什么问题?毕竟它不可能解决 DNS 在安全方面遇到的所有问题,对吧?

谢谢

答案1

DNSSEC 无法解决的主要问题是:

  1. 在主服务器插入虚假数据 - 如果有人入侵您的 DNS 运营商,理论上他们可以插入使用您自己的密钥签名的虚假数据。

  2. DNS 查询加密 - 查询内容和结果答案在网上传输时仍为明文

前一个问题目前尚未解决。后一个问题实际上并不被视为真正的安全问题,因为许多人无论如何都愿意让第三方(Google、OpenDNS 等)查看他们的 DNS 查询。

答案2

这取决于您对“安全”的定义。如果我们使用“CIA 三要素” - 机密性、完整性和可用性,DNSSEC 仅适用于(并且是为)第二个要素而设计的:完整性。

答案3

这个问题实际上应该是“DNSSEC 起什么作用?”

回答这个问题,DNSSEC 是一种验证您从服务器获取的数据是否合法的方法。记录使用私钥签名,然后可以使用记录集中发布的公钥进行验证。

它不会加密记录以阻止人们看到它们(DNS 的全部意义在于分发这些信息供公众使用,所以在大多数情况下这并不是一个问题)。

它也不能防御 DDoS 攻击、反射攻击、放大攻击等。

您也可以参考RFC 3833,域名系统威胁分析了解更多信息。

答案4

你可能会发现这次讨论有趣的。

相关内容