DNSsec 旨在阻止哪些黑客攻击

Question 1

有关 DNS 相关威胁的良好介绍RFC3833基本上，DNSSEC是确保您连接的服务器确实合法的方法之一。但是，它只是一层安全措施，本身并不令人满意：它无法阻止将您的流量重新路由到其他地方，也无法解释未加密的数据包。

如今 DNS 的主要缺点是它必须在两端都得到支持。如果客户端也没有实现 DNS，它不会让您的 DNS 更安全。例如，如果没有第三方验证器，Web 浏览器就不会检查 DNSSEC，例如DNSSEC/TLSA 验证器来自 CZ.NIC。

DNSSEC 有点被 SSL 证书所掩盖，因为 SSL 解决的问题比 DNSSEC 多得多。SSL 证书无法解决的一个问题是恶意证书颁发机构或获取证书时身份确认不当，这两种情况都可能导致向错误的实体颁发有效且链式的证书。这可能是您正在寻找的一个示例案例。

因此，DNSSEC和SSL的结合使得伪造证书变得更加困难。特许公认会计师协会DNSSEC 签名区域中的记录证书必须在两个独立链中授权。恶意方不太可能同时访问它们。如果您同时实现这两个并强制您的客户端要求它们，那么您就是在以一种有用的方式使用 DNSSEC。

Answer

有关 DNS 相关威胁的良好介绍RFC3833基本上，DNSSEC是确保您连接的服务器确实合法的方法之一。但是，它只是一层安全措施，本身并不令人满意：它无法阻止将您的流量重新路由到其他地方，也无法解释未加密的数据包。

如今 DNS 的主要缺点是它必须在两端都得到支持。如果客户端也没有实现 DNS，它不会让您的 DNS 更安全。例如，如果没有第三方验证器，Web 浏览器就不会检查 DNSSEC，例如DNSSEC/TLSA 验证器来自 CZ.NIC。

DNSSEC 有点被 SSL 证书所掩盖，因为 SSL 解决的问题比 DNSSEC 多得多。SSL 证书无法解决的一个问题是恶意证书颁发机构或获取证书时身份确认不当，这两种情况都可能导致向错误的实体颁发有效且链式的证书。这可能是您正在寻找的一个示例案例。

因此，DNSSEC和SSL的结合使得伪造证书变得更加困难。特许公认会计师协会DNSSEC 签名区域中的记录证书必须在两个独立链中授权。恶意方不太可能同时访问它们。如果您同时实现这两个并强制您的客户端要求它们，那么您就是在以一种有用的方式使用 DNSSEC。

Question 2

我想说，它本质上可以归结为您已经提到的内容。

如果在两端（验证解析器和签名区域）都实施了 DNSSEC，那么 DNSSEC 可以防止中间人在未被发现的情况下更改响应，还可以避免非 MITM 攻击者可能获胜的风险，对于未经身份验证的数据，这只不过是在真正的响应到达之前猜测端口和交易 ID 的简单竞赛。

拥有经过正确验证的数据还可以将 DNS 用于其他更依赖于能够真正信任数据的事情，例如丹尼（TLSA），SSH 指纹（SSHFP）， ETC。

Answer

我想说，它本质上可以归结为您已经提到的内容。

如果在两端（验证解析器和签名区域）都实施了 DNSSEC，那么 DNSSEC 可以防止中间人在未被发现的情况下更改响应，还可以避免非 MITM 攻击者可能获胜的风险，对于未经身份验证的数据，这只不过是在真正的响应到达之前猜测端口和交易 ID 的简单竞赛。

拥有经过正确验证的数据还可以将 DNS 用于其他更依赖于能够真正信任数据的事情，例如丹尼（TLSA），SSH 指纹（SSHFP）， ETC。

相关内容