DNSSEC 很容易被欺骗吗?

DNSSEC 很容易被欺骗吗?

我想知道 DNSSEC 的用途,它到底试图解决什么问题?我认为,通过在网络中插入一个非 DNSSEC DNS 服务器来提供非 DNSSEC 区域副本,可以很容易地欺骗 DNSSEC。但这可能不是 DNSSEC 试图解决的问题?

使用 DNSSEC,DNS 服务器使用公私钥加密来签署和检查彼此的区域。例如,这可能有助于防止 DNS 缓存中毒。只有在检查 DNS 响应的签名后,数据才会添加到缓存中。

好的。

但客户端如何验证他们正在使用受 DNSSEC 保护的 DNS?如果您试图防止 DNS 缓存中毒,但不防止 DNS 服务器插入,DNSSEC 是否值得?

我有一个完全受 DNSSEC 保护的域名https://dnssec-analyzer.verisignlabs.com/。在我的公司 DNS(或餐厅 wifi)中,我将此域(或“区域”)的副本添加到网络 DNS 服务器。此本地 DNS 区域是不是使用 DNSSEC。公司网络(或餐厅 wifi)中的客户端由公司 DHCP 服务器指示使用公司 DNS。现在,如果我更改公司 DNS 上复制区域中的记录,客户端只需遵循这些更改,而不会发出警告或投诉。最终用户可能认为他们是安全的,因为他们在文档中读到我的区域受 DNSSEC 保护,但实际上他们正在我的公司网络(或餐厅 wifi)上使用欺骗区域,并且根本没有受到保护?

答案1

DNSSEC 可让您确保收到的 DNS 数据与域所有者发布的数据(针对已签名区域)相比没有变化。此验证可以在查询路径的任何阶段进行。

从客户端的角度来看,要实现这一点,您最好在本地进行验证(虽然目前并不常见,但并非闻所未闻),或者拥有一条可以弥补与受信任的验证解析器之间差距的安全网络路径。
这种安全网络路径可能意味着 DNS-over-TLS、DNS-over-HTTPS、DNSCrypt,或者在某种程度上也可以是至少可以在一定程度上信任的本地网络(虽然比较弱,但对于部分攻击场景仍然有用)。

相关内容