“保护性” DNS 服务的定义是什么?

“保护性” DNS 服务的定义是什么?

本质上上面的问题是 - 主要云提供商(AWS Route53,GCP DNS 服务)是否被视为保护服务,或者是否需要增加另一个安全工具(即 OpenDNS)?

答案1

首先,这更像是一个营销术语,用于描述/区分各种服务。该术语在很大程度上是不言自明的,因为它不只是普通的 DNS(它还可以防止某些事情),但没有技术定义说明服务必须做什么才能符合条件。

我只见过该术语在解析器服务器的上下文中使用,从未在权威服务器中使用过。(我无法立即想到权威服务器会做什么来“保护”)。

关于你的例子,我认为 Quad9 和 OpenDNS 等服务是众所周知的公开服务的例子,可以合理地称为“保护性”,因为它们有已知的“坏”域名过滤器。本质上,它们有一个被发现用于恶意目的的域名列表,并拒绝回答这些域名的查询。

类似的过滤功能或多或少是您可以自行运行的解析器服务器实现的标准功能(过滤什么取决于价值所在,而不是如何过滤)。
例如,BIND、Unbound、Knot-resolver、PowerDNS-recursor 都支持响应策略区域 (RPZ),这是一种基于策略的名称解析覆盖的标准化格式。
如果您运行自己的解析器服务器并将其配置为加载阻止某些已知恶意软件域的 RPZ 区域,那么您自己的服务器也完全可以称为“保护性”DNS 服务器。

相关内容