DNSSEC技術(shù)概述

伴隨互聯(lián)網(wǎng)安全行業(yè)取得里程碑成就之后，又有三家互聯(lián)網(wǎng)基礎(chǔ)設(shè)施領(lǐng)導(dǎo)廠商加盟，與全球備受信任的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施廠商們共同驗(yàn)證其技術(shù)。這項(xiàng)由技術(shù)確保其安全性的最大的域名域，ArborNetworks、Infoblox 和RioRey已經(jīng)在DNSSEC技術(shù)互通互聯(lián)實(shí)驗(yàn)室中完成了其技術(shù)解決方案測(cè)試。

DNSSEC技術(shù)通過(guò)對(duì)DNS數(shù)據(jù)采用數(shù)字簽名和驗(yàn)證的方式，幫助保護(hù)域名系統(tǒng)(DNS)免受“緩存投毒”和“中間人”攻擊。這些數(shù)字簽名驗(yàn)證數(shù)據(jù)來(lái)源的真實(shí)性，并在數(shù)據(jù)通過(guò)互聯(lián)網(wǎng)傳送時(shí)核實(shí)其完整性。在美國(guó)杜勒斯(Dulles)的獨(dú)立式DNSSEC互通互聯(lián)實(shí)驗(yàn)室中，各種互聯(lián)網(wǎng)設(shè)施解決方案會(huì)經(jīng)過(guò)一系列測(cè)試，檢驗(yàn)設(shè)備在DNSSEC環(huán)境中的交互操作能力。

從實(shí)施DNSSEC技術(shù)開(kāi)始

攻擊者有時(shí)會(huì)嘗試通過(guò)緩存污染攻擊，即在服務(wù)器中添加惡意的錯(cuò)誤DNS記錄來(lái)操縱DNS記錄。攻擊者希望這些記錄被分發(fā)給客戶端機(jī)器，隨后會(huì)引導(dǎo)用戶不知不覺(jué)地訪問(wèn)惡意的web頁(yè)面。

直到最近，為了抵御這種類(lèi)型的攻擊在客戶端方面能做的也很少。但是DNS安全擴(kuò)展（DNSSEC）技術(shù)的發(fā)布改變了這個(gè)事實(shí)，它允許對(duì)DNS記錄應(yīng)用數(shù)字簽名技術(shù)并且保證給終端用戶提供的記錄是真實(shí)的。

對(duì)DNS進(jìn)行安全防護(hù)的思想已經(jīng)存在超過(guò)十年了，但是在制定技術(shù)細(xì)節(jié)上花費(fèi)了很長(zhǎng)的時(shí)間，同時(shí)對(duì)該技術(shù)的采納十分緩慢。在過(guò)去的一年里，特別是在2010年黑帽大會(huì)上Dan Kaminsky宣布的DNS漏洞被公布于眾之后，這個(gè)概念逐漸走出低谷。主要的網(wǎng)絡(luò)和主機(jī)提供商例如Comcast和GoDaddy已經(jīng)加入到部署DNSSEC的聯(lián)合治理中。

如果你想在你的企業(yè)中從實(shí)施DNSSEC技術(shù)開(kāi)始，你需要考慮兩件事：修改你的終端來(lái)識(shí)別DNSSEC記錄，以及修改你自己的DNS條目來(lái)支持DNSSEC查詢。

在客戶端方面，微軟的Windows 7包含了內(nèi)嵌的DNSSEC功能，可以通過(guò)活動(dòng)目錄的組策略對(duì)象來(lái)管理。該工具包括用于Linux系統(tǒng)的IDNS軟件包，提供DNSSEC查詢和故障排除功能。還有很多終端用戶工具對(duì)流行的應(yīng)用支持額外的DNSSEC驗(yàn)證，如Firefox、Thunderbird和SSH。

你可能還希望給你自己的DNS條目添加DNSSEC驗(yàn)證支持。

如果你正在使用一個(gè)DNS主機(jī)提供商，同他們進(jìn)行核實(shí)從而判斷他們是否支持DNSSEC記錄。這樣，如果你管理自己的DNS記錄，有許多DNSSEC教程資源可供你查閱。你可以閱讀微軟的Windows Server 2008 R2 DNSSEC部署指導(dǎo)，或者是BIND9管理員指導(dǎo)的DNSSEC章節(jié)進(jìn)行了解。

DNSSEC技術(shù)的簡(jiǎn)單敘述就為大家介紹完了，希望讀者已經(jīng)掌握和理解。

【編輯推薦】

1. 淺析基于混合加密機(jī)制的DNSSEC
2. 淺析基于公鑰技術(shù)的DNSSEC
3. 互聯(lián)網(wǎng)基礎(chǔ)設(shè)施領(lǐng)導(dǎo)廠商共同參與驗(yàn)證其DNSSEC技術(shù)
4. 真互聯(lián)網(wǎng)之王：DNSSEC七巨頭擁重啟權(quán)
5. 多家公司及行業(yè)領(lǐng)袖協(xié)力確保成功實(shí)現(xiàn)DNSSEC