DNSSEC技術(shù)概述

伴隨互聯(lián)網(wǎng)安全行業(yè)取得里程碑成就之后，又有三家互聯(lián)網(wǎng)基礎(chǔ)設(shè)施領(lǐng)導(dǎo)廠商加盟，與全球備受信任的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施廠商們共同驗證其技術(shù)。這項由技術(shù)確保其安全性的最大的域名域，ArborNetworks、Infoblox 和RioRey已經(jīng)在DNSSEC技術(shù)互通互聯(lián)實(shí)驗室中完成了其技術(shù)解決方案測試。

DNSSEC技術(shù)通過對DNS數(shù)據(jù)采用數(shù)字簽名和驗證的方式，幫助保護(hù)域名系統(tǒng)(DNS)免受“緩存投毒”和“中間人”攻擊。這些數(shù)字簽名驗證數(shù)據(jù)來源的真實(shí)性，并在數(shù)據(jù)通過互聯(lián)網(wǎng)傳送時核實(shí)其完整性。在美國杜勒斯(Dulles)的獨(dú)立式DNSSEC互通互聯(lián)實(shí)驗室中，各種互聯(lián)網(wǎng)設(shè)施解決方案會經(jīng)過一系列測試，檢驗設(shè)備在DNSSEC環(huán)境中的交互操作能力。

從實(shí)施DNSSEC技術(shù)開始

攻擊者有時會嘗試通過緩存污染攻擊，即在服務(wù)器中添加惡意的錯誤DNS記錄來操縱DNS記錄。攻擊者希望這些記錄被分發(fā)給客戶端機(jī)器，隨后會引導(dǎo)用戶不知不覺地訪問惡意的web頁面。

直到最近，為了抵御這種類型的攻擊在客戶端方面能做的也很少。但是DNS安全擴(kuò)展（DNSSEC）技術(shù)的發(fā)布改變了這個事實(shí)，它允許對DNS記錄應(yīng)用數(shù)字簽名技術(shù)并且保證給終端用戶提供的記錄是真實(shí)的。

對DNS進(jìn)行安全防護(hù)的思想已經(jīng)存在超過十年了，但是在制定技術(shù)細(xì)節(jié)上花費(fèi)了很長的時間，同時對該技術(shù)的采納十分緩慢。在過去的一年里，特別是在2010年黑帽大會上Dan Kaminsky宣布的DNS漏洞被公布于眾之后，這個概念逐漸走出低谷。主要的網(wǎng)絡(luò)和主機(jī)提供商例如Comcast和GoDaddy已經(jīng)加入到部署DNSSEC的聯(lián)合治理中。

如果你想在你的企業(yè)中從實(shí)施DNSSEC技術(shù)開始，你需要考慮兩件事：修改你的終端來識別DNSSEC記錄，以及修改你自己的DNS條目來支持DNSSEC查詢。

在客戶端方面，微軟的Windows 7包含了內(nèi)嵌的DNSSEC功能，可以通過活動目錄的組策略對象來管理。該工具包括用于Linux系統(tǒng)的IDNS軟件包，提供DNSSEC查詢和故障排除功能。還有很多終端用戶工具對流行的應(yīng)用支持額外的DNSSEC驗證，如Firefox、Thunderbird和SSH。

你可能還希望給你自己的DNS條目添加DNSSEC驗證支持。

如果你正在使用一個DNS主機(jī)提供商，同他們進(jìn)行核實(shí)從而判斷他們是否支持DNSSEC記錄。這樣，如果你管理自己的DNS記錄，有許多DNSSEC教程資源可供你查閱。你可以閱讀微軟的Windows Server 2008 R2 DNSSEC部署指導(dǎo)，或者是BIND9管理員指導(dǎo)的DNSSEC章節(jié)進(jìn)行了解。

DNSSEC技術(shù)的簡單敘述就為大家介紹完了，希望讀者已經(jīng)掌握和理解。

【編輯推薦】

1. 淺析基于混合加密機(jī)制的DNSSEC
2. 淺析基于公鑰技術(shù)的DNSSEC
3. 互聯(lián)網(wǎng)基礎(chǔ)設(shè)施領(lǐng)導(dǎo)廠商共同參與驗證其DNSSEC技術(shù)
4. 真互聯(lián)網(wǎng)之王：DNSSEC七巨頭擁重啟權(quán)
5. 多家公司及行業(yè)領(lǐng)袖協(xié)力確保成功實(shí)現(xiàn)DNSSEC