DNSSEC 很容易被欺騙?
我想知道 DNSSEC 的目的,它真正試圖解決什麼問題?我認為通過將非 DNSSEC DNS 伺服器插入為區域的非 DNSSEC 副本提供服務的網路,很容易欺騙 DNSSEC。但也許這不是 DNSSEC 試圖解決的問題?
使用 DNSSEC,DNS 伺服器使用公鑰加密來簽署和檢查彼此的區域。例如,這可能有助於防止 DNS 記憶體中毒。只有在檢查了 DNS 響應的簽名後,數據才會添加到記憶體中。
好的。
但是客戶端如何驗證他們正在使用受 DNSSEC 保護的 DNS?如果您嘗試防止 DNS 記憶體中毒但不防止 DNS 伺服器插入,那麼 DNSSEC 是否值得麻煩?
根據https://dnssec-analyzer.verisignlabs.com/ ,我有一個受 DNSSEC 完全保護的域。在我公司的 DNS(或餐廳 wifi)中,我將此域(或“區域”)的副本添加到網路 DNS 伺服器。此本地 DNS 區域未使用DNSSEC。公司 DHCP 伺服器指示公司網路(或餐廳 wifi)中的客戶端使用公司 DNS。現在,如果我更改公司 DNS 上複製區域中的記錄,客戶只需遵循這些更改而不會發出警告或投訴。最終使用者可能認為他們是安全的,因為他們在文件中閱讀了我的區域受 DNSSEC 保護,但實際上他們在我的公司網路(或餐廳 wifi)上使用了一個欺騙區域並且根本不受保護?
DNSSEC 允許您確保您收到的 DNS 數據與域所有者發布的數據相比沒有變化(對於簽名區域)。可以在查詢路徑的任何階段完成此驗證。
從客戶端的角度來看,為了實現這一點,您最好在本地進行驗證(今天並不常見,但遠非聞所未聞),或者擁有一個安全的網路路徑,可以彌合與受信任的驗證解析器之間的差距。
這種安全的網路路徑可能意味著 DNS-over-TLS、DNS-over-HTTPS、DNSCrypt 或在某種程度上還意味著您至少可以在一定程度上信任的本地網路(較弱,但對於一部分攻擊場景仍然有用)。