Hacking

DNSsec 旨在防止哪些黑客攻擊

  • April 6, 2015

我知道 DNSsec 的總體目的是防止欺騙您的 DNS 記錄。但是,DNSsec 積極阻止使用的一些實際程序/常式是什麼?

RFC3833中很好地介紹了與 DNS 相關的威脅。基本上,DNSSEC 是確保您連接的伺服器真正合法的一種方法。但是,它只是一層安全性,本身並不能令人滿意:它不會阻止將您的流量重新路由到其他地方或解釋未加密的數據包。

現在 DNS 的主要缺點是它必須在兩端都支持。如果它也沒有在客戶端實現,它也不會使您的 DNS 更安全。例如,如果沒有第三方驗證器(例如來自 CZ.NIC 的DNSSEC/TLSA 驗證器),Web 瀏覽器不會檢查 DNSSEC 。

DNSSEC 有點像 SSL 證書的影子,因為 SSL 解決的問題比 DNSSEC 多得多。SSL 證書無法解決的一個問題是流氓證書頒發機構或在獲取證書期間對身份的不正確確認,這兩者都可能導致將有效的鍊式證書頒發給錯誤的實體。這可能是您正在尋找的一個範例案例。

因此,DNSSEC 和 SSL 的結合使得偽造證書變得更加困難。使用 DNSSEC 簽名區域中的TLSA記錄,證書必須在兩個獨立的鏈中獲得授權。流氓一方不太可能同時訪問它們。如果您同時實現並強制您的客戶要求它們,那麼您正在以一種有用的方式使用 DNSSEC。

引用自:https://serverfault.com/questions/680671