DNSSEC 正在慢慢出籠,但是,這對用戶意味著什么?我們現有的設備是否使用它?目前還沒有具體的相關信息公布,不過本文試圖解決你的一些疑惑。
互聯網離不開dns。雖然 dns 可能不會崩潰,但它顯式的信任機制很明顯是一個糟糕的注意。一些心懷鬼胎的人已經找到了一種稱為"dns 劫持"的方法,可利用這種信任對用戶造成損害。如果你覺得這種說法很難理解,那下面這個例子會讓你明白。
你需要向多個賬號轉賬,點擊銀行書簽,接著在瀏覽器中就會打開這個銀行網站。你正常地登錄,但是網站的反應有些不正常。這時,你應該做什么呢?
現在,提出一個值得認真對待的問題:"你怎么知道那個網站真的就是你想要的銀行網站呢?"
目前,還沒有百分百的確認方式,那些壞蛋喜歡的就是這一點。他們可以修改 dns 信息,將瀏覽器中網頁指向一個惡意網站,這個網站看起來和你想要訪問的網站一模一樣。還不明白嗎?我們會登錄,輸入用戶名和密碼。結果:壞人通過欺騙的手段獲得了我們的信任。
IETF(互聯網工程任務組)從 1997 年已開始尋找方法, 來防止上述"錯誤指向"的發生。他們提出的解決方案就是 DNSSEC(Domain Name System Security Extensions,既域名系統安全擴展)。看起來,這是一個不錯的想法,至少根據介紹該系統的白皮書是如此。51CTO編者注:2009年11月,威瑞信(VeriSign)公司公布其已開始為.com和.net全球頂級域名(Top Level Domains, TLDs)部署dns安全擴展協議(DNSSEC),防止互聯網的域名系統(dns)受到"中間人"和緩存投毒攻擊。
不過,對用戶以及我們的家庭/辦公室網絡,DNSSEC 有什么意義?對此并沒有太多的信息。經過一番搜索研究,我總結了以下幾點你應該了解的信息:
1. 路由器必須能夠處理什么樣的信息
路由器必須能夠處理大于正常大小的 dns 包。原因在于新的授權規定,dns 當前所用的是 512 字節的 UDP 包,DNSSEC 響應的大小大于 512 字節。這會帶來一些問題。某些路由器的程序設定會拒絕大于 512 字節的 dns 包。
另外,路由器還必須能夠處理已轉換為 TCP/IP 的DNSSEC 查詢。如果較大的 UDP 包存在問題,dns 服務器可按照指令使用 TCP/IP 發送 DNSSEC 響應。如果路由器無法提供這種功能,dns 查詢將會失敗。
最后,路由器必須能夠正確地處理 dnsKEY、RRSIG、NSEC 和 NSEC3。DNSSEC 流量驗證需要這些新的 dns 來源記錄。邊界路由器必須能夠處理這些記錄,否則信任鏈條將會斷掉。
有關這個問題,我在較新的資料中沒有找到答案。不過,在 2008 年的一份報告,找到了一些有用的信息。這份報告的名字是:《DNSSEC 對寬帶路由器和防火墻的影響》(DNSSEC Impact on Broadband Routers and Firewalls)。這份報告的研究團隊做了一些細致的研究,對 24 款個人和公司所用的路由器進行了測試。你可以在這份報告中查看自己的路由器的是否兼容。如果沒有找到有關信息,你可以咨詢路由器的制造商。
京公網安備 11010502049343號