DNSSEC技術概述

伴隨互聯(lián)網(wǎng)安全行業(yè)取得里程碑成就之后，又有三家互聯(lián)網(wǎng)基礎設施領導廠商加盟，與全球備受信任的互聯(lián)網(wǎng)基礎設施廠商們共同驗證其技術。這項由技術確保其安全性的最大的域名域，ArborNetworks、Infoblox 和RioRey已經(jīng)在DNSSEC技術互通互聯(lián)實驗室中完成了其技術解決方案測試。

DNSSEC技術通過對DNS數(shù)據(jù)采用數(shù)字簽名和驗證的方式，幫助保護域名系統(tǒng)(DNS)免受“緩存投毒”和“中間人”攻擊。這些數(shù)字簽名驗證數(shù)據(jù)來源的真實性，并在數(shù)據(jù)通過互聯(lián)網(wǎng)傳送時核實其完整性。在美國杜勒斯(Dulles)的獨立式DNSSEC互通互聯(lián)實驗室中，各種互聯(lián)網(wǎng)設施解決方案會經(jīng)過一系列測試，檢驗設備在DNSSEC環(huán)境中的交互操作能力。

從實施DNSSEC技術開始

攻擊者有時會嘗試通過緩存污染攻擊，即在服務器中添加惡意的錯誤DNS記錄來操縱DNS記錄。攻擊者希望這些記錄被分發(fā)給客戶端機器，隨后會引導用戶不知不覺地訪問惡意的web頁面。

直到最近，為了抵御這種類型的攻擊在客戶端方面能做的也很少。但是DNS安全擴展（DNSSEC）技術的發(fā)布改變了這個事實，它允許對DNS記錄應用數(shù)字簽名技術并且保證給終端用戶提供的記錄是真實的。

對DNS進行安全防護的思想已經(jīng)存在超過十年了，但是在制定技術細節(jié)上花費了很長的時間，同時對該技術的采納十分緩慢。在過去的一年里，特別是在2010年黑帽大會上Dan Kaminsky宣布的DNS漏洞被公布于眾之后，這個概念逐漸走出低谷。主要的網(wǎng)絡和主機提供商例如Comcast和GoDaddy已經(jīng)加入到部署DNSSEC的聯(lián)合治理中。

如果你想在你的企業(yè)中從實施DNSSEC技術開始，你需要考慮兩件事：修改你的終端來識別DNSSEC記錄，以及修改你自己的DNS條目來支持DNSSEC查詢。

在客戶端方面，微軟的Windows 7包含了內(nèi)嵌的DNSSEC功能，可以通過活動目錄的組策略對象來管理。該工具包括用于Linux系統(tǒng)的IDNS軟件包，提供DNSSEC查詢和故障排除功能。還有很多終端用戶工具對流行的應用支持額外的DNSSEC驗證，如Firefox、Thunderbird和SSH。

你可能還希望給你自己的DNS條目添加DNSSEC驗證支持。

如果你正在使用一個DNS主機提供商，同他們進行核實從而判斷他們是否支持DNSSEC記錄。這樣，如果你管理自己的DNS記錄，有許多DNSSEC教程資源可供你查閱。你可以閱讀微軟的Windows Server 2008 R2 DNSSEC部署指導，或者是BIND9管理員指導的DNSSEC章節(jié)進行了解。

DNSSEC技術的簡單敘述就為大家介紹完了，希望讀者已經(jīng)掌握和理解。

【編輯推薦】

1. 淺析基于混合加密機制的DNSSEC
2. 淺析基于公鑰技術的DNSSEC
3. 互聯(lián)網(wǎng)基礎設施領導廠商共同參與驗證其DNSSEC技術
4. 真互聯(lián)網(wǎng)之王：DNSSEC七巨頭擁重啟權
5. 多家公司及行業(yè)領袖協(xié)力確保成功實現(xiàn)DNSSEC