DNSSEC解释道:为什么您可能想要在您的域上实现它

2020-07-31 23:22:45

域名系统安全扩展(DNSSEC)是一组规范,通过为从权威DNS服务器接收的响应添加加密身份验证来扩展DNS协议。它的目标是防御黑客用来将计算机定向到流氓网站和服务器的技术。虽然DNSSEC已经在许多通用和国家级别的顶级域(TLD)中部署,但在单个域级和最终用户级的采用还比较滞后。

2008年,安全研究员丹·卡明斯基(Dan Kaminsky)发现了DNS协议中的一个根本缺陷,该缺陷影响了最广泛使用的DNS服务器软件。该漏洞允许外部攻击者毒害电信提供商和大型组织使用的DNS服务器的缓存,并迫使它们为DNS查询提供流氓响应,从而可能将用户发送到欺骗网站或流氓电子邮件服务器。

这一缺陷被修补了,这是迄今为止IT行业对安全漏洞做出的最大规模的协调响应,但DNS劫持攻击的威胁仍然存在。由于DNS流量未经过身份验证或加密,因此任何控制用户DNS解析路径中的DNS服务器的攻击者都可以提供恶意响应,并将它们重定向到恶意服务器--这是一种中间人方案。