安全域名系統(tǒng)使用指南 預(yù)防誤入網(wǎng)站

發(fā)布時(shí)間:2018/2/6 16:31:00

Kang Custer為首的互聯(lián)網(wǎng)服務(wù)提供商終于決定開始部署域名系統(tǒng)安全擴(kuò)展(DNSSEC)協(xié)議。因此、這似乎是開始學(xué)習(xí)使用的最佳時(shí)機(jī)。

經(jīng)常訪問(wèn)的網(wǎng)站、發(fā)現(xiàn)停機(jī)或一些非常淫穢網(wǎng)站(DNS)的原因是由于域名系統(tǒng)被污染而造成的,域名系統(tǒng)緩存污染不經(jīng)常發(fā)生,但問(wèn)題是如果真的發(fā)生了,這可能會(huì)導(dǎo)致互聯(lián)網(wǎng)上大部分地區(qū)陷于停頓狀態(tài),解決這是什么導(dǎo)致的潛在威脅?答案是DNS安全擴(kuò)展(DNSSEC)。

域名系統(tǒng)通常是由這樣的環(huán)境污染,DNS是互聯(lián)網(wǎng)地址列表管理,在它的幫助下、你不需要輸入類似“http://52.221.137.239/”由于海騰的許多IPv4地址訪問(wèn)到相應(yīng)的網(wǎng)站,只要輸入“http://www.htidc.com”來(lái)達(dá)到相應(yīng)的目的,但是、你的瀏覽器是如何確定正確的地址209.85.135.99”屬于海騰呢,它是做不到這一點(diǎn)的。它需要依賴DNS,沒(méi)有什么可抱怨的、沒(méi)有內(nèi)置的DNS系統(tǒng),以確保向?yàn)g覽器返回的任何信息都是正確和有效的。

DNSSEC的作用就是通過(guò)要求網(wǎng)站利用DNS服務(wù)器來(lái)對(duì)域名和對(duì)應(yīng)的網(wǎng)絡(luò)IP地址進(jìn)行驗(yàn)證的方式來(lái)防止DNS緩存被污染、為了確保信息不遭到破壞、DNSSEC使用數(shù)字簽名和公鑰技術(shù)來(lái)對(duì)交換信息進(jìn)行了加密。需要摧毀一個(gè)受歡迎的網(wǎng)站的DNS信息以獲得加密信息,這反過(guò)來(lái)又使得黑客更難攻擊DNS服務(wù)器。

715日以來(lái)、作為主DNS服務(wù)器的13臺(tái)互聯(lián)網(wǎng)根域名服務(wù)器已經(jīng)實(shí)現(xiàn)了對(duì)DNSSEC的支持、現(xiàn)在、互聯(lián)網(wǎng)294個(gè)頂級(jí)域(TLD)已經(jīng)有55個(gè)開始支持DNSSEC。這包括所有非營(yíng)利組織使用的.org域和教育機(jī)構(gòu)使用的.edu域。并且、威瑞信已經(jīng)決定從2011年初起為.net域提供DNSSEC支持。

對(duì)我們大多數(shù)人來(lái)說(shuō)、這種程度的變化實(shí)在是無(wú)關(guān)緊要。我們不需要調(diào)用根域名服務(wù)器或頂級(jí)域名來(lái)解析域名。事實(shí)上、切換到DNSSEC給我們帶來(lái)的影響才剛剛開始。1018日、Kang Custer成為第一個(gè)部署DNSSEC的主要互聯(lián)網(wǎng)服務(wù)提供商。所以、如果你想使用DNSSEC現(xiàn)在已經(jīng)沒(méi)問(wèn)題了。不論你是否屬于Kang r用戶、你可以設(shè)置你的DNS服務(wù)器指向IP地址是75.75.75.7575.75.76.76。關(guān)于操作的詳細(xì)說(shuō)明,你可以看Kang Custer提供的DNSSEC描述視頻。如果你想知道為什么使用DNSSEC它是一個(gè)好主意,您可以登錄到新成立的安全域名系統(tǒng)指南網(wǎng)站,它提供了全面和詳細(xì)的信息。

所以,如果說(shuō)dnsec是一個(gè)非常好的想法的話,為什么不是每個(gè)人都已經(jīng)完成了嗎?這就是你所看到的,就像互聯(lián)網(wǎng)的重大調(diào)整一樣。在應(yīng)用DNSSEC到舊的程序和硬件上時(shí)、可能會(huì)出現(xiàn)問(wèn)題。

主要的問(wèn)題是、一些路由器、交換機(jī)、防火墻、不能有效處理DNSSEC數(shù)據(jù)包。DNS流量使用的是用戶數(shù)據(jù)報(bào)協(xié)議(UDP),總的來(lái)說(shuō)、DNSUDP數(shù)據(jù)包的大小在512字節(jié)之內(nèi)。因此,網(wǎng)絡(luò)上的許多軟件和硬件默認(rèn)拒絕超過(guò)512字節(jié)的任何UDP數(shù)據(jù)包。不幸的是、DNSSEC的數(shù)據(jù)包都是超過(guò)512字節(jié)。

在某些系統(tǒng)中、這可能導(dǎo)致DNS出現(xiàn)故障。在其他系統(tǒng)中、它可能導(dǎo)致故障,并傳輸?shù)絺鬏斂刂茀f(xié)議(TCP)。與UDP相比使用TCP的缺點(diǎn)是它占用了更多的帶寬。雖然這可能不是一個(gè)大問(wèn)題,但對(duì)于企業(yè)網(wǎng)絡(luò)的管理者來(lái)說(shuō),這會(huì)導(dǎo)致潛伏期明顯增加。并且,沒(méi)人喜歡互聯(lián)網(wǎng)速度變慢。

此外、當(dāng)客戶搜索不存在的網(wǎng)站時(shí),一些Internet服務(wù)提供商和DNS服務(wù)器將重寫DNS應(yīng)答信息,并將其重定向到定制的搜索頁(yè)面。例如、我使用OpenDNS的原因是它的DNS查詢的速度比我的互聯(lián)網(wǎng)服務(wù)提供商快。然而、如果我輸入的域名不存在、它會(huì)返回一個(gè)OpenDNS搜索頁(yè)面。當(dāng)你這樣做時(shí)使用opendnsDNSSEC會(huì)發(fā)生什么?我不知道、但是我有這種工作情況我會(huì)有不好的感覺(jué)。

順便說(shuō)一句、DNS安全管理方面,OpenDNS提供其他選擇:DNSCurve。DNSCurve將如何實(shí)現(xiàn)與DNSSEC協(xié)同工作?答案是不可能的、他們?cè)噲D使用一種不同的方法來(lái)實(shí)現(xiàn)DNS安全性。對(duì)于用戶來(lái)說(shuō)、這可能意味著無(wú)論在其他地方使用什么安全措施,您仍然可以使用DNS,但如果使用不同的技術(shù),您將不會(huì)獲得任何保障在安全方面。

就我個(gè)人而言、我認(rèn)為你現(xiàn)在能做的最好的事情是更新內(nèi)部DNS軟件和固件升級(jí)到最新DNSSEC兼容版本。我們還可以了解上游的DNS是否按照域名系統(tǒng)運(yùn)行分析研究中心為非網(wǎng)絡(luò)管理員用戶提供的指南部署了DNSSEC。為簡(jiǎn)單起見、你也可以選擇運(yùn)行java應(yīng)用程序,并迅速得到明確的答案。

如果你發(fā)現(xiàn)ISP不使用DNSSEC,提醒他們盡快部署。DNSSEC是未來(lái)的一種趨勢(shì)、越早的ISP部署使用,就會(huì)獲得更高的安全性。

工業(yè)控制系統(tǒng)邁向開放 你想好如何進(jìn)行安全防范了嗎?

 關(guān)于收不到郵件的說(shuō)明            對(duì)全球開放的允許注冊(cè)的后綴的域名有哪些?



Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有   經(jīng)營(yíng)性ICP/ISP證 備案號(hào):B1-20180452   豫公網(wǎng)安備 41019702002018號(hào)    電子營(yíng)業(yè)執(zhí)照