网络攻防学习笔记 Day31

NSEC 记录是为了应答那些不存在的资源记录而设计的。为了保证私有密钥的安全性和服务器的性能，所有的签名记录都是事先（甚至离线）生成的。

代理签名者（Delegation Signer,DS）记录存储 DNSKEY 的散列值，用于验证 DNSKEY 的真实性，从而建立一个信任链。

DNSSEC 新增的 4 种资源记录，这些记录的长度远远超过了最初的 DNS 协议标准规定的 512 字节，而要求 DNS 报文大小必须达到 1 220 字节，甚至是 4 096 字节。因此 DNS 服务器如果要支持 DNSSEC，则首先需要支持扩展 DNS 机制（Extension Mechanisms for DNS,EDNS）。

配置或部署 DNSSEC 有两种场景：

（1）配置安全的域名解析服务器（resolver），该服务器可以保护使用它的用户，防止被 DNS 欺骗攻击。这里只涉及数字签名的验证工作。

（2）配置安全的权威域名服务器（name server），对权威域的资源记录进行签名，保护服务器不被域名欺骗攻击。

如果某个域名从自身向上一直到根区的链条中有某一个区域没有部署 DNSSEC 协议，则 DNSSEC 协议的认证链条无法通达，从而也就不具备其所提供的安全认证功能。

DNS 运行分析与研究中心（Domain Name System Operations Analysis andResearch Center，简称 DNS OARC）会议中提出了多项加固 DNS 安全的提议，如对 DNS over HTTPS（简称为 DoH）和 DNS over TLS（简称为 DoT）等协议的应用，DNS 服务器隐私保护、国际化域名（Internationalized Domain Names，简称 IDNs）滥用监测以及加强 DNSSEC 验证效率等多方面改善域名安全的提案。