网络攻防学习笔记 Day30

DNS 最初设计时主要考虑的是物理设备故障，并没有考虑由于人为操作或配置错误所带来的安全隐患。由于缺乏有效的配置管理工具，使得 DNS 上存在大量的配置错误（例如无用授权、循环依赖和冗余降低等），给整个域名空间带来极大的安全威胁。针对操作脆弱性的安全威胁主要包括域名配置攻击、域名注册攻击和信息泄漏等。

DNSSEC 依赖于数字签名和公钥系统去保护 DNS 数据的可信性和完整性。

权威域名服务器用自身的私钥来签名资源记录，然后解析服务器用权威域名服务器的公钥来认证来自权威域名服务器的数据。

如果认证成功，表明接收到的数据确实来自权威域名服务器，则解析服务器接收数据；如果认证失败，表明接收到的数据很可能是伪造的，则解析服务器抛弃数据。

DNSSEC 的主要功能有下列 3 项。

（1）提供数据来源验证：DNS 数据来自正确的域名服务器。

（2）提供数据完整性验证：数据在传输过程中没有任何更改。

（3）提供否定存在验证：对否定应答报文提供验证信息。

DNSSEC 也需要一个信任链，必须有一个或多个开始就信任的公钥（或公钥的散列值）。RFC 4033 称这些初始信任的公开密钥或散列值为“信任锚（trust anchors）”

为了保证与查询相应的资源记录是确实不存在，而不是在传输过程中被删除的，DNSSEC 提供了一个验证资源记录不存在的方法。它生成一个特殊类型的资源记录：NSEC。

DNSSEC 中新增的四种类型的资源记录：DNSKEY（DNS Public Key）、RRSIG（Resource Record Signature）、DS（Delegation Signer）、NSEC（Next Secure）。