Bil*_*ray 5 security domain-name-system dnssec
是什么让 DNSSEC 免受 MITM 攻击?
为什么我不能签署 example.com 的密钥并将其发送到解析名称服务器或客户端,然后才能从真正的来源获取它?
MITM 并非不可能,只是需要付出更多努力。由于 Keith 和 Nik 指出的完整性验证过程,您不仅要欺骗目标 example.com 域,还要欺骗 .com 和 . (一旦签署)。这意味着简单的缓存中毒将不再起作用,您必须完全颠覆目标的整个解析器流。
它在很多方面都与 SSL 类似。根域具有委托签名者记录,用于验证子域(在本例中为 .com)解析器确实是正确的解析器。这对每个子域重复,直到您获得主机名。实际的验证过程是相反的,它沿着树上升,直到到达未签名的级别并从那里进行验证。DNS 攻击者必须伪造整个解析器树直到签名的根(即 .com 或 .)才能成功。这就是为什么让 DNS 根签名如此重要的原因。
DNSSEC 提高安全性的很多方法是通过使将不良数据输入解析器缓存变得更加困难,并提高对客户端和合法解析器之间的 DNS 事务过程玩游戏的抵抗力。完全受损的 DNS 服务器即使使用 DNSSEC 仍会返回错误数据,并且在线代理重写 DNS 请求将不得不伪造每个 DNS 请求,而不仅仅是预期的请求,但这是一个更难解决的问题一般来说; 以及一开始就更难到位。
这篇文章稍微解释一下。快速摘录:什么是 DNSSEC?
DNSSEC 是一项拟议的互联网标准,它修改 DNS 资源记录和协议,以为域名解析器和名称服务器之间进行的查询和响应事务提供安全性。具体来说,DNSSEC提供的安全性包括:
完整性验证:DNS 解析器可以确定从名称服务器接收到的信息在传输过程中未被篡改源身份验证:DNS 解析器可以确定从权威名称服务器接收到的信息
经过身份验证的拒绝存在:DNS 解析器可以验证特定查询是否无法解析,因为权威名称服务器上实际上不存在 DNS 记录
| 归档时间: |
|
| 查看次数: |
1258 次 |
| 最近记录: |