我已经阅读了几个小时,DNSSEC但仍然无法理解它如何防止MITM攻击。我还阅读了这里有关服务器故障的每个问题DNSSEC。
请查看此DNSSEC数据包捕获:https://www.cloudshark.org/captures/79e23786259b
是什么阻止拦截每个查询,并为每个,和记录MITM回复它自己的密钥对?DNSKEYSRRSIGDS
例如,MITM将为 www.ietf.org 生成 RRSIG,然后DNSKEYS为 生成ietf.orgRRSIG,然后DS为 记录ietf.org。然后是另一组“org”的DNSKEYS和DS记录,然后再次是“.”的记录<Root>。
在 TLS 中,我们可以信任 CA 的信任链,因为根 CA 已预先安装在每个系统上,因此我们可以根据它检查回复。在 中DNSSEC,我不相信 rootDNSKEY会像 Root CA 那样安装在系统上。那么是什么让我们可以信任我们收到的这个根密钥呢?
dnssec ×1