DNSSEC 正在慢慢出籠,但是,這對用戶意味著什么?我們現(xiàn)有的設(shè)備是否使用它?目前還沒有具體的相關(guān)信息公布,不過本文試圖解決你的一些疑惑。
互聯(lián)網(wǎng)離不開dns。雖然 dns 可能不會崩潰,但它顯式的信任機制很明顯是一個糟糕的注意。一些心懷鬼胎的人已經(jīng)找到了一種稱為"dns 劫持"的方法,可利用這種信任對用戶造成損害。如果你覺得這種說法很難理解,那下面這個例子會讓你明白。
你需要向多個賬號轉(zhuǎn)賬,點擊銀行書簽,接著在瀏覽器中就會打開這個銀行網(wǎng)站。你正常地登錄,但是網(wǎng)站的反應有些不正常。這時,你應該做什么呢?
現(xiàn)在,提出一個值得認真對待的問題:"你怎么知道那個網(wǎng)站真的就是你想要的銀行網(wǎng)站呢?"
目前,還沒有百分百的確認方式,那些壞蛋喜歡的就是這一點。他們可以修改 dns 信息,將瀏覽器中網(wǎng)頁指向一個惡意網(wǎng)站,這個網(wǎng)站看起來和你想要訪問的網(wǎng)站一模一樣。還不明白嗎?我們會登錄,輸入用戶名和密碼。結(jié)果:壞人通過欺騙的手段獲得了我們的信任。
IETF(互聯(lián)網(wǎng)工程任務組)從 1997 年已開始尋找方法, 來防止上述"錯誤指向"的發(fā)生。他們提出的解決方案就是 DNSSEC(Domain Name System Security Extensions,既域名系統(tǒng)安全擴展)??雌饋?,這是一個不錯的想法,至少根據(jù)介紹該系統(tǒng)的白皮書是如此。51CTO編者注:2009年11月,威瑞信(VeriSign)公司公布其已開始為.com和.net全球頂級域名(Top Level Domains, TLDs)部署dns安全擴展協(xié)議(DNSSEC),防止互聯(lián)網(wǎng)的域名系統(tǒng)(dns)受到"中間人"和緩存投毒攻擊。
不過,對用戶以及我們的家庭/辦公室網(wǎng)絡(luò),DNSSEC 有什么意義?對此并沒有太多的信息。經(jīng)過一番搜索研究,我總結(jié)了以下幾點你應該了解的信息:
1. 路由器必須能夠處理什么樣的信息
路由器必須能夠處理大于正常大小的 dns 包。原因在于新的授權(quán)規(guī)定,dns 當前所用的是 512 字節(jié)的 UDP 包,DNSSEC 響應的大小大于 512 字節(jié)。這會帶來一些問題。某些路由器的程序設(shè)定會拒絕大于 512 字節(jié)的 dns 包。
另外,路由器還必須能夠處理已轉(zhuǎn)換為 TCP/IP 的DNSSEC 查詢。如果較大的 UDP 包存在問題,dns 服務器可按照指令使用 TCP/IP 發(fā)送 DNSSEC 響應。如果路由器無法提供這種功能,dns 查詢將會失敗。
最后,路由器必須能夠正確地處理 dnsKEY、RRSIG、NSEC 和 NSEC3。DNSSEC 流量驗證需要這些新的 dns 來源記錄。邊界路由器必須能夠處理這些記錄,否則信任鏈條將會斷掉。
有關(guān)這個問題,我在較新的資料中沒有找到答案。不過,在 2008 年的一份報告,找到了一些有用的信息。這份報告的名字是:《DNSSEC 對寬帶路由器和防火墻的影響》(DNSSEC Impact on Broadband Routers and Firewalls)。這份報告的研究團隊做了一些細致的研究,對 24 款個人和公司所用的路由器進行了測試。你可以在這份報告中查看自己的路由器的是否兼容。如果沒有找到有關(guān)信息,你可以咨詢路由器的制造商。