亲豆网:什么是DNSSEC?

域名系统(DNS)是最受欢迎的互联网服务之一,同时也是最复杂的互联网服务之一。如果没有DNS,我们无法将主机名解析为IP地址。域名本身也非常受欢迎,因为任何人都可以注册域名来开展在线业务。

当DNS系统在20世纪80年代早期创建时,它并未被设计为安全协议。关于公钥加密或我们今天所知的任何其他安全机制,没有任何关键知识可供应用。互联网刚刚诞生,网络用户数量有限,DNS协议正如预期的那样工作。

几十年过去了,互联网发展迅猛。随着越来越多的用户和更多的服务器,加密技术发展迅速,DNS系统开始反映出一个残酷的现实:它不再是小型网络使用的简单协议。它被数以百万计的服务器使用,并且不幸的是,它不应该像它应该的那样安全。

在之前的帖子中,我们讨论了如何防止DNS攻击,并提到DNSSEC是提高DNS安全性的一种方法。今天,我们将深入研究这一特定技术,更多地了解它,它的实施,效益和目前的采用。

什么是DNSSEC?

从1993年开始,IETF开始考虑如何使DNS系统更加健壮和安全。并且提出的强化DNS系统的方法之一是使用DNSSEC。

DNSSEC(域名系统安全扩展)是在十多年后于2005年推出的,作为改善DNS安全性的新方法。

无论您拥有小型企业网站还是高流量门户网站,您都将面临在线攻击 – 尤其是那些来自我们日常使用的DNS服务器的攻击。

几十年来,DNS漏洞已经存在于所有DNS系统中,并且互联网用户面临的最常见问题之一是暴露于潜在的DNS攻击,这些攻击允许破解者将流量重定向到他们自己的服务器,而不是显示网站的原始内容。

它是如何工作的?

传统的DNS系统通过对DNS记录使用未加密的数据来工作,这是DNSSEC旨在解决的问题之一。

DNSSEC会对DNS记录中发送的所有数据进行签名,因此解析器可以验证其真实性。这可确保您连接到您尝试访问的真实域名的DNS记录,而不是被劫持的DNS记录。

此安全验证机制通过利用PKI身份验证(公钥基础结构)和使用两个加密密钥(一个公钥和一个私钥)来工作。DNS记录使用私钥进行签名,其签名发布在所谓的RRSIG中,后者代表资源记录数字签名。

由于RRSIG和随DNS记录一起发送的私钥,每个客户端都能够通过将收到的数据与存储在DNSKEY DNS记录中的域的公钥进行比较来验证收到的DNS记录的真实性。

采用缓慢

尽管DNSSEC是防止多种类型攻击的好方法,尽管报告了几个关键的CVE(其中最着名的是Dan Kaminsky的缓存中毒攻击,也称为“Kaminsky bug”),但其采用统计数据显示它仍然存在没有得到世界各地许多注册商的支持,其采用速度非常慢。

图01. DNSSEC采用。 由APNIC实验室提供

由于注册商和DNS服务器提供商所涉及的复杂变化,信息安全社区中的许多互联网服务提供商和主要参与者仍然怀疑DNSSEC是保护整个DNS生态系统的正确工具。

我真的需要DNSSEC吗?

如果您运行的是标准DNS服务器(如Bind),而没有任何DNS记录验证,则您面临DNS攻击的可能性非常高。任何人都可以欺骗您并将DNS记录重定向到他们想要的任何地方。

无论您拥有小型企业网站还是高流量门户网站,您都将面临在线攻击 – 尤其是那些来自我们日常使用的DNS服务器的攻击。

DNS攻击会因停机和丢失客户或重要的SEO排名而威胁到您。影响没有DNSSEC的网站的最典型攻击包括但不限于DNS劫持和DNS欺骗。

现在每个人都需要DNSSEC。假设您已决定激活它,让我们看看如何为您的域名和DNS服务器启用它。

如何启用DNSSEC?

不幸的是,启用DNSSEC并不像您想象的那么简单,因为大多数注册商仍然不支持其域名的验证技术。

为了启用DNSSEC,注册商不仅必须在其域名基础架构中启用此技术,还必须在DNS服务器上启用此技术。

有些注册商只有在充当DNS服务器时才支持DNSSEC,而其他一些注册商则支持内部和外部名称服务器。

同样阻止用户激活DNSSEC的事实是,并非所有TLD都受到某些注册商的支持。

ICANN拥有支持DNSSEC的域名注册商的最新列表,其中包括一些受欢迎的提供商以及支持的TLD。如果您使用的是其中一个注册商,您肯定能够使用DNSSEC保护您的DNS记录。

启用DNSSEC的最简单,最快捷的方法之一是使用Cloudflare。

Cloudflare使复杂的DNSSEC激活过程非常简单,无需技术知识即可实现:

  • 在cloudflare.com上获得一个免费帐户
  • 添加您的域名。
  • 单击DNS选项卡。
  • 向下滚动,直到看到“启用DNSSEC”按钮。
  • 复制DS记录并在您的域名注册商中介绍该信息,如下所示:

cloudflare dnssec激活

DS记录Cloudflare

 

摘要

如您所见,DNSSEC是可用于保护您的域名和DNS安全性的领先技术之一。不幸的是,由于它的采用非常缓慢,我们将不得不等待几年才能在所有主要注册商中看到真正的域安全环境。与此同时,我们建议的启用DNSSEC的方法是使用Cloudflare,这使得整个激活过程非常简单。