DNSSEC很容易被欺骗？

Question

我想知道DNSSEC的目的，它到底想解决什么问题？我认为，通过将非DNSSEC DNS服务器插入服务于区域的非DNSSEC副本的网络中，可以很容易地欺骗DNSSEC。但也许这不是DNSSEC试图解决的问题吗？

使用DNSSEC，DNS服务器使用公钥加密来对彼此的区域进行签名和检查。例如，这可能有助于防止DNS缓存中毒。只有在检查DNS响应的签名后才会将数据添加到缓存中。

好的。

但是，客户端如何验证他们正在使用由DNSSEC保护的DNS呢？如果您试图防止DNS缓存中毒但不阻止DNS服务器的插入，那么DNSSEC是否值得这么做呢？

根据https://dnssec-analyzer.verisignlabs.com/，我有一个完全受DNSSEC保护的域。在我的公司DNS (或餐馆wifi)中，我向网络DNS服务器添加了此域(或“区域”)的副本。此本地DNS区域不使用DNSSEC。公司网络(或餐厅wifi)中的客户被公司DHCP服务器指示使用公司DNS。现在，如果我在公司DNS上的复制区域中更改记录，客户端只需跟踪这些更改而不发出警告或抱怨。最终用户可能认为他们是安全的，因为他们在文档中看到我的区域受到DNSSEC的保护，但实际上他们在我的公司网络(或餐馆wifi)上使用了一个欺骗区域，而这些区域根本没有受到保护？

Answer 1

DNSSEC允许您确保所接收的DNS数据与域所有者发布的内容(用于签名区域)相比保持不变。此验证可在查询路径的任何阶段进行。

要想从客户端的角度来实现这一点，理想的情况是在本地进行验证(目前并不是很常见，但远非闻所未闻)，或者有一个安全的网络路径来弥补与可信的验证解析器之间的差距。

这种安全的网络路径可能意味着DNS通过TLS、DNS通过HTTPS、DNSCrypt，或者在某种程度上也意味着您至少可以稍微信任一个本地网络(较弱，但对于某些攻击场景仍然有用)。