DNSSEC MITM攻击

Question

是什么使DNSSEC对MITM攻击免疫？

为什么我不能在example.com的密钥上签名，并在他们从真正的源获取它之前将其发送到解析的名称服务器或客户端？

Answer 1

MITM并不是不可能的，它只需要付出更多的努力。基思和尼克指出，由于完整性验证过程，您不仅必须欺骗目标example.com域，而且还要欺骗.com和。(一旦签署)。这意味着简单的缓存中毒将不再工作，您必须完全颠覆目标的整个解析器流。

它在很多方面都像SSL一样工作。根域有委托签名者记录，用于验证子域(在本例中为.com)解析器确实是正确的解析器。这会重复每个子域，直到找到主机名为止。实际的验证过程反向工作，在树中向上向上，直到到达一个无符号级别并从那里进行验证。DNS攻击者必须将整个解析器树伪造到签名的根(无论是.com还是。)为了成功。这就是为什么得到DNS-root签名是一个如此重要的问题。

DNSSEC提高安全性的许多方法是使向解析器缓存中输入不良数据变得更加困难，并提高了在客户端和合法解析器之间玩DNS事务处理的阻力。即使使用DNSSEC，完全受损的DNS服务器仍然会返回错误的数据，而在线代理重写网络上的DNS请求将不得不伪造每个DNS请求，而不仅仅是预期的请求，而且这是一个很难解决的问题，而且从一开始就很难解决。

Answer 2

本文对此作了一点解释。。一个简短的片段:什么是DNSSEC？

• DNSSEC是一种新的Internet标准，它修改DNS资源记录和协议，为域名解析器和名称服务器之间的查询和响应事务提供安全性。具体来说，DNSSEC提供的安全包括：
• 完整性验证: DNS解析器可以确定从名称服务器接收的信息在传输源身份验证中没有被篡改: DNS解析器可以确定接收到的信息来自权威名称服务器
• 经过身份验证的拒绝存在: DNS解析器可以验证某个特定查询是不可解析的，因为权威名称服务器上实际上不存在DNS记录。