DNSSEC对剥离签名免疫吗?
DNSSEC对剥离签名免疫吗?
提问于 2014-04-12 21:11:58
在我看来,应该可以伪造DNS回复,所以它不包括DS/RRSIG/.任何请求的部件,从而绕过已解析域的DNSSEC验证。
DNSSEC系统对这种攻击免疫吗?
解除绑定与本地存储的DLV和根锚文件有什么不同吗?
回答 1
Security用户
回答已采纳
发布于 2014-04-24 19:00:28
是的,DNSSEC对这种攻击免疫。从锚点(通常是根,有时是DLV)开始,每个委托要么是显式安全的( DS设置在委托上):
powerdns.com. 172800 IN NS powerdnssec1.ds9a.nl.
powerdns.com. 172800 IN NS powerdnssec2.ds9a.nl.
powerdns.com. 86400 IN DS 44030 8 3 7DD75AE1565051F9563CF8DF976AC99CDCA51E3463019C81BD2BB083 82F3854E
powerdns.com. 86400 IN DS 44030 8 2 D4C3D5552B8679FAEEBC317E5F048B614B2E5F607DC57F1553182D49 AB2179F7
powerdns.com. 86400 IN DS 44030 8 1 B763646757DF621DD1204AD3BFA0675B49BE3279或者显式不安全(NSEC3.位图证明委托中没有DS ):
gov-1l.us. 7200 IN NS HNS1.BEYONDHOSTING.NET.
gov-1l.us. 7200 IN NS HNS2.BEYONDHOSTING.NET.
gov-1l.us. 86400 IN NSEC GOV-ABUSE.us. NS RRSIG NSEC或者隐式不安全(NSEC3选择退出):
stackexchange.com. 172800 IN NS brad.ns.cloudflare.com.
stackexchange.com. 172800 IN NS roxy.ns.cloudflare.com.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0QFMDQRCSRU0651QLVA1JQB21IF7UR NS SOA RRSIG DNSKEY NSEC3PARAM
4OTDAP6T1E8VS8BHMCK8CDHSGE3GCOBM.com. 86400 IN NSEC3 1 1 0 - 4OTJJUP7OGM6C149HPOE7O9M1L9LS1OP NS DS RRSIG(stackexchange.com哈希散列到第二次拒绝所涵盖的4otjehvpu9q5tm1d5v0ec302rcbll9um,因此没有安全的委托)。
在所有这些情况下,如果有一个安全的委托,NSEC的名称3.记录将证明DS的存在。因此,如果删除签名,验证客户端就可以检测到这一点。
为了进一步阅读,我强烈推荐DNS 7129:通过身份验证的拒绝在DNS中存在和改4035的5.2节(认证引用)(用于DNS安全扩展的协议修改)。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/55613
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号