DNSSEC -它不包括什么？

Question

我目前正在复习DNS/DNSSEC的考试。

虽然我知道DNSSEC为DNS提供了各种安全增强，但我还是想深入一点(我自己对知识的渴望！)并且想知道，即使在DNSSEC被雇用之后，在安全方面仍然存在问题的是什么？毕竟它不可能解决DNS在安全性方面的所有程序，对吗？

谢谢

Answer 1

DNSSEC没有解决的主要问题是：

1. 插入主服务器的错误数据--如果有人侵入您的DNS操作符，理论上他们可以插入将用您自己的密钥签名的假数据。
2. DNS查询的加密--查询的内容和结果的答案仍然是连线上的明文。

前一个问题目前尚未解决。后者并不是真正的安全问题，因为很多人都愿意允许第三方(谷歌、OpenDNS等)查看他们的DNS查询。

Answer 2

这取决于你对“安全”的定义是什么。如果我们使用“中情局三位一体”-confidentiality，完整性和可用性-，DNSSEC只适用(并设计)第二种:完整性。

Answer 3

这个问题应该是：“DNSSEC是做什么的？”

要回答这个问题，DNSSEC是一种验证从服务器返回的数据是否合法的方法。这些记录用私钥签名，然后可以使用在记录集中发布的公钥进行验证。

它不会对记录进行加密以防止人们看到这些记录( DNS的全部目的是将这些信息分发给公众使用，因此在绝大多数情况下，这并不是一个问题)。

它也不保护DDoS攻击，反射攻击，放大攻击等。

您还可以参考RFC 3833，域名系统的威胁分析获得更多信息。