Bill Gray Asked: 2009-08-02 19:00:39 +0800 CST2009-08-02 19:00:39 +0800 CST 2009-08-02 19:00:39 +0800 CST DNSSEC MITM 攻击 772 是什么让 DNSSEC 免受 MITM 攻击? 为什么我不能签署 example.com 的密钥并将其发送给解析名称服务器或客户端,然后他们才能从真实来源获得它? domain-name-system security dnssec 2 个回答 Voted sysadmin1138 2009-08-02T22:36:58+08:002009-08-02T22:36:58+08:00 MITM 并非不可能,只是需要付出更多努力。由于 Keith 和 Nik 指出的完整性验证过程,您不仅要欺骗目标 example.com 域,还要欺骗 .com 和 . (一旦签署)。这意味着简单的缓存中毒将不再起作用,您必须完全颠覆目标的整个解析器流。 它在很多方面都像 SSL 一样工作。根域具有委托签名者记录,用于验证子域(在本例中为 .com)解析器是否确实是正确的解析器。这对每个子域重复,直到您获得主机名。实际的验证过程是相反的,它沿着树向上直到达到无符号级别并从那里进行验证。DNS 攻击者必须伪造整个解析器树直到签名的根目录(即 .com 或 .)才能成功。这就是为什么让 DNS-root 签名如此重要的原因。 DNSSEC 提高安全性的许多方法是通过使将不良数据输入解析器缓存变得更加困难,并通过客户端和合法解析器之间的 DNS 交易过程提高对游戏的抵抗力。一个完全受感染的 DNS 服务器即使使用 DNSSEC 仍会返回错误数据,并且在线代理重写 DNS 请求将不得不伪造每个 DNS 请求,而不仅仅是预期的请求,但这是一个更难解决的问题一般来说; 也更难一开始就到位。 Keith 2009-08-02T19:13:45+08:002009-08-02T19:13:45+08:00 这篇文章稍微解释一下。快速摘要:什么是 DNSSEC? DNSSEC 是一个提议的 Internet 标准,它修改 DNS 资源记录和协议,为域名解析器和名称服务器之间进行的查询和响应事务提供安全性。具体来说,DNSSEC 提供的安全性包括: 完整性验证:DNS 解析器可以确定从名称服务器接收到的信息在传输过程中没有被篡改 源身份验证:DNS 解析器可以确定接收到的信息来自权威名称服务器 已验证的拒绝存在:DNS 解析器可以验证特定查询是不可解析的,因为权威名称服务器上实际上不存在 DNS 记录
MITM 并非不可能,只是需要付出更多努力。由于 Keith 和 Nik 指出的完整性验证过程,您不仅要欺骗目标 example.com 域,还要欺骗 .com 和 . (一旦签署)。这意味着简单的缓存中毒将不再起作用,您必须完全颠覆目标的整个解析器流。
它在很多方面都像 SSL 一样工作。根域具有委托签名者记录,用于验证子域(在本例中为 .com)解析器是否确实是正确的解析器。这对每个子域重复,直到您获得主机名。实际的验证过程是相反的,它沿着树向上直到达到无符号级别并从那里进行验证。DNS 攻击者必须伪造整个解析器树直到签名的根目录(即 .com 或 .)才能成功。这就是为什么让 DNS-root 签名如此重要的原因。
DNSSEC 提高安全性的许多方法是通过使将不良数据输入解析器缓存变得更加困难,并通过客户端和合法解析器之间的 DNS 交易过程提高对游戏的抵抗力。一个完全受感染的 DNS 服务器即使使用 DNSSEC 仍会返回错误数据,并且在线代理重写 DNS 请求将不得不伪造每个 DNS 请求,而不仅仅是预期的请求,但这是一个更难解决的问题一般来说; 也更难一开始就到位。
这篇文章稍微解释一下。快速摘要:什么是 DNSSEC?
DNSSEC 是一个提议的 Internet 标准,它修改 DNS 资源记录和协议,为域名解析器和名称服务器之间进行的查询和响应事务提供安全性。具体来说,DNSSEC 提供的安全性包括:
完整性验证:DNS 解析器可以确定从名称服务器接收到的信息在传输过程中没有被篡改 源身份验证:DNS 解析器可以确定接收到的信息来自权威名称服务器
已验证的拒绝存在:DNS 解析器可以验证特定查询是不可解析的,因为权威名称服务器上实际上不存在 DNS 记录