扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
域名系统(DNS)是互联网的动力源。它不应该遭到破坏,但实际情况是在这里保持信任显然不是一个好主意。违法分子已经学会了利用这种信任制度发出DNS欺骗答复的方式来攻击用户。这种过于专业的说法非常难理解。所以,请看下面例子的说明。
如果你需要转移资金到其它账户上的话,就需要打开保存在浏览器收藏中的银行连接。银行的门户网站会很快就出现在浏览器中。登录过程没有什么问题,但站点回复声称这里出现了错误;你需要稍后再试。搞什么鬼,但你又能做什么?
然后,真正的问题出现了,“你怎么知道这是银行的实际站点?”目前来看,没有办法可以确认这一点,而攻击者喜欢的也正是这一点。通过改变DNS信息,他们可以将浏览器指向被查询站点的恶意替代连接上。这是一个非常聪明的主意,只要我们登录,他们就能获得所有的信息。
域名系统安全协议
从1997年开始, 互联网工程任务组(IETF)就一直在试图找出可行的解决方法,确保不会发生误导。他们给出的解决办法就是域名系统安全协议(DNSSEC)。从书面文件的相关内容来看,这似乎是一个好方法。
但有点奇怪的是,关于DNSSEC对于我们,自由职业者和家庭网络来说意味着什么,似乎并没有什么可用的资料。因此,在经过一番搜索后,我总结出了几条要诀。
1、路由器需要怎么处理
路由器必须能够处理比普通数据包大的NS数据包。由于新认证的要求,DNSSEC返回的数据包比目前DNS返回的512字节使用用户数据包协议(UDP)的数据包要大。这可能是一个问题。因为有些路由器被设置为拒绝接受大于512字节的DNS数据包。
路由器也必须能够处理使用传输控制协议/因特网互联协议(TCP/IP)的DNSSEC的回复查询。如果较大的UDP数据包存在问题,DNS服务器会利用TCP/IP协议返回查询。如果路由器不支持这一点,DNS查询将失败。
最后,路由器必须能正确处理域名系统密钥(DNSKEY)、单笔资源记录(RRSIG)、下一代安全(NSEC) 和第三版记录(NSEC)等参数。这些都是保证DNSSEC流量正常传递的DNS新资源记录参数。邻近的路由器必须知道如何进行处理,否则信任链将被打破。
2、确认路由器是否支持DNSSEC
我没有找到最新的资料,但是找到了2008年的报告《DNSSEC对宽带路由器和防火墙的影响》。研究团队对24款个人和SOHO级路由器进行了评测。你可以了解一下。如果你使用的路由器没有被包括进来,我的建议是询问设备制造商。
3、其他类域名系统安全测试
尽管和DNSSEC没有直接关系,但我觉得你会对报告中的这两项测试感兴趣:
(1)拒绝外行DNS查询
(2)随机化DNS查询端口
这两项功能非常重要。他们移除了两处潜在的漏洞。通常情况下,这些信息是无法访问的。我想呼吁路由器制造商关注这一问题。
4、固件更新
对网关设备的固件进行更新始终是一个好主意,并且在现在比以往任何时候都更加重要。如果你使用的路由器没有通过2008年DNSSEC的测试,更应该更新到最新固件。
5、上游网络供应商的准备情况
这不应该成为问题。不过,询问一下也不会造成什么伤害。我想问的问题有两个:
(1)怎样保护DNSSEC的身份验证密钥?
(2)如果没有正常工作的话,应该找谁?
火狐浏览器用户的额外补充
火狐浏览器提供了一个插件,DNSSEC验证器,可以对DNSSEC记录是否存在和真实性进行检查。地址栏显示的不同颜色的钥匙就表明了特定域名中DNSSEC的使用情况。
最后的思考
从整体来看,如果DNSSEC获得正确部署的话,网络安全性确实可能获得极大的提高。这就意味着我们的路由器必须处于信任链中。希望以上的说法可以让用户重视这一点:如果路由器不能正确处理DNSSEC数据包的话,你的在线活动,可能会受到很大的影响。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。