部署DNSSEC需注意的五要诀

　　域名系统(DNS)是互联网的动力源。它不应该遭到破坏，但实际情况是在这里保持信任显然不是一个好主意。违法分子已经学会了利用这种信任制度发出DNS欺骗答复的方式来攻击用户。这种过于专业的说法非常难理解。所以，请看下面例子的说明。

　　如果你需要转移资金到其它账户上的话，就需要打开保存在浏览器收藏中的银行连接。银行的门户网站会很快就出现在浏览器中。登录过程没有什么问题，但站点回复声称这里出现了错误;你需要稍后再试。搞什么鬼，但你又能做什么?

　　然后，真正的问题出现了，“你怎么知道这是银行的实际站点?”目前来看，没有办法可以确认这一点，而攻击者喜欢的也正是这一点。通过改变DNS信息，他们可以将浏览器指向被查询站点的恶意替代连接上。这是一个非常聪明的主意，只要我们登录，他们就能获得所有的信息。

　　域名系统安全协议

　　从1997年开始，　互联网工程任务组(IETF)就一直在试图找出可行的解决方法，确保不会发生误导。他们给出的解决办法就是域名系统安全协议(DNSSEC)。从书面文件的相关内容来看，这似乎是一个好方法。

　　但有点奇怪的是，关于DNSSEC对于我们，自由职业者和家庭网络来说意味着什么，似乎并没有什么可用的资料。因此，在经过一番搜索后，我总结出了几条要诀。

　　1、路由器需要怎么处理

　　路由器必须能够处理比普通数据包大的NS数据包。由于新认证的要求，DNSSEC返回的数据包比目前DNS返回的512字节使用用户数据包协议(UDP)的数据包要大。这可能是一个问题。因为有些路由器被设置为拒绝接受大于512字节的DNS数据包。

　　路由器也必须能够处理使用传输控制协议/因特网互联协议(TCP/IP)的DNSSEC的回复查询。如果较大的UDP数据包存在问题，DNS服务器会利用TCP/IP协议返回查询。如果路由器不支持这一点，DNS查询将失败。

　　最后，路由器必须能正确处理域名系统密钥(DNSKEY)、单笔资源记录(RRSIG)、下一代安全(NSEC)　和第三版记录(NSEC)等参数。这些都是保证DNSSEC流量正常传递的DNS新资源记录参数。邻近的路由器必须知道如何进行处理，否则信任链将被打破。

　　2、确认路由器是否支持DNSSEC

　　我没有找到最新的资料，但是找到了2008年的报告《DNSSEC对宽带路由器和防火墙的影响》。研究团队对24款个人和SOHO级路由器进行了评测。你可以了解一下。如果你使用的路由器没有被包括进来，我的建议是询问设备制造商。

　　3、其他类域名系统安全测试

　　尽管和DNSSEC没有直接关系，但我觉得你会对报告中的这两项测试感兴趣：

　　(1)拒绝外行DNS查询

　　(2)随机化DNS查询端口

　　这两项功能非常重要。他们移除了两处潜在的漏洞。通常情况下，这些信息是无法访问的。我想呼吁路由器制造商关注这一问题。

　　4、固件更新

　　对网关设备的固件进行更新始终是一个好主意，并且在现在比以往任何时候都更加重要。如果你使用的路由器没有通过2008年DNSSEC的测试，更应该更新到最新固件。

　　5、上游网络供应商的准备情况

　　这不应该成为问题。不过，询问一下也不会造成什么伤害。我想问的问题有两个：

　　(1)怎样保护DNSSEC的身份验证密钥?

　　(2)如果没有正常工作的话，应该找谁?

　　火狐浏览器用户的额外补充

　　火狐浏览器提供了一个插件，DNSSEC验证器，可以对DNSSEC记录是否存在和真实性进行检查。地址栏显示的不同颜色的钥匙就表明了特定域名中DNSSEC的使用情况。

　　最后的思考

　　从整体来看，如果DNSSEC获得正确部署的话，网络安全性确实可能获得极大的提高。这就意味着我们的路由器必须处于信任链中。希望以上的说法可以让用户重视这一点：如果路由器不能正确处理DNSSEC数据包的话，你的在线活动，可能会受到很大的影响。