帮助中心
什么是DNSSEC?

了解DNS

了解DNSSEC首先需要有关DNS系统如何工作的基本知识。

DNS用于将域名(如example.com)转换为数字Internet地址(如198.161.0.1)。

虽然这种地址系统对于计算机读取和处理数据非常有效,但人们很难记住。假设每次需要检查网站时,都应该记住它所在机器的IP地址。人们经常将DNS系统称为“互联网电话簿”。

为解决此问题,每个域名都附加了一个数字IP地址。我们知道的网站地址实际上是域名。

域名信息在特殊服务器(称为域名服务器)上存储和访问,这些服务器将域名转换为IP地址,反之亦然。

DNS的顶层位于根区域,其中所有IP地址和域名都保存在数据库中,并按顶级域名排序,例如.com,.net,.org等。

首次实施DNS时它没有安全保障,并且在投入使用后不久就发现了一些漏洞。结果,以扩展的形式开发了可以添加到现有DNS协议的安全系统。

域名系统安全扩展(DNSSEC)是一组协议,它们为域名系统(DNS)查找和交换过程添加了一层安全性,这些过程已成为通过Internet访问网站不可或缺的一部分。

DNSSEC的优点

DNSSEC旨在通过帮助保护用户不被重定向到欺诈性网站和非预期地址来加强对互联网的信任。以这种方式,可以防止诸如缓存中毒,域欺骗和中间人攻击之类的恶意活动。

DNSSEC使用加密签名验证IP地址的解析,以确保DNS服务器提供的答案有效且可信。如果为您的域名正确启用了DNSSEC,则可以确保访问者连接到与特定域名对应的实际网站。

DNSSEC的工作原理DNSSEC

的最初目的是通过验证数据中嵌入的数字签名来保护Internet客户端免受伪造的DNS数据的侵害。

当访问者在浏览器中输入域名时,解析器会验证数字签名。

如果数据中的数字签名与存储在主DNS服务器中的数字签名匹配,则允许数据访问发出请求的客户端计算机。

DNSSEC数字签名可确保您与要访问的站点或Internet位置进行通信。

DNSSEC使用公钥和数字签名系统来验证数据。它只是在现有记录旁边向DNS添加新记录。这些新记录类型(如RRSIG和DNSKEY)的检索方式与常见记录(如A,CNAME和MX)的检索方式相同。

这些新记录用于使用称为公钥加密的方法以数字方式“签名”域。

签名的名称服务器具有每个区域的公钥和私钥。当有人发出请求时,它会发送用其私钥签名的信息; 接收者然后用公钥解锁它。如果第三方试图发送不可信任的信息,则无法使用公钥正确解锁,因此收件人将知道该信息是虚假的。

请注意,DNSSEC不提供数据机密性,因为它不包含加密算法。它仅携带将DNS数据验证为真实或真正不可用所需的密钥。

此外,DNSSEC不能防止DDoS攻击。

DNSSEC使用的密钥DNSSEC使用

两种类型的密钥:

·区域签名密钥(ZSK) - 用于签署和验证区域内的各个记录集。

·密钥签名密钥(KSK) - 用于在区域中签署DNSKEY记录。

这两个密钥都作为“DNSKEY”记录存储在区域文件中。

查看DS记录

DS记录代表委派签名者,它包含一个唯一的公钥字符串以及关键字的元数据,例如它使用的算法。

每个DS记录由四个字段组成:KeyTag,Algorithm,DigestType和Digest,它们如下所示:

我们可以分解DS记录的不同组件,以查看每个部分包含的信息:

Example.com。 - DS所针对的域名。

3600 - TTL,记录可以保留在缓存中的时间。

IN代表互联网。

2371 - 密钥标签,密钥的ID。

13 - 算法类型。DNSSEC中允许的每个算法都有一个指定的编号。算法13是使用SHA-256的具有P-256曲线的ECDSA。

2 - 摘要类型,或用于从公钥生成摘要的哈希函数。

最后的长字符串是Digest,或公钥的哈希值。

所有DS记录都必须符合RFC 3658. 

购物车