Entry № 383
DNSSEC
DNSSEC 是什么?
DNSSEC一组 DNS 扩展,通过数字签名使解析器能够验证 DNS 记录的真实性和完整性。
DNSSEC(域名系统安全扩展)为 DNS 记录添加加密签名,使解析器可以证明应答来自合法的区域且未在传输中被篡改。每个区域使用私钥对记录进行签名,并在 DNSKEY 记录中发布对应的公钥,信任链通过每一级委派中的 DS 记录从根区一直向下建立。具有验证能力的解析器会拒绝签名错误或缺失的应答,从而抵御 DNS 缓存投毒和路径上的伪造攻击。DNSSEC 不提供机密性,需要与 DoH 或 DoT 结合使用,才能对外部观察者隐藏查询内容。
● 示例
- 01
银行对其区域签名,解析器据此拒绝来自被投毒缓存的伪造 A 记录。
- 02
顶级域注册局发布 DS 记录,为下级委派区域锚定信任链。
● 常见问题
DNSSEC 是什么?
一组 DNS 扩展,通过数字签名使解析器能够验证 DNS 记录的真实性和完整性。 它属于网络安全的 网络安全 分类。
DNSSEC 是什么意思?
一组 DNS 扩展,通过数字签名使解析器能够验证 DNS 记录的真实性和完整性。
如何防御 DNSSEC?
针对 DNSSEC 的防御通常结合技术控制与运营实践,详见上方完整定义。
DNSSEC 还有哪些其他名称?
常见的别称包括: DNS 安全扩展。