网络安全
DNSSEC
别称: DNS 安全扩展
定义
一组对 DNS 区域数据进行加密签名的扩展,使解析器能够验证 DNS 响应的真实性与完整性。
DNSSEC(域名系统安全扩展)为 DNS 记录添加公钥签名,验证解析器可借此确认应答确实来自权威区域且未在传输中被篡改。每个区域发布 DNSKEY 记录,并使用 RRSIG 对其资源记录签名;父区域中的 DS 记录则形成从已签名根开始的信任链。DNSSEC 可防御缓存投毒、中间人篡改以及来自伪造解析器的应答。它不加密查询本身,机密性需依赖 DoH 或 DoT。然而,DNSSEC 是可信名称解析的关键基石,也是 DANE 等上层协议的基础。
示例
- 验证解析器拒绝对 bank.example 的伪造应答,因为 RRSIG 无法用已发布的 DNSKEY 验证通过。
- 注册局轮换 ZSK 并在父区域发布新的 DS 记录以保持信任链。
相关术语
DNS 欺骗
通过注入伪造的 DNS 响应,将受害者从合法域名重定向到攻击者控制的 IP 地址的攻击。
DNS 缓存投毒
向 DNS 递归解析器缓存中插入伪造记录的攻击,使其在 TTL 过期前持续返回攻击者指定的地址。
DNS over HTTPS(DoH)
通过加密 HTTPS 连接传输 DNS 查询和响应的协议,防止其在本地网络上被窃听或篡改。
DNS over TLS (DoT)
DNS over TLS (DoT) — definition coming soon.
公钥基础设施(PKI)
由政策、软件、硬件和可信机构组成的体系,负责签发、分发、验证和吊销数字证书,将身份与公钥绑定。
数字签名
一种公钥密码学机制,用于证明消息或文档的真实性、完整性以及不可否认性。