安全域名系統(tǒng)使用指南 預防誤入網(wǎng)站

以Kang Custer為首的互聯(lián)網(wǎng)服務(wù)提供商終于決定開始部署域名系統(tǒng)安全擴展（DNSSEC）協(xié)議。因此、這似乎是開始學習使用的最佳時機。

經(jīng)常訪問的網(wǎng)站、發(fā)現(xiàn)停機或一些非常淫穢網(wǎng)站（DNS）的原因是由于域名系統(tǒng)被污染而造成的，域名系統(tǒng)緩存污染不經(jīng)常發(fā)生，但問題是如果真的發(fā)生了，這可能會導致互聯(lián)網(wǎng)上大部分地區(qū)陷于停頓狀態(tài)，解決這是什么導致的潛在威脅？答案是DNS安全擴展（DNSSEC）。

域名系統(tǒng)通常是由這樣的環(huán)境污染，DNS是互聯(lián)網(wǎng)地址列表管理，在它的幫助下、你不需要輸入類似“http://52.221.137.239/”由于海騰的許多IPv4地址訪問到相應(yīng)的網(wǎng)站，只要輸入“http://www.htidc.com”來達到相應(yīng)的目的，但是、你的瀏覽器是如何確定正確的地址209.85.135.99”屬于海騰呢，它是做不到這一點的。它需要依賴DNS，沒有什么可抱怨的、沒有內(nèi)置的DNS系統(tǒng)，以確保向瀏覽器返回的任何信息都是正確和有效的。

DNSSEC的作用就是通過要求網(wǎng)站利用DNS服務(wù)器來對域名和對應(yīng)的網(wǎng)絡(luò)IP地址進行驗證的方式來防止DNS緩存被污染、為了確保信息不遭到破壞、DNSSEC使用數(shù)字簽名和公鑰技術(shù)來對交換信息進行了加密。需要摧毀一個受歡迎的網(wǎng)站的DNS信息以獲得加密信息，這反過來又使得黑客更難攻擊DNS服務(wù)器。

自7月15日以來、作為主DNS服務(wù)器的13臺互聯(lián)網(wǎng)根域名服務(wù)器已經(jīng)實現(xiàn)了對DNSSEC的支持、現(xiàn)在、互聯(lián)網(wǎng)294個頂級域（TLD）已經(jīng)有55個開始支持DNSSEC。這包括所有非營利組織使用的.org域和教育機構(gòu)使用的.edu域。并且、威瑞信已經(jīng)決定從2011年初起為.net域提供DNSSEC支持。

對我們大多數(shù)人來說、這種程度的變化實在是無關(guān)緊要。我們不需要調(diào)用根域名服務(wù)器或頂級域名來解析域名。事實上、切換到DNSSEC給我們帶來的影響才剛剛開始。10月18日、Kang Custer成為第一個部署DNSSEC的主要互聯(lián)網(wǎng)服務(wù)提供商。所以、如果你想使用DNSSEC現(xiàn)在已經(jīng)沒問題了。不論你是否屬于Kang r用戶、你可以設(shè)置你的DNS服務(wù)器指向IP地址是75.75.75.75和75.75.76.76。關(guān)于操作的詳細說明，你可以看Kang Custer提供的DNSSEC描述視頻。如果你想知道為什么使用DNSSEC它是一個好主意，您可以登錄到新成立的安全域名系統(tǒng)指南網(wǎng)站，它提供了全面和詳細的信息。

所以，如果說dnsec是一個非常好的想法的話，為什么不是每個人都已經(jīng)完成了嗎？這就是你所看到的，就像互聯(lián)網(wǎng)的重大調(diào)整一樣。在應(yīng)用DNSSEC到舊的程序和硬件上時、可能會出現(xiàn)問題。

主要的問題是、一些路由器、交換機、防火墻、不能有效處理DNSSEC數(shù)據(jù)包。DNS流量使用的是用戶數(shù)據(jù)報協(xié)議（UDP），總的來說、DNS的UDP數(shù)據(jù)包的大小在512字節(jié)之內(nèi)。因此，網(wǎng)絡(luò)上的許多軟件和硬件默認拒絕超過512字節(jié)的任何UDP數(shù)據(jù)包。不幸的是、DNSSEC的數(shù)據(jù)包都是超過512字節(jié)。

在某些系統(tǒng)中、這可能導致DNS出現(xiàn)故障。在其他系統(tǒng)中、它可能導致故障，并傳輸?shù)絺鬏斂刂茀f(xié)議（TCP）。與UDP相比使用TCP的缺點是它占用了更多的帶寬。雖然這可能不是一個大問題，但對于企業(yè)網(wǎng)絡(luò)的管理者來說，這會導致潛伏期明顯增加。并且，沒人喜歡互聯(lián)網(wǎng)速度變慢。

此外、當客戶搜索不存在的網(wǎng)站時，一些Internet服務(wù)提供商和DNS服務(wù)器將重寫DNS應(yīng)答信息，并將其重定向到定制的搜索頁面。例如、我使用OpenDNS的原因是它的DNS查詢的速度比我的互聯(lián)網(wǎng)服務(wù)提供商快。然而、如果我輸入的域名不存在、它會返回一個OpenDNS搜索頁面。當你這樣做時使用opendns在DNSSEC會發(fā)生什么？我不知道、但是我有這種工作情況我會有不好的感覺。

順便說一句、DNS安全管理方面，OpenDNS提供其他選擇：DNSCurve。DNSCurve將如何實現(xiàn)與DNSSEC協(xié)同工作？答案是不可能的、他們試圖使用一種不同的方法來實現(xiàn)DNS安全性。對于用戶來說、這可能意味著無論在其他地方使用什么安全措施，您仍然可以使用DNS，但如果使用不同的技術(shù)，您將不會獲得任何保障在安全方面。

就我個人而言、我認為你現(xiàn)在能做的最好的事情是更新內(nèi)部DNS軟件和固件升級到最新DNSSEC兼容版本。我們還可以了解上游的DNS是否按照域名系統(tǒng)運行分析研究中心為非網(wǎng)絡(luò)管理員用戶提供的指南部署了DNSSEC。為簡單起見、你也可以選擇運行java應(yīng)用程序，并迅速得到明確的答案。

如果你發(fā)現(xiàn)ISP不使用DNSSEC，提醒他們盡快部署。DNSSEC是未來的一種趨勢、越早的ISP部署使用，就會獲得更高的安全性。

工業(yè)控制系統(tǒng)邁向開放 你想好如何進行安全防范了嗎？

 關(guān)于收不到郵件的說明            對全球開放的允許注冊的后綴的域名有哪些？