A Longitudinal, End-to-End View of the DNSSEC Ecosystem
This paper is included in the Proceedings of the 26th USENIX Security Symposium
2017USENIX
Crypto Deployment
作者
知识点
DNSSEC
DNS 查询是明文传输的,也就是说中间人可以在传输的过程中对其更改,甚至是去自动判断不同的域名然后去做特殊处理。即使是使用其他的 DNS 缓存服务器,如 Google 的 8.8.8.8,中间人也可以直接截获 IP 包去伪造响应内容。DNSSEC 这一个扩展可以为 DNS 记录添加验证信息,于是缓存服务器和客户端上的软件能够验证所获得的数据,可以得到 DNS 结果是真是假的结论。
-
DNS服务器收到DNS查询请求后,用散列函数将要回复DNS文的内容进行散列运算,得到“内容摘要”,使用私匙加密后再附加到DNS报文中;
-
DNS查询请求者接收到报文后,利用公匙解密收到的“内容摘要”,再利用散列函数计算一次DNS查询请求报文中的“内容摘要”,两者对比;
-
若相同,就可以确认接收到的DNS信息是正确的DNS响应;若验证失败,则表明这一报文可能是假冒的,或者在传输过程、缓存过程中被篡改了。
摘要
DNSSEC功能;DNSS