dnssec

最新推荐文章于 2025-01-03 16:05:27 发布
最新推荐文章于 2025-01-03 16:05:27 发布
阅读量379 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: CDN与DNS 文章标签: 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiangjie256/article/details/84907600
Domain Name System Security Extensions (DNSSEC)DNS安全扩展

DNSKEY:用于存储验证 DNS数据的公钥

RRSIG(Resource Record),即资源记录,用于存储 DNS资源记录的签名信息

KSK:表示密钥签名密钥 (Key Signing key) (一种长期密钥)

ZSK:表示区域签名密钥 (Zone Signing Key) (一种短期密钥)

DS(Delegation Signer)记录:授权签名者,DS记录存储DNSKEY的散列值,用于验证DNSKEY的真实性

1.DNSSEC 使用短期密钥(即区域签名密钥 (ZSK) ) 来定期计算 DNS 记录的签名
2.同时使用长期密钥(即密钥签名密钥 (KSK) ) 来计算 ZSK 上的签名

# dig paypal.com @8.8.8.8 +dnssec ds

; <<>> DiG 9.9.3 <<>> paypal.com @8.8.8.8 +dnssec ds
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38668
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;paypal.com. IN DS

;; ANSWER SECTION:
paypal.com. 57156 IN DS 21037 5 2 0DF17B28554954D819E0CEEAB98FCFCD56572A4CF4F551F0A9BE6D04 DB2F65C3
paypal.com. 57156 IN RRSIG DS 8 2 86400 20170829041641 20170822030641 5528 com. HDB5dzNMA7mXV7qjhkcX0W/KnzvcvITTQWAP/s/wZ6n55NwHi9QYMBTb EHFQq+KSG2hoWWugHA8QF5zmehLgS4Z+uhnUNaGEYORcC5GXpWB4mO1d gK3aAEsv5mRxQw6Ddjjp/U6vsTHO+q2J257v5aD9vkvE/t2UEWEFYRX5 hcc=


去com的授权上查:

# dig paypal.com @a.gtld-servers.net +dnssec ds

; <<>> DiG 9.9.3 <<>> paypal.com @a.gtld-servers.net +dnssec ds
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15090
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 14, ADDITIONAL: 27
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;paypal.com. IN DS

;; ANSWER SECTION:
paypal.com. 86400 IN DS 21037 5 2 0DF17B28554954D819E0CEEAB98FCFCD56572A4CF4F551F0A9BE6D04 DB2F65C3
paypal.com. 86400 IN RRSIG DS 8 2 86400 20170829041641 20170822030641 5528 com. HDB5dzNMA7mXV7qjhkcX0W/KnzvcvITTQWAP/s/wZ6n55NwHi9QYMBTb EHFQq+KSG2hoWWugHA8QF5zmehLgS4Z+uhnUNaGEYORcC5GXpWB4mO1d gK3aAEsv5mRxQw6Ddjjp/U6vsTHO+q2J257v5aD9vkvE/t2UEWEFYRX5 hcc=
Windows2016 DNSSEC配置
游离态De猫
09-29 1585
Windows2016 DNSSEC配置 设备 计算机名 IP地址 作用 DNS指向地址 Windows2016-1 DNS1 192.168.10.1 DNS服务器 192.168.1...
DNSSEC 是什么?解决什么问题?
qq_46082433的博客
06-04 165
DNSSEC(DNS安全扩展)是保护DNS查询的安全协议,通过数字签名技术解决传统DNS的安全缺陷。它提供数据来源认证、完整性保护和抗否认性,防止DNS欺骗和中间人攻击。DNSSEC使用非对称加密和信任链验证机制,关键记录包括RRSIGDNSKEY等。虽然部署复杂且存在性能影响,全球部署率约30%,但仍然是DNS安全的重要解决方案。需注意DNSSEC不提供查询加密,建议结合DoT/DoH使用。常见问题包括密钥管理和验证失败排查。
DNSSEC 原理、配置与布署简介
wuwentao2000的专栏
05-26 9695
<br />本文转载自:http://netsec.ccert.edu.cn/duanhx/archives/1479<br />作者:段海新,清华大学信息网络工程研究中心<br /> <br />-------------------------------------------------------------------------------------------------------<br /><br />摘要:DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。本文概要介绍DN
DNSSec网络安全的守护者
jiamisoft的博客
07-12 760
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
DNSSEC:守护网络域名安全
2401_89925308的博客
01-03 1027
提供域名解析与流量调度服务,“权威与递归”结合,发挥最大性能。独创DNS层面的网络流量调度,根据用户访问的网站,智能转发解析请求和返回解析结果,配合目的地址由策略,实现流量调度,充分利用带宽资源,提升用户体验。
DNSSEC学习笔记
热门推荐
huangzx3的博客
01-17 1万+
1 、什么是DNSSEC DNSSEC(DNS Security Extension)----DNS安全扩展,主要是为了解决DNS欺骗和缓存污染问题而设计的一种安全机制。 1.1 DNS欺骗&amp;缓存污染 客户端(pc)发起域名(例如:www.baidu.com)请求的时候,如果在本地缓存没有的情况下,会往递归服务器发送域名查询请求(我们也称之为localdns),递归服务器再一层层递归...
DNSSEC验证器「DNSSEC Validator」-crx插件
03-08
DNSSEC Validator是Web浏览器的附加组件,它使您可以在浏览器窗口当前显示的页面地址中检查DNSSEC DNS记录中域名的存在和有效性。 该检查的结果使用颜色键和信息文本显示在页面的地址栏中。 重要的! 该附加组件通过...
dnssecjava:适用于Java的DNSSEC验证存根解析器
05-07
用于Java的DNSSEC验证存根解析器。 该库可以安全使用吗? 也许。 到目前为止,尚未对代码进行审核,因此绝对没有保证。 其余部分当前取决于您的用例:肯定响应正确的证明应该可以安全使用。 大多数NXDOMAIN / NO...
DNSSEC Zone Key Tool (ZKT)-开源
04-15
DNSSEC(DNS Security Extensions)区域密钥工具(ZKT)是一个专门为DNSSEC区域和密钥管理设计的开源软件。DNSSEC是一种网络安全协议,用于增强DNS(域名系统)的安全性,防止中间人攻击、数据篡改和其他DNS相关的...
nsec3map:一种使用其DNSSEC NSEC或NSEC3链枚举DNS区域的资源记录的工具
05-04
nsec3map-DNSSEC区域枚举器 nsec3map是一个可以基于DNSSEC或记录链枚举DNS区域条目的工具。 如果该区域启用了DNSSEC,则可用于以最少的查询量快速发现DNS区域中的主机。 编写nsec3map主要目的是为了表明NSEC3没有...
hs-dnssec-analyzer:用于握手名称的DNSSEC分析器
05-27
握手DNSSEC分析器 一个使用和检查DNSSEC的网站。 当前可在,不久新的Handshake名称。 用法 访问该站点并输入任何握手(或常规)域。 发展 git clone < this> && cd hs-dnssec-analyzer pip install -r requirements...
DNSSEC:它是什么?为什么说它很重要?
03-18
NULL 博文链接:https://hanz188.iteye.com/blog/657958
DNSSEC?禁止套娃!
飞翔的红猪
03-08 936
简介 DNSSEC是DNS安全拓展,主要思想是通过在DNS记录中添加加密签名,从而为DNS解析流程提供来源可认证和数据完整性的保障。 本文的目的是帮助大家大致理解DNSSEC的工作流程 建议读者先掌握以下知识点再来阅读本文: DNS解析流程 对数字签名有一个基本了解 ZSK and KSK? 在介绍DNSSEC之前,有必要先介绍一下区域签名密钥(ZSK)和密钥签名密钥(KSK),此处只需要大家对这俩名词有一个简单的认识,当然了,这俩东西都是密钥对,也就是既有私钥也有公钥。 区域签名密钥ZSK: 假设
【DNS】DNS安全性拓展——DNS缓存污染(投毒)——DNSSEC【共创】
2301_77071929的博客
04-29 741
客户端发送请求到暂存缓存服务器,找不到向dns服务器发送查询 1.攻击者抢先发送大量伪造的dns reply报文给缓存服务器,抢先命中(Query ID)并置入缓存,缓存服务器向客户端返回错误结果,客户端进入恶意网页 2.攻击者窃取合法域名的响应,然后修改并发送伪造的响应,将其缓存在递归DNS服务器中。那么,它的dns缓存有可能就是污染了。正常流程:客户端发送请求到暂存缓存服务器,找不到向dns服务器发送查询,找到后,存到缓存服务器,缓存服务器再向客户端返回结果,客户端进入正常网。
DNSSEC
好小葱1的博客
04-13 1302
中文入门讲解(原理\配置\部署) http://netsec.ccert.edu.cn/duanhx/?p=1479 用 BIND 搭建高可用性 DNSSEC 仅权威服务器 https://www.v2ex.com/t/143009 正规比较全面的文章: https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-
深入浅出DNS系列(十)- DNSSEC
jiangsd198的博客
03-13 4257
dnssec是dns协议的安全加密版本,但实际上发展得非常缓慢,要实现dnssec的所描述的安全,解析库、localdns、SOA服务器都必须实现dnssec才行。
bind-dnssec配置
linggang_123的博客
08-15 1448
而所谓的分布式就是,A可以向很多很多DNS服务器发送请求,这样就会成为N多服务器攻击同一台计算机(服务器:我是冤枉的/(ㄒoㄒ)/~~)。(1)开始以为BIND的效率挺差的,但是后来真正用起来发现还是相当快的,加上功能多,真不愧是当今世界上应用最广泛的DNS服务器。说的好听一点,它是对域名进行签名认证,保证域名的完整性和正确性,不会被修改。DNSSec不能防御对DNS服务器的攻击,也不会对请求和应答的数据进行加密,甚至如果你不知道DNSSec这个东西的话,域名是不是完整正确的你也不知道。
DNS(Domain Name System)之dnssec安全的简单介绍
kuangfeng的博客
05-21 2870
DNS(Domain Name System)之dnssec安全
DNSSEC 技术详解
zhujun300的博客
04-30 1831
DNSSEC技术详解
DNSSEC怎么开启
最新发布
07-25
### DNSSEC的开启与配置 DNSSEC(DNS Security Extensions)是一种基于公钥加密的DNS扩展协议,用于增强DNS解析过程中的安全性。它通过为DNS数据添加数字签名,确保解析器接收到的DNS记录未被篡改,从而有效防止DNS缓存投毒和DNS欺骗攻击。虽然DNSSEC不会加密DNS传输内容,但它能够验证DNS数据的完整性和来源真实性[^1]。 要在DNS服务器上启用DNSSEC,首先需要确保使用的DNS服务器软件支持该功能。目前主流的DNS服务器,如BIND、Windows Server DNS角色、Knot DNS等,均已支持DNSSEC功能。 以BIND为例,启用DNSSEC的基本配置流程包括: 1. 在`named.conf`中启用DNSSEC功能: ```conf options { dnssec-validation yes; dnssec-lookaside auto; }; ``` 2. 为特定区域启用签名功能,例如对`example.com`进行签名: ```conf zone "example.com" { type master; file "example.com.zone"; key-directory "/etc/bind/keys"; auto-dnssec maintain; inline-signing yes; }; ``` 3. 使用`dnssec-keygen`生成区域签名密钥(ZSK)和密钥签名密钥(KSK): ```bash dnssec-keygen -a RSASHA256 -b 2048 -n ZONE example.com dnssec-keygen -a RSASHA256 -b 4096 -n ZONE -f KSK example.com ``` 4. 使用`dnssec-signzone`对区域文件进行签名: ```bash dnssec-signzone -S -o example.com example.com.zone ``` 完成上述步骤后,区域文件将被签名并生成`.signed`版本,DNS服务器将自动使用这些签名记录提供DNSSEC验证服务。 对于使用云服务提供商的用户,例如DNSPod,可以直接在控制台中启用DNSSEC服务。启用后,系统将自动生成和管理签名密钥,并提供DS记录供上层域名注册商配置[^2]。 启用DNSSEC后,必须将生成的DS记录提交到上一级域名服务器(通常是注册商),以建立信任链。只有完成DS记录的部署,DNSSEC的完整验证机制才能生效。 ### 相关问题 1. DNSSEC如何防止DNS缓存投毒? 2. 如何验证DNSSEC是否已正确启用? 3. DNSSEC对DNS解析性能有何影响? 4. 云服务提供商如何支持DNSSEC配置? 5. 如何生成和管理DNSSEC密钥?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值