安全是有分量的

网站安全防护_俄罗斯高防_新用户优惠

2021-05-05 08:38栏目:高防

网站安全防护_俄罗斯高防_新用户优惠

域名系统安全扩展(DNSSEC或DNS Security Extensions,DNSSEC或DNS Security Extensions)是一组因特网工程任务组(IETF)规范,用于保护由域名系统(DNS)提供的用于Internet协议(IP)网络上的某些信息。DNSSEC提供DNS解析程序对DNS数据的原始身份验证、已验证的拒绝存在和数据完整性,但不提供可用性或机密性DNSSEC使用基于公钥加密的数字签名对DNS进行身份验证。对于DNSSEC,签名的不是DNS查询或响应,而是DNS数据本身由数据所有者签名。在深入研究DNSSEC之前,了解DNS是什么以及为什么我们需要DNSSEC是很重要的。目录什么是域名系统(DNS)?DNS是如何工作的?什么是DNS区域?DNS数据库中存储了哪些信息?为什么DNSSEC很重要?DNSSEC资源记录词汇表DNSSEC如何工作?解析程序如何知道何时信任DNSSEC密钥?如何更换DNSSEC密钥?DNSSEC保护什么?为什么不是每个人都使用DNSSEC?DNSSEC汇总UpGuard如何帮助您监控DNSSEC1什么是域名系统(DNS)?域名系统(DNS)是一个层次化和分散的命名系统,用于连接到Internet的计算机、服务和其他资源。DNS将信息与域名相关联。最常见的用法是翻译人类可读的域名(比如icann.org)用于定位和标识具有底层网络协议的服务和设备的数字IP地址DNS将责任委托给每个域的权威名称服务器,这些服务器可以将域分配和映射到IP地址。这将创建一个分布式的、容错的服务,而不是集中托管的。DNS还定义了DNS协议,华为ddos防御命令,它是DNS中使用的数据结构和数据交换的规范2DNS是如何工作的?Internet依赖于DNS的正常工作。每一个网页、发送的电子邮件和接收到的图片都依赖于域名解析系统(DNS)将一个人类友好的域名转换为服务器、路由器和其他联网设备使用的IP地址。当你使用互联网时,一切都是从DNS开始的。想象你进入example.com网站进入你的浏览器。浏览器将使用存根解析程序(stub resolver)将网站的域名转换为IP地址。存根解析程序是一个简单的DNS客户端,它将对DNS数据的请求转发到更复杂的递归解析程序。许多网络运营商为他们的客户或公众运行递归解析器,包括Google、OpenDNS和Quad9。一旦递归解析程序收到您的请求,它就会将自己的DNS请求发送到多个权威名称服务器。所有域的DNS数据都存储在Internet上的名称服务器上。有些组织甚至自己运行,但大多数组织会将这一功能外包给第三方,如注册商、互联网服务提供商或网络托管公司。三。什么是DNS区域?DNS在许多不同的区域中被分解。每个区域管理DNS命名空间中的不同区域,并由特定的组织或管理员管理。 可以将DNS区域看作是允许对DNS组件(例如其名称服务器)进行精细控制的管理空间。域名称空间是一个层次结构树,DNS根域位于顶部,它控制所有其他DNS区域。每个DNS区域从树中的一个域开始,可以向下扩展到子域,允许一个实体控制多个子域树中的一个分支示例如下:根DNS区域Com DNS区域上行保护DNS区域请记住,DNS区域不一定与单个域名或单个DNS服务器关联。在某些情况下,同一服务器上可能存在多个子域或多个区域。区域严格授权控制,不一定物理上分开4DNS数据库中存储了哪些信息?DNS数据库中存储的最常见的记录是起始授权(SOA)、IP地址(A和AAAA)、SMTP邮件交换器(MX)、名称服务器(NS)、反向DNS查找指针(PTR)和域名别名(CNAME)5为什么DNSSEC很重要?DNS是因特网的电话簿,它告诉你的计算机在哪里发送和检索信息。不幸的是,DNS创建于20世纪80年代,当时互联网还很小,安全性不是主要考虑的问题。这意味着DNS将接受默认情况下给出的任何地址,而不询问任何问题。这可能导致各种网络攻击,并构成真正的网络安全威胁。当递归解析程序向名称服务器发送请求时,解析程序无法验证响应的真实性。它只检查响应是否与原始请求发送到的IP地址相同这是一种糟糕的身份验证形式,因为源IP可以伪造或伪造。这使得攻击者能够伪装成解析程序最初请求的权威名称服务器,伪装成来自他们的响应。 简单地说,攻击者可以在最终用户不知情的情况下将用户重定向到他们想要去的地方递归解析程序缓存DNS数据以加快解析速度,局域网ddos防御方法,这一事实使这个问题更加复杂。这意味着,如果您设备上的存根解析程序请求递归解析程序已经在其缓存(已保存)中的DNS数据,则它可以立即响应,而无需从名称服务器请求答案。虽然这样可以提高速度和效率,但也有很大的缺点。如果网络攻击发送被递归解析程序接受的伪造DNS响应,则称该解析程序具有中毒缓存,开发防御ddos,也称为DNS缓存中毒。这意味着与此解析程序交互的任何用户将被发送欺诈性DNS数据,直到生存时间(TTL)过期。DNSSEC试图在保持向后兼容的同时为DNS添加额外的安全性6DNSSEC资源记录词汇表在概述DNSSEC的工作原理之前,必须了解为DNSSEC使用而创建或调整的新DNS资源记录类型:RRSIG(资源记录签名):包含记录集的DNSSEC签名。DNS解析程序使用存储在DNSKEY记录中的公钥验证签名。DNSKEY:包含DNS解析程序用于验证RRSIG记录中DNSSEC签名的公钥。DS(委派签名者):保存委派区域的名称,并引用子委派区域中的DNSKEY记录。它与委派NS记录一起放在父区域中,这通常是域的顶级域(TLD)。NSEC(next secure record):包含指向区域中下一个记录名称的链接,并列出该记录名称存在的记录类型。DNS解析程序使用NSEC记录来验证是否存在记录名称和类型,作为DNSSEC验证的一部分。NSEC3(next secure record version 3):包含到区域中下一个记录名称的链接(按散列名称排序顺序),并在NSEC3记录自身名称的第一个标签中列出哈希值所涵盖名称的记录类型。作为DNSSEC验证的一部分,解析程序使用它们来验证是否存在记录名称和类型。它们与NSEC记录类似,但使用加密散列的记录名称,以避免在区域中枚举记录名称NSEC3PARAM(next secure record version 3 param):权威DNS服务器使用此记录计算并确定在响应DNSSEC对不存在的名称/类型的请求时要包括哪些NSEC3记录。7DNSSEC如何工作?当使用DNSSEC时,除了请求的记录类型外,每个DNS请求的应答都包含RRSIG DNS记录。RRSIG记录是请求的DNS数据的数字签名。通过定位DNSKEY中找到的正确公钥来验证数字签名。NSEC和NSEC3记录用于提供不存在任何请求的加密证据。这也被称为认证拒绝存在。在dnskey的身份验证中,使用了一种称为信任链的委托签名器(DS)。NSEC和NSEC3还可以提供强大的抗欺骗能力信任链从DNS根区域的一组经过验证的公钥开始,该根区域是受信任的第三方。域所有者生成自己的公钥/私钥对,并使用域名注册处的DNS控制面板将其上载,后者通过secDNS将密钥推送到区域运营商(例如com区域的Verisign),后者在DNS中签名并发布它们这可以防止解析程序缓存伪造或操纵的DNS数据,并防止缓存中毒简而言之,DNSSEC为DNS提供了两个安全功能:数据源身份验证:允许解析程序以加密方式验证来自请求区域的数据。数据完整性保护:允许解析程序知道数据在传输过程中没有被修改,并且最初是由区域所有者的私钥签名的。这两个安全特性都是任何递归解析程序来查找区域中的数据并检索区域的公钥,然后使用该公钥验证所提供DNS数据的真实性。然后解析程序确认接收到的数字签名与他们期望的相匹配,并将其返回给最终用户。如果签名无效,解析程序将假定网络攻击,丢弃数据并返回错误。8解析程序如何知道何时信任DNSSEC密钥?每个区域发布其公钥,香港高防cdn,解析程序可以使用该公钥验证区域中的数据。公钥的完整性可以像区域中的其他数据一样确定,因为它也是经过签名的。不同的是,它的公钥由其父区域的私钥签名例如UpGuard.com网站区域公钥由其父级com区域签名。每个区域父级负责保证其子区域的公钥的真实性。您可以沿着这个逻辑一直沿着DNS树一直到DNS根区域,最强防御cc,它负责所有的子区域。根据定义,它没有