【51CTO.com 9月6日外電頭條】DNSSEC 正在慢慢出籠，但是，這對用戶意味著什么？我們現有的設備是否使用它？目前還沒有具體的相關信息公布，不過本文試圖解決你的一些疑惑。

互聯網離不開DNS。雖然 DNS 可能不會崩潰，但它顯式的信任機制很明顯是一個糟糕的注意。一些心懷鬼胎的人已經找到了一種稱為“DNS 劫持”的方法，可利用這種信任對用戶造成損害。如果你覺得這種說法很難理解，那下面這個例子會讓你明白。

你需要向多個賬號轉賬，點擊銀行書簽，接著在瀏覽器中就會打開這個銀行網站。你正常地登錄，但是網站的反應有些不正常。這時，你應該做什么呢？

現在，提出一個值得認真對待的問題：“你怎么知道那個網站真的就是你想要的銀行網站呢？”

目前，還沒有百分百的確認方式，那些壞蛋喜歡的就是這一點。他們可以修改 DNS 信息，將瀏覽器中網頁指向一個惡意網站，這個網站看起來和你想要訪問的網站一模一樣。還不明白嗎？我們會登錄，輸入用戶名和密碼。結果：壞人通過欺騙的手段獲得了我們的信任。

DNSSEC

IETF（互聯網工程任務組）從 1997 年已開始尋找方法， 來防止上述“錯誤指向”的發生。他們提出的解決方案就是 DNSSEC（Domain Name System Security Extensions，既域名系統安全擴展）。看起來，這是一個不錯的想法，至少根據介紹該系統的白皮書是如此。51CTO編者注：2009年11月，威瑞信（VeriSign）公司公布其已開始為.com和.net全球頂級域名（Top Level Domains, TLDs）部署DNS安全擴展協議（DNSSEC），防止互聯網的域名系統（DNS）受到“中間人”和緩存投毒攻擊。

不過，對用戶以及我們的家庭/辦公室網絡，DNSSEC 有什么意義？對此并沒有太多的信息。經過一番搜索研究，我總結了以下幾點你應該了解的信息：

1. 路由器必須能夠處理什么樣的信息

路由器必須能夠處理大于正常大小的 DNS 包。原因在于新的授權規定，DNS 當前所用的是 512 字節的 UDP 包，DNSSEC 響應的大小大于 512 字節。這會帶來一些問題。某些路由器的程序設定會拒絕大于 512 字節的 DNS 包。

另外，路由器還必須能夠處理已轉換為 TCP/IP 的DNSSEC 查詢。如果較大的 UDP 包存在問題，DNS 服務器可按照指令使用 TCP/IP 發送 DNSSEC 響應。如果路由器無法提供這種功能，DNS 查詢將會失敗。

最后，路由器必須能夠正確地處理 DNSKEY、RRSIG、NSEC 和 NSEC3。DNSSEC 流量驗證需要這些新的 DNS 來源記錄。邊界路由器必須能夠處理這些記錄，否則信任鏈條將會斷掉。

2. 確認路由器是否兼容 DNSSEC

有關這個問題，我在較新的資料中沒有找到答案。不過，在 2008 年的一份報告，找到了一些有用的信息。這份報告的名字是：《DNSSEC 對寬帶路由器和防火墻的影響》（DNSSEC Impact on Broadband Routers and Firewalls）。這份報告的研究團隊做了一些細致的研究，對 24 款個人和公司所用的路由器進行了測試。你可以在這份報告中查看自己的路由器的是否兼容。如果沒有找到有關信息，你可以咨詢路由器的制造商。

3. 其他一些 DNS 安全測試

以下兩個測試與 DNSSEC 沒有直接關聯，不過，在上文那份白皮書的結果中，提供了這兩項測試：

拒絕非初始 DNS 查詢

隨機分配 DNS 查詢端口

這兩項測試都非常重要，可消除兩種入侵風險。通常，這些信息是不提供的，建議你打電話向路由器制造商咨詢。

4. 固件升級

升級網關設備上固件永遠都沒有錯，而且現在比以往更為重要。如果你的路由器無法通過 2008 年的 DNSSEC 測試，試著將固件升級為最新版本，很可能可以解決問題。

5. 上游互聯網提供商是否做好準備

這個問題也許并不是什么問題，不過，問問總不會有什么損失。我會詢問的兩個問題：

如何保護 DNSSEC 驗證密鑰？

如果無法正常運行，應該和誰聯系？

Firefox 用戶提示

DNSSEC Validator 是一款 Mozilla 瀏覽器擴展，可檢查 DNSSEC 是否存在以及相關驗證。地址欄中不同顏色的關鍵字表示 DNNSEC 下某個特定域名的狀態。

最后的一點想法

DNSSEC 具有一種潛力，能夠極大地增加網絡的安全性，但是前提是必須對其進行正確的部署。這意味著我們的路由器必須成為信任鏈條的一部分。最后，我還要提供一點想法：如果路由器無法正確地處理 DNSSEC 包，用戶的在線體驗將會顯著的下降。

原文鏈接：http://blogs.techrepublic.com.com/five-tips/?p=277

【51CTO.com獨家譯稿，非經授權謝絕轉載，合作媒體轉載請注明文章出處及作者！】