之要不要用DNSSEC?

先來談談DNSSEC

• DNSSEC(Domain Name Security Extensions)
  • DNSSEC是DNS延伸的網域安全協議，在其網域上加上數位簽章，可確保DNS查詢記錄沒有被篡改
    • 類似一個安全保險替DNS背書，採用公鑰私鑰方式確保訊息的不可誣賴與不可篡改性
    • 例如說使用者本來要去example.com，但是被惡意引導到examples.com，假設這是一個不安全網域，那沒有第三方保護裝置的提醒下就會發生危險
• 聽起來DNSSEC是保護DNS，會有什麼樣的問題

  • DNSSEC可以保證數據不被篡改，但是可以被監聽

    • DNSSEC屬於只簽名，不加密。Https才有雙向簽名跟加密
      • 但是DNSSEC屬於DNS的子集，所以跟DNS共用一個port．Https為了做到雙向加密，另開一個端口實現多次握手。兩者在通訊速度上就有差異
    • 無法防範中間人攻擊

  • 無法承受DDOS攻擊

    • DNSSEC屬於DNS一個子集，若是DNS掛掉DNSSEC也無作用

  • 不能保證空域名

    • 就算沒有拿到dns不代表真的沒有，有可能是惡意丟包
    • 於是有了NSEC

NSEC

• 什麼是NSEC
  • NextSECure
    • 下一個域名是什麼
  • 例如說目前有4個域名，那NSEC紀錄就會長

  A.example.com IN A 1.2.3.4
      A.example.com IN NSEC B.example
  B.example.com IN A 5.6.7.8
      B.example.com IN NSEC C.example
  C.example.com IN A 1.2.6.7
      C.example.com IN NSEC E.example
  E.example.com IN A 6.7.8.9
      E.example.com IN NSEC A.example
  

  • 會出現什麼問題？
    • 攻擊者有耐心一點，遍歷一遍就能取得所有的子網域了