Câu hỏi DNS biết ai để tin tưởng?


Khi tôi đăng ký một tên miền, và cập nhật các bản ghi DNS, những thay đổi này sẽ lan truyền đến các máy chủ DNS khác trên toàn thế giới. Nhưng làm thế nào để các máy chủ chấp nhận những thay đổi này biết rằng họ có thể tin tưởng những thay đổi này? Làm cách nào để đảm bảo rằng đó không phải là tội phạm, chuyển hướng lưu lượng truy cập từ example.com đến trang web phần mềm độc hại của họ bằng cách thay đổi bản ghi DNS?


2
2018-04-23 04:48


gốc


Câu trả lời đơn giản là nó không biết ai để tin tưởng. Đó là lý do mà hai thay thế có thể có cho hệ thống DNS tiêu chuẩn đang được đề xuất. DNSsec là một trong những giải pháp khả thi. Để làm cho một quy trình phức tạp đơn giản cả hai liên quan đến một "vòng tròn của sự tin tưởng", nơi tất cả các bên phải đồng ý thay đổi thực sự là hợp lệ. - Ramhound
Ramhound: DNSSEC chắc chắn không phải là "thay thế" cho DNS, nó là một phần mở rộng của nó. - bortzmeyer


Các câu trả lời:


  1. DNS Không đẩy theo cách bạn nghĩ. "Propgation" duy nhất nằm trong các máy chủ có thẩm quyền cho một miền (ví dụ, com. TLD).
  2. Chỉ các nhà đăng ký mới có thể cập nhật bản ghi TLD NS và Bản ghi keo. Nó được theo dõi mà công ty đăng ký hiện đăng ký một tên miền.
  3. Có rất ít xác minh tính toàn vẹn của bản ghi, đó là lý do tại sao có thể gây ngộ độc bộ nhớ cache, cùng với một loạt các cuộc tấn công tương tự khác. DNSsec tìm cách giải quyết vấn đề này, nhưng việc áp dụng đã được chậm chạp.

6
2018-04-23 05:03