网络通信 频道

DNSSec:冲出逆境,迎接曙光

  【IT168 技术】随着互联网应用的日益广泛以及DNS自身的创新及发展(如智能DNS、国际化域名等),DNS遭遇攻击以后影响范围逐渐从单个区域扩展到多个国家和地区,而且直接影响互联网的安全稳定运行,进而可影响整个国家安全、社会秩序以及公共利益。

  DNS安全扩展协议(DNSSEC)主要解决了DNS欺诈以及缓存中毒攻击等问题,是域名安全体系中一项重要的技术。截至2014年初,全球390个优异域名中已经有197个签署了DNSSEC安全协议,部署比例超过53%。在新通用优异域(New gTLD)申请中,DNSSEC已经作为必要的申请条件写入了申请人指南。

  在今年6月于伦敦举行的ICANN第50次大会上,中国国家互联网信息办公室主任鲁炜也明确指出了中国将全面推进安全域名扩展(DNSSEC)工作。

  那么为什么这项技术能够有效遏制DNS欺诈或缓存中毒攻击,而DNSSec的发展之路却又如此艰辛和漫长,以及现在部署的迫切性,以下将给出答案。

  DNSSec 详解—DNSSec功能

  DNSSec全称是域名系统安全扩展,它对于网上可靠的交流与交易都至关重要。它可以修复域名系统中由来已久的易造成重大后果的缓存中毒漏洞。

  缓存中毒漏洞究竟存在多少年了呢?大约在25年前,Steve Bellov于1990年在其论文中首次描述了缓存中毒的可能性。其重要性如何呢?可以说我们无法成功应对缓存中毒的威胁,网上的任何事情都不安全,因为任何一项重大交易都是由DNS促成的。

  DNSSec的采用在2010和2011年初见端倪后,又似乎中途受阻。DNS业界也做了很大努力,签署了优异域名,包括根域名.com, .net和.org以及许多国家代码优异域名。但是其分区的采用却微乎其微。

  .com是最大的优异域名,拥有超过100,000 的签署分区 。一些国家代码优异域名拥有更高的采用率,但是许多域名的采用情况却如gTLD一般惨淡。问题出在哪儿呢?

0
相关文章