DNSSEC
1) 现有 DNS 协议的缺陷与问题?
域名系统(Domain Name System , DNS)是一些“ Too simple, Too Naive ”的互联网先驱者设计的,它象互联网的其他协议或系统一样,在一个可信的、纯净的环境里运行得很好。但是今天的互联网环境异常复杂,充斥着各种欺诈、攻击, DNS 协议的脆弱性也就浮出水面。对 DNS 的攻击可能导致互联网大面积的瘫痪,这种事件在国内外都屡见不鲜。
2) DNSSEC 是什么?为什么说它很重要?
DNS 的最大缺陷是解析的请求者无法验证它所收到的应答信息的真实性,而 DNSSEC 给解析服务器提供了防止上当受骗的武器,即一种可以验证应答信息真实性和完整性的机制。利用密码技术,域名解析服务器可以验证它所收到的应答(包括域名不存在的应答)是否来自于真实的服务器,或者是否在传输过程中被篡改过。
通过 DNSSEC 的部署,可以增强对 DNS 域名服务器的身份认证,进而帮助防止 DNS 缓存污染等攻击。 DNSSEC 是实现 DNS 安全的重要一步和必要组成部分
http://www.cnnic.net.cn/gcjsyj/qyjsyj/dnssec1/