日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

對DNS安全的所有問題而言，域名系統(tǒng)安全協(xié)議（DNSSEC）是不能包治百病的。它不能夠終止路過式（drive-by）攻擊、拒絕服務(wù)攻擊或其他任何類型的利用社會工程學(xué)和基于頂端DNS保護(hù)服務(wù)的攻擊。但它確實(shí)可以有效阻止病毒攻擊和DNS騎劫，而這正是互聯(lián)網(wǎng)電子商務(wù)的一個(gè)重大的威脅。DNSSEC正在穩(wěn)步發(fā)展，早期的采用者已經(jīng)開始不斷發(fā)展制訂技術(shù)標(biāo)準(zhǔn)和培訓(xùn)資料，以用來升級系統(tǒng)和對設(shè)備進(jìn)行適當(dāng)配置以適應(yīng)DNSSEC。那些屬于.gov域的聯(lián)邦機(jī)構(gòu)都必須在2009年年底前使用DNSSEC。而.Org是第一個(gè)應(yīng)用了DNSSEC的域。截至到本周，已有6000個(gè)使用.edu類域名的教育機(jī)構(gòu)注冊了DNSSEC的服務(wù)。預(yù)計(jì)在2011年.net和.com類域名也會注冊DNSSEC的解析服務(wù)。在這次采訪中，PIR的管理總監(jiān)（負(fù)責(zé)管理.org域名和Ram Mohan）Lance Wolak表示，他和Afilias公司的執(zhí)行副總裁Ram Mohan共同分享他們在此項(xiàng)目上的經(jīng)驗(yàn)，并展望了今后的DNSSEC部署的道路。 對DNS安全的所有問題而言，域名系統(tǒng)安全協(xié)議（DNSSEC）是不能包治百病的。它不能夠終止路過式（drive-by）攻擊、拒絕服務(wù)攻擊或其他任何類型的利用社會工程學(xué)和基于頂端DNS保護(hù)服務(wù)的攻擊。但它確實(shí)可以有效阻止病毒攻擊和DNS騎劫，而這正是互聯(lián)網(wǎng)電子商務(wù)的一個(gè)重大的威脅。DNSSEC正在穩(wěn)步發(fā)展，早期的采用者已經(jīng)開始不斷發(fā)展制訂技術(shù)標(biāo)準(zhǔn)和培訓(xùn)資料，以用來升級系統(tǒng)和對設(shè)備進(jìn)行適當(dāng)配置以適應(yīng)DNSSEC。那些屬于.gov域的聯(lián)邦機(jī)構(gòu)都必須在2009年年底前使用DNSSEC。而.Org是第一個(gè)應(yīng)用了DNSSEC的域。截至到本周，已有6000個(gè)使用.edu類域名的教育機(jī)構(gòu)注冊了DNSSEC的服務(wù)。預(yù)計(jì)在2011年.net和.com類域名也會注冊DNSSEC的解析服務(wù)。在這次采訪中，PIR的管理總監(jiān)（負(fù)責(zé)管理.org域名和Ram Mohan）Lance Wolak表示，他和Afilias公司的執(zhí)行副總裁Ram Mohan共同分享他們在此項(xiàng)目上的經(jīng)驗(yàn)，并展望了今后的DNSSEC部署的道路。

成都創(chuàng)新互聯(lián)公司專注于青白江企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站設(shè)計(jì),商城網(wǎng)站建設(shè)。青白江網(wǎng)站建設(shè)公司,為青白江等地區(qū)提供建站服務(wù)。全流程定制網(wǎng)站，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，成都創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務(wù)

問：.org是第一個(gè)登錄到DNSSEC的頂級域名。該項(xiàng)目是從什么時(shí)候開始的？為什么.org會成為第一個(gè)？

Lance Wolak：我們于6月2日成功的在.gov域?qū)嵤〥NSSEC，這是我們在實(shí)施中邁出的第一步，也是DNSSEC測試階段的開端，.Gov最近也開始部署DNSSEC。雖然.Gov和.org屬于通用頂級域名（GTLD），但它們卻是受到高度限制的GTLD。作為首個(gè)開放式的GTLD，.org正處于蓬勃發(fā)展中。1050萬個(gè)已注冊的域名對于通用頂級域這個(gè)領(lǐng)域來說，這個(gè)數(shù)字實(shí)在是一個(gè)重要的里程碑。

Ram Mohan：對于全球超過25個(gè)地點(diǎn)的.org類域名的解析服務(wù)器來說，都必須有效地回應(yīng)來自任何地方符合DNSSEC規(guī)范的解析請求，同時(shí)還要對請求進(jìn)行通暢的響應(yīng)。此外，.org還會在.org之下的空間加入其他域名。我們需要確保這些工作能夠順利的進(jìn)行，而且我們已經(jīng)開始開發(fā)一個(gè)程序，該程序能夠確保處理域名的事務(wù)不會受到影響。我們也需要確保能夠與今天操作域名一樣，達(dá)到順暢地從一個(gè)注冊商的域名轉(zhuǎn)到另一種域名的目的。

問：Afilias已經(jīng)提供了.gov的援助？

Mohan：有人要求我們提供一些專業(yè)的意見，以及共享自己與美國政府合作的經(jīng)驗(yàn)。為此我們將提供一些具體的意見，這些意見來自于我們委員會里的專家，以及我們同公共注冊部門的合作中實(shí)施.org所積累的專業(yè)技術(shù)知識。需要學(xué)習(xí)的東西很多：例如，我們了解到，NSEC3數(shù)據(jù)是非常好的頂級域名基礎(chǔ)，因?yàn)槟悴辉缚匆姴幻魃矸值娜耸刻崛∧闼械奈募?，并對這些文件進(jìn)行惡意的操作。我們還了解到，實(shí)施DNSSEC是以付出DNS查詢和響應(yīng)時(shí)間性能的降低為代價(jià)的，因?yàn)閿?shù)據(jù)包比原來要大得多。所以，我們建議在提供域名解析的根（root）服務(wù)器中，改用NSEC代替NSEC3作為，因?yàn)榇蠹叶贾肋@個(gè)根服務(wù)器。他們也知道所有根服務(wù)器服務(wù)的頂級域名。 NSEC3增加了額外的加密文件校驗(yàn)操作（hash），使得你不能真正猜測出下一個(gè)條目的區(qū)域文件，并且不能為任何目的而無視任何法律約束或協(xié)議地使用它。但在根區(qū)域，大家都知道這只會包含國家代碼（如cn，jp）和其他頂級域名。提高這個(gè)已經(jīng)具有很好的加密標(biāo)準(zhǔn)的做法是沒有額外價(jià)值的。

問：NSEC和NSEC3是否會增加帶寬的需求呢？

Mohan:的確是這樣，但有一個(gè)顯著性差異，這個(gè)差異僅僅是因?yàn)镹SEC3增加了額外的關(guān)于NSEC頂層的hash算法。和NSEC相比，NSEC3對帶寬的要求更高一些。我們在自己的實(shí)驗(yàn)室測試中發(fā)現(xiàn)，NSEC增加了約5％的查詢時(shí)正常響應(yīng)負(fù)荷。但我們發(fā)現(xiàn)NSEC3則達(dá)到了15％。不同的人可能會有不同的看法，15％的可能會是一個(gè)很大的數(shù)字。在我們的實(shí)際觀測中，我們得到了部署DNSSEC的.org類域名的測試結(jié)果，并且真正看到了傳輸控制協(xié)議（TCP）查詢的顯著增加，超過了一個(gè)用戶數(shù)據(jù)報(bào)協(xié)議（UDP）數(shù)據(jù)包的大小。這與我們的預(yù)期基本相符，這是由于某些DNS解析服務(wù)器在配置上存在缺陷。而在NSEC3下，我們看到，TCP的流量相比于UDP通信增加了600倍。對于解析.org的域名解析服務(wù)器來說，這的確有些應(yīng)付不過來。而作為測試結(jié)果而言，這其實(shí)與NSEC沒有多大的區(qū)別。為此我們的已經(jīng)給美國政府提出了一些意見，要小心地分配頂級的域名解析服務(wù)器，具體來說就是滿足NSEC3與NSEC的較量的各自需求。

#p#

問：如何進(jìn)行一次DNSSEC部署的測試？你怎么來進(jìn)行測試呢？

Mohan:當(dāng)你擁有自己域名的時(shí)候，一個(gè)比較大的問題是，部署DNSSEC并不方便。這不容易理解，因?yàn)檫€沒有很好地描述DNSSEC的意義，而網(wǎng)絡(luò)供應(yīng)商的那些更容易理解的DNSSEC計(jì)劃還沒有付諸實(shí)施。在我們的測試和部署的規(guī)劃中，我們所做的是編制手冊和具體的培訓(xùn)計(jì)劃，目的是允許一個(gè)域名所有者可以簡單地按一下按鈕，就能使用DNSSEC。字面上來講只是點(diǎn)擊一個(gè)按鈕，但在注冊端后臺里實(shí)際有一個(gè)腳本在運(yùn)行，域名的關(guān)鍵字（key）被加載，并且立即傳播它。為了確保這種單點(diǎn)擊能夠正確實(shí)現(xiàn)DNSSEC的無縫部署，我們還計(jì)劃做一個(gè)大的、有足夠規(guī)模的測試。該測試即將在今年秋天舉行。

問：對于.gov網(wǎng)站而言，部署DNSSEC似乎會更容易些。真是這樣嗎？

Mohan:我認(rèn)為這個(gè)問題要從兩個(gè)方面來看。第一，你如何確定你的域名注冊級別。在你注冊級別中，.gov域是一個(gè)較小的區(qū)域，它們對誰能得到一個(gè).gov以及誰將使用這個(gè).gov域名的地步有更多的控制權(quán)。但是，當(dāng)涉及到網(wǎng)絡(luò)服務(wù)提供商和互聯(lián)網(wǎng)服務(wù)提供商（ISP）時(shí)，每個(gè)人都將面對同等難度的問題。即，他們都必須確保他們的DNS解析器是以適當(dāng)?shù)姆绞桨l(fā)送和轉(zhuǎn)發(fā)處理一個(gè)DNSSEC的要求。第二，這些網(wǎng)絡(luò)服務(wù)供應(yīng)商和互聯(lián)網(wǎng)供應(yīng)商還必須知道如何處理一個(gè)域名被撤銷的情況?，F(xiàn)在的DNS是完全不安全的。你可以通過它駕馭Mac這個(gè)“大卡車”，而我們正在做的事就是DNS中增加這個(gè)卡車的鎖和鑰匙，但在DNS解析端的人開始學(xué)習(xí)如何改變自己的程序和方法，這樣即使某個(gè)鑰匙發(fā)生了改變，也可以有新的鑰匙能夠快速準(zhǔn)確的添加到自己的域名解析服務(wù)器中。

問：現(xiàn)在關(guān)鍵字的管理問題仍未得到解決？

Mohan:是的。在域名注冊的級別上，雖然我們已經(jīng)對關(guān)鍵字的管理掌握得爐火純青了，但在網(wǎng)絡(luò)服務(wù)層次上，某些方面仍然存在些許問題沒有解決。

問：采用何種方法來解決這個(gè)問題呢？

Mohan: PIR已開始與網(wǎng)絡(luò)注冊安全組（RISG）展開了一項(xiàng)不錯(cuò)的計(jì)劃。我們的系統(tǒng)管理員和網(wǎng)絡(luò)工程師已經(jīng)著手這件事，他們知道如何才能做到這一點(diǎn)。但是，如果他們正在運(yùn)行著BIND，那么必須先轉(zhuǎn)到DNSSEC的決議。首先，DNSSEC能理解和執(zhí)行配置的更改。其次，當(dāng)缺乏足夠的培訓(xùn)時(shí)，沒有民間社會組織或IT主管會討論是否有必要花50萬美元為整個(gè)基礎(chǔ)設(shè)施購買一臺新的路由器，或者是否有必要將針對帶寬的基礎(chǔ)設(shè)施從T1升級到一個(gè)T3水平。事實(shí)上，除了這些實(shí)際情況以外，人們還有很多不必要的恐懼、不安和疑慮。我們正在試圖讓事實(shí)說話，它將不會消耗更多的帶寬，或要求用戶進(jìn)行一個(gè)較大的硬件升級（事實(shí)上，一般而言，它沒有任何硬件升級），而在大多數(shù)情況下，它只是一個(gè)配置更改或軟件升級。

問：你們每隔多久會不得不淘汰或者更換設(shè)備呢？

Mohan:關(guān)于這個(gè)問題，我們已經(jīng)有了很多經(jīng)驗(yàn)。我也與瑞典的朋友們談過這個(gè)問題。瑞典是世界上第一個(gè)部署DNSSEC的國家，在域名的注冊級別上沒有升級需要，而在注冊級別也確實(shí)沒做什么重大的升級，只是做了一些尋常的升級和首要的替代程序。同樣，對于ISP來說也不需要升級。但是，如果一些地方出現(xiàn)了問題，那么我預(yù)計(jì)可能有升級的需要，比如家庭路由器。那些在2003年以前購入的家庭老式路由器雖然能夠支持DNS協(xié)議，并對DNS請求進(jìn)行解析，但在很多情況下這種路由器必須進(jìn)行更換，從而支持現(xiàn)在的網(wǎng)絡(luò)要求。當(dāng)然，話又說回來，我們還沒有看到任何超出家庭承受能力的巨大升級需要。

【編輯推薦】

1. Linux應(yīng)用:使用TSIG和DNSSEC加固域名服務(wù)器
2. 域名劫持是怎樣劫持的？
3. 研究人員披露互聯(lián)網(wǎng)域名驗(yàn)證存在漏洞

分享標(biāo)題：如何應(yīng)對來自DNSSEC的挑戰(zhàn)
URL網(wǎng)址：http://www.dlmjj.cn/article/djcdsds.html