若要通过互联网联系他人，就必须在计算机中键入一个地址（以名称或数字表示）。该地址必须是唯一的，这样计算机才能确定彼此的位置。在键入名称时，必须首先由某个系统将该名称转换为数字，然后才能建立连接。该系统称为域名系统 (Domain Name System, DNS) ，它将类似于www.icann.org 的名称转换为数字，这些数字称为互联网协议 (Internet Protocol,IP) 地址。

ICANN（网络域名管理者互联网名称与数字地址分配机构）在全球范围内对寻址系统进行协调，以确保所有地址都是唯一的。如果没有这种协调，就不会拥有统一的全球互联网。

近日ICANN本周五发布公告称，DNS基础设施正成为“恶意活动”的攻击目标。针对此类DNS攻击，ICANN呼吁全面部署“域名系统安全扩展”（DNSSEC）。 

DNSSEC是将一个特殊签名添加到root、TLD和授权名字服务器，从而为该区域建立一条信任链。DNSSEC能使区域确保DNS请求的应答没有被篡改，简言之，DNSSEC是通过将公钥密码系统引入DNS的层次结构，从而为域名系统生成一个开放的全球公钥基础设施（PKI），以此提高DNS的安全性。

随着互联网应用的不断深化，DNS已然成为网络攻击的热点目标，典型攻击包括DDoS攻击、放大攻击、递归攻击、缓存投毒、修改域名注册信息、隧道攻击、资源锁定攻击等，越来越多的基于DNS的攻击已经严重影响到用户的网络安全，使用户的数据、资产和信誉都处于风险之中。

以缓存投毒（CachePoisoning）为例，通过向DNS服务器的本地缓存中注入非法数据，将用户正常的域名访问请求引导至攻击者服务器，而黑客将在 DNS 系统中发现的漏洞（如漏洞VU#800113）与技术进步相结合，大大缩短了劫持DNS 查找过程的任一步骤所需的时间，从而可以更快地取得对会话的控制以实施某种恶意操作（如将用户引导至恶意网站等），若要在技术上消除这样的安全隐患，一个有效的解决方案是以端到端的形式部署一种称为 DNS 安全扩展 (DNS Security Extensions, DNSSEC) 的安全协议。

通过部署DNSSEC，可以有效阻止“中间人”攻击方式。通过这种攻击方式，欺诈者可以将受害者重定向至精心制作的虚假网站，并诱骗他们提供登录凭证、付款信息以及其他个人信息。

开发 DNSSEC 技术的目的之一是通过对数据进行数字“签名”来抵御此类攻击，从而使你确信数据有效。但是，为了从互联网中消除该漏洞，必须在从根区域到最终域名（例如，www.icann.org）的查找过程中的每一步部署该项技术。对根区域进行签名（在根区域部署 DNSSEC ）是整个过程中的必要步骤。需要说明的是，该技术并不对数据进行加密。它只是验证你所访问的站点地址是否有效。

完全部署 DNSSEC 可以确保最终用户连接到与特定域名相对应的实际网站或其他服务。尽管这不会解决互联网的所有安全问题，但它确实保护了互联网的关键部分（即目录查找），从而对其他保护“会话”的技术进行了补充，并且为尚待开发的安全改进技术提供了平台。

虽然ICANN承认他们提出的解决方案（包括全面部署DESSEC）无法解决所有互联网的安全问题，但应该可以有效降低网络安全风险。不过目前DESSEC的部署情况并不乐观，财富1000强企业中DNSSEC的使用量低至3％。虽然这个数字现在增加到20％，但距离全面部署仍有很长的路要走。

参考来源：

• cnBeta.COM

• icann

征题正在火热进行中！

（晋级赛Q1即将于3月10日开启，敬请期待！）

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com