DNSSec 調(diào)研報(bào)告劉冰洋2008310477清華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系，北京，100084摘 要：DNS （域名系統(tǒng)）已成為互聯(lián)網(wǎng)服務(wù)的重要基礎(chǔ)設(shè)施，但它存在著嚴(yán)重的安全漏洞，近年來(lái)針對(duì)這些安全漏

DNSSec 調(diào)研報(bào)告

劉冰洋2008310477

清華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系，北京，100084

摘 要：DNS （域名系統(tǒng)）已成為互聯(lián)網(wǎng)服務(wù)的重要基礎(chǔ)設(shè)施，但它存在著嚴(yán)重的安全漏洞，近年來(lái)針對(duì)這些安全漏洞的網(wǎng)絡(luò)攻擊給DNS 和互聯(lián)網(wǎng)帶來(lái)了巨大的損失。DNSSec 為DNS 提供了安全擴(kuò)展功能，支持對(duì)數(shù)據(jù)源及事務(wù)和請(qǐng)求的認(rèn)證，從而在一定程度上遏制了相關(guān)的網(wǎng)絡(luò)攻擊。本文回顧了DNS 的發(fā)展歷程與其面臨的安全威脅，介紹了DNSSec 的基本原理和組成部分，分析了DNSSec 存在的問(wèn)題，調(diào)研了DNSSec 在全球的部署情況，并對(duì)其未來(lái)應(yīng)用進(jìn)行了展望。

關(guān)鍵詞：DNS, DNSSec, DNS安全, 互聯(lián)網(wǎng)安全.

Abstract : DNS (Domain Name System) is now a very important infrastructure of the Internet. However, it was designed with a lot of vulnerability. These years, the network attacks taking advantages of its vulnerability have brought huge damage to the DNS and Internet. DNSSec, the security extension of DNS, was designed to secure DNS. It supports the authentication of the data origin and transaction and request, so that it mitigates the relevant attacks. This paper reviews the history of DNS and its vulnerability, and introduces the rationale of DNSSec. We analyzed the problems in DNSSec, investigated its deployment progress around the world, and also presented the future application of DNSSec.

Keywords : DNS, DNSSec, Internet Security.

1 引言

1.1 DNS 發(fā)展歷程

DNS （Domain Name System，域名系統(tǒng)）[1]出現(xiàn)之前，網(wǎng)絡(luò)用戶需要在本機(jī)上維護(hù)一個(gè)HOSTS 配置文件，這個(gè)文件包含本機(jī)與網(wǎng)絡(luò)上的其他系統(tǒng)通信時(shí)所需要的信息。當(dāng)網(wǎng)絡(luò)變得復(fù)雜時(shí)，這樣做的缺點(diǎn)是顯然的：每臺(tái)機(jī)器都需要手工維護(hù)一個(gè)HOSTS 文件，某一臺(tái)機(jī)器的配置更新將導(dǎo)致每臺(tái)與其通信的機(jī)器修改配置，網(wǎng)絡(luò)規(guī)模增大時(shí)手工維護(hù)HOSTS 文件是不可行的。

1983年，在TCP/IP部署后不久，域名系統(tǒng)——即DNS ——被發(fā)明了出來(lái)。該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)[2]。DNS 負(fù)責(zé)將易于記憶的域名與計(jì)算機(jī)的IP 地址映射起來(lái)，供用戶查詢。DNS 于1983年成為國(guó)際標(biāo)準(zhǔn)，RFC882[3]和RFC883[4]分別描述了DNS 的概念和實(shí)現(xiàn)說(shuō)明。DNS 大大推動(dòng)了互聯(lián)網(wǎng)、尤其是萬(wàn)維網(wǎng)的發(fā)展，逐漸成為全球性的重要互聯(lián)網(wǎng)基礎(chǔ)設(shè)施。

DNS 是一個(gè)樹(shù)狀結(jié)構(gòu)，根域名為“. ”；頂級(jí)域名包括“.com ”、“.net ”、“.org ”、“.edu ”、“.gov ”等，還包括各國(guó)家和地區(qū)的頂級(jí)域名，如“.cn ”、“.au ”等。每個(gè)域又可以下設(shè)多

個(gè)子域，子域又可以再設(shè)子域，如此迭代下去。每個(gè)域內(nèi)設(shè)置多臺(tái)（一般至少為兩臺(tái)）域名服務(wù)器（Name Server），負(fù)責(zé)分配子域域名、維護(hù)域名到IP 地址映射關(guān)系的記錄。

DNS 中的另外一種實(shí)體是域名解析服務(wù)器（Resolver ），它負(fù)責(zé)為客戶主機(jī)（Client ）提供域名解析（即域名查詢）的服務(wù)。它將一些域名到IP 地址的映射記錄保存到本地，稱為“緩存”，緩存需要定時(shí)更新。當(dāng)用戶所要查詢的域名在這個(gè)緩存中沒(méi)有命中時(shí)，它需要代理用戶去查詢?cè)撚蛎臋?quán)威域名服務(wù)器，并將查詢結(jié)果轉(zhuǎn)發(fā)給用戶。這個(gè)“代理查詢”的過(guò)程是從DNS 樹(shù)的根節(jié)點(diǎn)開(kāi)始，逐級(jí)向下遞歸查找，直到收到權(quán)威域名服務(wù)器的應(yīng)答或請(qǐng)求超時(shí)。

邏輯上域名服務(wù)器與域名解析服務(wù)器是兩個(gè)不同的概念和實(shí)體，而在現(xiàn)實(shí)的應(yīng)用中，往往將二者合并起來(lái)，即一臺(tái)域名服務(wù)器往往也提供了域名解析的服務(wù)——通常被統(tǒng)稱為DNS 服務(wù)器。

下圖給出了一個(gè)DNS 的查詢過(guò)程的例子，主機(jī)（Client ）向本地DNS 服務(wù)器（DNS Server）提交對(duì)域名“contoso.com ”的查詢請(qǐng)求，若該服務(wù)器的緩存中存在些條目，則向主機(jī)返回結(jié)果并結(jié)束此次查詢，否則，它將向根域名服務(wù)器（Root Server）提交查詢請(qǐng)求；根域名服務(wù)器將其指向“.com ”的頂級(jí)域名服務(wù)器（Com Server），后者再將其指向“contoso.com ”的權(quán)威域名服務(wù)器（Contoso Server）；最后由它把結(jié)果返回給本地DNS 服務(wù)器，后者將結(jié)果返回給查詢的主機(jī)。此次過(guò)程結(jié)束后，本地域名服務(wù)器可能會(huì)將“contoso.com ”的記錄保存到自己的緩存中，這樣，下次有主機(jī)查詢?cè)撚蛎麜r(shí)，就可以直接返回緩存中的結(jié)果了。

圖 1 DNS查詢實(shí)例

1.2 DNS 的安全隱患

正如互聯(lián)網(wǎng)早期的許多協(xié)議一樣，DNS 協(xié)議在設(shè)計(jì)之初也沒(méi)有考慮到安全問(wèn)題，所以在其不斷的發(fā)展和應(yīng)用過(guò)程中暴露了許多的安全漏洞，并出現(xiàn)了一些有針對(duì)性的安全攻擊。比如：DNS 緩存污染（DNS Cache Poisoning）[5]、DNS 放大攻擊（DNS Amplification Attack）

[6]、DNS 客戶洪泛攻擊（Client Flooding）[7]、DNS 動(dòng)態(tài)更新攻擊（DNS Dynamic Update Vulnerabilities ）[7]、域名欺詐（Domain Name Phishing）[8]等等。

這些安全問(wèn)題中，DNS 緩存污染被認(rèn)為是關(guān)系到互聯(lián)網(wǎng)核心安全的決定性問(wèn)題之一[9]。DNS 緩存污染是指一個(gè)DNS 解析服務(wù)器被注入了錯(cuò)誤的緩存，比如將域名A 指向了域名B 的IP 地址。所謂的“注入”，即指該解析服務(wù)器在查詢某域名記錄時(shí)，接受了一個(gè)非權(quán)威域名服務(wù)器的錯(cuò)誤回應(yīng)，并將該錯(cuò)誤回應(yīng)保存到自己的緩存中。這種非權(quán)威域名服務(wù)器的“錯(cuò)誤回應(yīng)”可能由其錯(cuò)誤的配置造成，可能是被黑客利用，也可能根本就不是域名服務(wù)器、而是黑客的一臺(tái)計(jì)算機(jī)（比如實(shí)施中間人攻擊）。通過(guò)DNS 緩存污染，可以造成用戶無(wú)法正常訪問(wèn)網(wǎng)絡(luò)（DoS ），可以將用戶導(dǎo)向一個(gè)其不期望訪問(wèn)的網(wǎng)站（進(jìn)而實(shí)施竊取信息、詐騙等），也可以將很多用戶導(dǎo)向一個(gè)目標(biāo)網(wǎng)站并使其癱瘓（DDoS ）。由于DNS 緩存污染攻擊易于發(fā)起、危害巨大，逐漸成為互聯(lián)網(wǎng)的重要安全威脅，也是成為了網(wǎng)絡(luò)管理人員十分頭疼的安全問(wèn)題。

1.3 DNSSec 簡(jiǎn)介

DNSSec 是DNS Security Extensions（DNS 安全擴(kuò)展）的縮寫(xiě)[10]。由于DNS 協(xié)議的安全漏洞和目前嚴(yán)重的安全問(wèn)題，IETF 成立了dnssec 工作組（后來(lái)被取代為dnsext （DNS Extensions ）工作組[11]），研究DNS 協(xié)議的安全擴(kuò)展。DNS 安全擴(kuò)展制訂了一系列RFC ，包括概念技術(shù)、協(xié)議設(shè)計(jì)、報(bào)文格式、哈希算法、密鑰管理等多方面。這些RFC 幾經(jīng)更新，目前較為廣泛接受的協(xié)議描述是RFC2535[12]，該協(xié)議在RFC4035進(jìn)行了更新[13]。由于有關(guān)DNSSec 的一系列RFC 還在設(shè)計(jì)中，尚未有定論，本文主要介紹RFC2535中所描述的DNSSec 。

DNSSec 的目標(biāo)是為DNS 解析服務(wù)器（Resolver ）提供數(shù)據(jù)源認(rèn)證和數(shù)據(jù)完整性驗(yàn)證的功能。通過(guò)DNSSec 的部署，可以增強(qiáng)對(duì)DNS 域名服務(wù)器的身份認(rèn)證，進(jìn)而幫助防止DNS 緩存污染等攻擊——DNSSec 是實(shí)現(xiàn)DNS 安全的重要一步和必要組成部分。

1.4 本文主要內(nèi)容與文章結(jié)構(gòu)

本文主要介紹DNSSec 的原理，分析可能存在的問(wèn)題，調(diào)研其部署現(xiàn)狀，并對(duì)分析其應(yīng)用前景。

本文后續(xù)部分組織如下：第2章介紹DNSSec 的原理和組成部分；第3章對(duì)DNSSec 進(jìn)行分析，指出其可能存在的問(wèn)題；第4章介紹DNSSec 的部署現(xiàn)狀，并對(duì)其未來(lái)的應(yīng)用前景進(jìn)行分析；第5章總結(jié)全文；致謝和參考文獻(xiàn)分別在第6和第7章。

2 DNSSec 的原理與組成

2.1 DNSSec 的目標(biāo)

DNSSec 協(xié)議的設(shè)計(jì)要遵循以下目標(biāo)和設(shè)計(jì)原則：

1) 為DNS 解析服務(wù)提供數(shù)據(jù)源身份認(rèn)證和對(duì)數(shù)據(jù)完整性驗(yàn)證。從而扼制DNS 緩存污

染等攻擊。

2) 不強(qiáng)制進(jìn)行訪問(wèn)控制或者數(shù)據(jù)加密。DNS 是一個(gè)公共的網(wǎng)絡(luò)服務(wù)基礎(chǔ)設(shè)施，不能因

為訪問(wèn)控制或數(shù)據(jù)加密的引入破壞這一基本前提，但是DNSSec 也不強(qiáng)制不能進(jìn)行數(shù)據(jù)的加密。

3) 向后兼容。即DNSSec 協(xié)議的數(shù)據(jù)可以被舊版本的DNS 協(xié)議正確存儲(chǔ)和分發(fā)（盡

管可能無(wú)法正確解釋）。

4) 支持增量部署。互聯(lián)網(wǎng)中一部分部署了DNSSec 的域可以在其它域不部署DNSSec

的情況下實(shí)現(xiàn)部署收益。

2.2 DNSSec 的基本原理

DNSSec 利用哈希算法計(jì)算報(bào)文摘要，從而實(shí)現(xiàn)數(shù)據(jù)完整性驗(yàn)證；利用公鑰機(jī)制實(shí)現(xiàn)對(duì)數(shù)據(jù)源的認(rèn)證。簡(jiǎn)單地來(lái)看：部署了DNSSec 的權(quán)威域名服務(wù)器在應(yīng)答查詢請(qǐng)求時(shí)，首先使用哈希算法計(jì)算應(yīng)答報(bào)文的摘要，再將此摘要用自己的私鑰加密生成簽名后存儲(chǔ)到報(bào)文中；查詢方收到應(yīng)答報(bào)文，利用該服務(wù)器的公鑰解密簽名獲得摘要，再將此摘要與從報(bào)文數(shù)據(jù)計(jì)算出的摘要進(jìn)行對(duì)比來(lái)完成數(shù)據(jù)的完整性的驗(yàn)證。如果數(shù)據(jù)完整性驗(yàn)證成功，則也同時(shí)完成了對(duì)數(shù)據(jù)源（權(quán)威域名服務(wù)器）的身份認(rèn)證，否則認(rèn)識(shí)身份認(rèn)證失敗。

DNSSec 可以在以下三種實(shí)體上進(jìn)行部署：DNS 域名服務(wù)器（Name Server）、DNS 解析服務(wù)器（Resolver ）、DNS 客戶端（Client ）。

2.3 DNSSec 的組成部分

DNSSec 由以下幾個(gè)部分組成：

1) 密鑰分發(fā)

DNSSec 的密鑰（尤指屬于某一域名的公鑰）分發(fā)機(jī)制不僅可以分發(fā)用于DNS 域驗(yàn)證的公鑰，而且可以支持與域名有關(guān)的非以DNS 目的的其它信息的分發(fā)。公鑰的分發(fā)支持多種密鑰類型和多種密鑰算法。具體的密鑰分發(fā)系統(tǒng)和密鑰算法暫不討論。

2) 數(shù)據(jù)源認(rèn)證

數(shù)據(jù)源認(rèn)證是DNSSec 設(shè)計(jì)的核心目標(biāo)。其基本原理已經(jīng)在2.1節(jié)中進(jìn)行了描述。

3) DNS 事務(wù)與請(qǐng)求認(rèn)證

DNS 事務(wù)與請(qǐng)求認(rèn)證是為了對(duì)DNS 的查詢請(qǐng)求和DNS 消息頭進(jìn)行驗(yàn)證。這項(xiàng)驗(yàn)證保證了域名服務(wù)器的請(qǐng)求應(yīng)答可以達(dá)到請(qǐng)求的發(fā)送者、并且該應(yīng)答來(lái)自請(qǐng)求者想要查詢的服務(wù)器。要做到這些，只需要對(duì)回送的應(yīng)答報(bào)文的簽名進(jìn)行一些處理——即，使用一些與請(qǐng)求和應(yīng)答相關(guān)聯(lián)的信息來(lái)生成簽名——這樣，就一舉兩得地實(shí)現(xiàn)了雙向認(rèn)證。

3 DNSSec 協(xié)議分析

3.1 安全性分析

DNSSec 借助公鑰機(jī)制對(duì)數(shù)據(jù)完整性和數(shù)據(jù)源進(jìn)行驗(yàn)證（在事務(wù)與請(qǐng)求認(rèn)證中，也提供了對(duì)請(qǐng)求方的身份認(rèn)證）。通過(guò)數(shù)據(jù)源認(rèn)證，可以在一定程度上遏制DNS 緩存污染和DNS 客戶洪泛攻擊；通過(guò)事務(wù)與請(qǐng)求認(rèn)證，可以減少DNS 動(dòng)態(tài)更新攻擊的危害。然而，對(duì)于DNS 放大攻擊、域名欺詐等，由于它們的原理不是假冒數(shù)據(jù)源，而是利用假冒源地址或者近似域名等手段，所以難以通過(guò)DNSSec 來(lái)防治。

3.2 運(yùn)算代價(jià)

引入DNSSec 之后，DNS 域名服務(wù)器在應(yīng)答一個(gè)請(qǐng)求時(shí)，需要在原有的計(jì)算量基礎(chǔ)上，增加對(duì)數(shù)據(jù)內(nèi)容的哈希運(yùn)算，以及對(duì)摘要的簽名運(yùn)算——我們知道，哈希算法如MD5（在RFC2537[14]中被規(guī)定為一種摘要生成算法）的運(yùn)算量是很大的——這就大大增加了DNS 域名服務(wù)器的計(jì)算負(fù)荷；同樣，對(duì)應(yīng)答報(bào)文的認(rèn)證也需要類似的運(yùn)算代價(jià)。這就使得DNS 域名服務(wù)器或者域名解析服務(wù)器可能成為DoS 的攻擊目標(biāo)。實(shí)際上，目前很多部署了DNSSec 的域都相應(yīng)的升級(jí)了硬件設(shè)備（比如升級(jí)了多核的處理器），來(lái)應(yīng)付增加的計(jì)算開(kāi)銷。

3.3 密鑰管理

但凡引入公鑰機(jī)制的系統(tǒng)設(shè)計(jì)都會(huì)遇到密鑰管理、分發(fā)的問(wèn)題。公鑰機(jī)制的引入往往意味著要引入一套完整的公鑰基礎(chǔ)設(shè)施，而這是很難做到的——這也正是IPSec 之所以至今沒(méi)有得到廣泛應(yīng)用的原因之一。而這個(gè)問(wèn)題相對(duì)于DNS 來(lái)說(shuō)，可能沒(méi)有嚴(yán)重，因?yàn)樗旧淼臉?shù)形結(jié)構(gòu)和已經(jīng)形成完善的管理體系，公鑰體統(tǒng)的建立并不難。然而，由于DNSSec 并不可能一夜之間部署到整個(gè)互聯(lián)網(wǎng)，而是一部分一部分的增量部署起來(lái)的，所以必然使得那些先部署了DNSSec 的子域形成一個(gè)一個(gè)的“孤島”，它們之間的密鑰管理和分發(fā)機(jī)制還沒(méi)有一個(gè)完善的解決方案：比如，如果一個(gè)域的私鑰泄露，想要撤消這對(duì)密鑰并使用一對(duì)新的密鑰，目前還無(wú)法解決?？傊珼NSSec 使用公鑰體系比起其它系統(tǒng)（如IPSec ）有基礎(chǔ)設(shè)施的優(yōu)勢(shì)，但仍然存在著一些困難。

3.4 管理代價(jià)

DNSSec 固然為DNS 服務(wù)提供了一套安全解決方案，但由于DNSSec 比原來(lái)簡(jiǎn)單的DNS 復(fù)雜的多，那么培訓(xùn)一個(gè)得力的網(wǎng)絡(luò)管理人員，由其負(fù)責(zé)升級(jí)設(shè)備或軟件、配置系統(tǒng)、處理故障等工作，都較原來(lái)更為復(fù)雜，從而為網(wǎng)絡(luò)運(yùn)行機(jī)構(gòu)引入了較大的管理開(kāi)銷。 4 DNSSec 的實(shí)現(xiàn)與部署

4.1 DNSSec 的實(shí)現(xiàn)

本節(jié)將介紹BIND （Berkeley Internet Name Daemon）和Windows Server 2003 DNS提供的對(duì)DNSSec 相關(guān)功能的支持。

4.1.1 BIND

BIND 是一個(gè)實(shí)現(xiàn)DNS 協(xié)議的開(kāi)源軟件[15]。它是DNS 相關(guān)協(xié)議族的參考實(shí)現(xiàn)，但仍然可以作為產(chǎn)品級(jí)的軟件。迄今為止，它是互聯(lián)網(wǎng)中被使用最為廣泛的DNS 軟件。BIND 最初由美國(guó)加州大學(xué)伯克利分校的幾名畢業(yè)生編寫(xiě)，并發(fā)布在4.3BSD 上?，F(xiàn)在由Internet Systems Consortium進(jìn)行維護(hù)和支持。

自從版本8.1.2開(kāi)始，BIND 發(fā)布了對(duì)DNSSec 的支持。目前其最新版本為9.6.1。BIND 宣布其支持DNSSec 相關(guān)的所有標(biāo)準(zhǔn)。

本文不對(duì)BIND 的配置、使用方法進(jìn)行介紹。

4.1.2 Windows Server 2003 DNS

Windows Server 2003 DNS是一套運(yùn)行在Windows Server 2003上的提供DNS 服務(wù)的應(yīng)用程序[16]。它并不完全支持RFC2535中所述的所有DNSSEC 的特性，而只提供RFC2535中定義的“基本支持”。

本文不對(duì)Windows Server 2003 DNS的配置、使用方法進(jìn)行介紹。

4.2 DNSSec 的部署情況

前面已經(jīng)提到，DNSSec 支持增量部署；在實(shí)際的部署過(guò)程中，也正是先有一部分網(wǎng)絡(luò)（或域）部署起來(lái)，目前部署的范圍正在逐漸擴(kuò)大。

網(wǎng)站xelerance 發(fā)布了截止到2007年11月21日，全球范圍內(nèi)的DNSSec 的部署情況[17]，如下圖：

圖 2 DNSSec在全球范圍內(nèi)的部署情況

可見(jiàn)許多頂級(jí)域名服務(wù)商已經(jīng)開(kāi)始部署了DNSSec 。截止2007年11

月，中國(guó)大陸還沒(méi)

有DNSSec 的部署。

2008年12月，“代表著超過(guò)1.12億個(gè)域名(占所有已注冊(cè)域名的65)的七家主要域名廠商已經(jīng)組建了一個(gè)行業(yè)聯(lián)盟，宣布共同采用DNS 安全擴(kuò)展機(jī)制—DNSSEC 。 DNSSEC 行業(yè)聯(lián)盟包括：運(yùn)營(yíng).com 和.net 注冊(cè)業(yè)務(wù)的VeriSign 、運(yùn)行.biz 和.us 注冊(cè)業(yè)務(wù)的NeuStar ；.info 運(yùn)營(yíng)商 Afilias Limited；.edu 運(yùn)營(yíng)商EDUCAUSE 以及運(yùn)營(yíng).org 注冊(cè)業(yè)務(wù)的The Public Interest Registry ”[18]?？梢?jiàn)，從這些頂級(jí)域名的運(yùn)營(yíng)商開(kāi)始，DNSSec 要逐漸在全球范圍內(nèi)大規(guī)模部署開(kāi)去了。

此外，DNSSEC Deployment Initiative網(wǎng)站上也提供了有關(guān)DNSSec 部署的方法和動(dòng)態(tài)新聞[19]。

5 總結(jié)與展望

DNS 已經(jīng)成為互聯(lián)網(wǎng)上重要的服務(wù)系統(tǒng)和基礎(chǔ)設(shè)施，然而傳統(tǒng)的DNS 協(xié)議卻存在著諸多安全漏洞，利用這些漏洞的網(wǎng)絡(luò)攻擊已經(jīng)給DNS 和互聯(lián)網(wǎng)服務(wù)帶來(lái)了巨大的破壞。DNSSec 提出為DNS 安全提供了一套較好的解決方案，它通過(guò)利用公鑰機(jī)制對(duì)數(shù)據(jù)源或事務(wù)請(qǐng)求雙方的認(rèn)證，從而在一定程度上防止DNS 服務(wù)器偽造的問(wèn)題，遏制了DNS 緩存污染、DNS 客戶洪泛攻擊和DNS 動(dòng)態(tài)更新攻擊的實(shí)施。

然而，DNSSec 也存在著一些問(wèn)題，比如：它不能防止DNS 放大攻擊、域名欺詐等，哈希、簽名運(yùn)算開(kāi)銷過(guò)大、容易成為DoS 的攻擊目標(biāo)，密鑰管理體系較為復(fù)雜、尚有一些未被解決的問(wèn)題，協(xié)議較為復(fù)雜、帶來(lái)管理和維護(hù)上的負(fù)擔(dān)等等。這些問(wèn)題中，有些是DNSSec 本身無(wú)法解決也不計(jì)劃去解決的問(wèn)題（如防止DNS 放大攻擊、域名欺詐等），而還有一些是待解決的問(wèn)題。

由于針對(duì)DNS 的攻擊越來(lái)越多，DNSSec 的部署得到了越來(lái)越多運(yùn)營(yíng)商的重視，近年來(lái)其部署速度加快，而頂級(jí)域名運(yùn)營(yíng)商組成的行業(yè)聯(lián)盟則更是加快了其部署的進(jìn)度。由于DNSSec 本身的重要性、相關(guān)標(biāo)準(zhǔn)的相對(duì)完善性、行業(yè)普遍的重視程度和DNS 系統(tǒng)本身建立公鑰系統(tǒng)的天然優(yōu)勢(shì)，我們有理由相信，DNSSec 將會(huì)在未來(lái)10年內(nèi)快速地在全球范圍內(nèi)部署，并且逐步取代原有的DNS 。

6 致謝

感謝段海新老師和張甲同學(xué)的指導(dǎo)和幫助。

7 參考文獻(xiàn)

[1] “Domain Name System,” Wikipedia, June 2009.

[2] “DNS,” 百度百科, baike.baidu.com/view/22276.htm, June 2009.

[3] P. Mockapetris, “DOMAIN NAMES - CONCEPTS and FACILITIES,” RFC 882, November

1983.

[4] P. Mockapetris, “DOMAIN NAMES - IMPLEMENTATION and SPECIFICATION,” RFC

883, November 1983.

[5] “DNS cache poisoning,” Wikipedia, June 2009.

[6] Niranjan, “DNS Amplification Attack,” Security Tools News & Tips, February 2007.

[7] Diane Davidowicz, “Domain Name System (DNS) Security,” Yahoo Geocities, 1999.

[8] “Domain name phishing schemes a growing problem,” Internet-Security.ca, December 2006.

[9] S. Bellovin, “Report of the IAB Security Architecture Workshop,” RFC 2316, April 1998.

[10] “Domain Name System Security Extensions,” Wikipedia, June 2009.

[11] “DNS Extensions (dnsext) Charter,” IETF, April 2009.

[12] D. Eastlake, “Domain Name System Security Extensions,” RFC 2535, March 1999.

[13] R. Arends, R. Austein, M. Larson, D. Massey, and S. Rose, “Protocol Modifications for the

DNS Security Extensions,” RFC 4035, March 2005.

[14] D. Eastlake, “RSA/MD5 KEYs and SIGs in the Domain Name System (DNS),” RFC 2537,

March 1999.

[15] “ISC BIND,” Internet Systems Consortium (ISC.org).

[16] Microsoft TechNet, “DNSSEC 概述,” Microsoft TechNet中文主頁(yè).

[17] Paul Wouters, “World Wide DNSSEC Deployment,” ,

November 2007.

[18] 網(wǎng)界網(wǎng)佚名, “致力保護(hù)DNS 安全 頂級(jí)域名運(yùn)營(yíng)商采用DNSSEC,” 網(wǎng)界網(wǎng),

[19] DNSSEC Deployment Initiative, .