DNSSEC_域名安全.pptx

DNSSEC与域名安全 jinjian@ 中国互联网络信息中心 DNSSEC概览 实施DNSSEC 全球部署进展 .CN进展和规划 DNSSEC与域名安全 DNS面临的安全威胁 内容 DNS面临的安全威胁 最主要的网络安全威胁 几乎所有攻击类型都与DNS直接或间接相关 DNS面临的安全威胁 DDoS攻击发展趋势 针对DNS的DDoS攻击事件逐渐增多 数据来源：/ DNS面临的安全威胁 信息泄露 数据损坏 拒绝服务 信息过期 社会工程攻击 域名劫持 缓存中毒 中间人攻击 缓存窥探 NSEC行走 DoS攻击 分布式DoS攻击 DNS面临的安全威胁 DNSSEC对非流量式攻击具有很好的防范效果 DNSSEC概览 实施DNSSEC 全球部署进展 .CN的规划 DNSSEC与域名安全 DNS面临的安全威胁 内容 DNSSEC概览 DNSSEC DNSSEC概览 数据源认证 提供完整性 其他特征 我得到的数据是否来自真实、合法的发送方？ DNSSEC提供的安全特征 我得到的数据在传输过程中是否已被他人篡改？ 授权体系更加紧密？ DNSSEC概览 DNSSEC能解决的DNS安全问题 DNSSEC 域名劫持 缓存中毒 中间人攻击 黑客将错误的域名纪录存入缓存中，从而使所有使用该缓存服务器的用户得到错误的DNS解析结果 攻击者冒充域名服务器的一种欺骗行为，它主要用于向主机提供错误DNS信息 黑客通过控制域名管理密码和邮箱，将域名的NS记录指向已被黑客控制的DNS服务器，通过在该服务器上添加相应域名记录达到劫持用户的目的 DNSSEC概览 DNSSEC基于公开密钥基础设施（Public Key Infrastructure, PKI） CA（证书权威机构）：用于证明公钥所属权的组织 RA（区域权威机构）：覆盖某一个地理区域的CA Root：根CA Root RA1 RA2 CA4 CA5 证书链 DNSSEC概览 DNSSEC中的公共密钥加密系统 消息摘要 数字签名 消息 哈希函数 用私钥签名 签名后的消息 签名过程 验证过程 签名后的消息 数字签名 消息摘要1 消息摘要2 哈希函数 用公钥解密 比较 ？ 消息 DNSSEC概览 DNSSEC的公钥，包括ZSK和KSK DNSKEY 资源记录经过私钥加密后的签名记录 RRSIG 用于验证不存在的域名或数据类型 NSEC 保证DNS授权的安全性 DS DNSSEC增加的四种资源记录 DNSSEC概览 DNSSEC的签名和验证过程 root(.) .cn root(.) .cn 签名过程 验证过程 验证 验证 已签名的记录 （包括nic. cn） 验证 DNSSEC概览 DNSSEC信任链 root com cn 信任锚 用户端 信任锚 根信任锚 非根区设置信任钥匙 DLV DLV DNSSEC概览 实施DNSSEC 全球部署进展 .CN的规划 DNSSEC与域名安全 DNS面临的安全威胁 内容 实施DNSSEC — 生成DNSSEC密钥 — 使用密钥签名 — 发布DNSSEC密钥 — 获取DNSSEC密钥 — 验证DNSSEC密钥 — 验证域名记录 权威服务器 递归服务器 — Last Mile 问题？ window7 ready. 用户桌面？ 权威服务器 ZONE ZONE cn 未签名的cn区 各子区DNSSEC公钥 子区公钥提交 生成密钥 DNSSEC签名 实施DNSSEC 实施DNSSEC 递归服务器 各子区公钥 域名查询 验证公钥 合法记录 验证公钥 用公钥验证域名记录 服务器负担 签名和验证消耗系统资源 数据量大大增加 密钥管理和密钥安全 网络负担 超长UDP报文（需要修改路由器配置） 传输数据量大大增加 实施DNSSEC 弊 利 域名的来源可验证 反钓鱼 防止缓存中毒 改进SSL 域名记录完整性 防止篡改记录 防止伪造域名 DNSSEC实施的利与弊 DNSSEC概览 实施DNSSEC 全球部署进展 .CN的规划 DNSSEC与域名安全 DNS面临的安全威胁 内容 全球部署进展 DNSSEC的协议、工具、经验都在不断完善和积累 越来越多的区支持DNSSEC，DNSSEC体系正在不断完善 各个研究、运维组织都在积极推动DNSSEC的发展 DNSSEC在对抗DNS攻击方面发挥着越来越重要的作用 2010.7.15 2010.7.12 2010.6.15 2009 2008 2007 2006 ICANN开始推动DNSSEC的部署 IETF技术人员推动DNSSEC技术发展和部署 正式根签 第二次根密钥生成仪式 第一次