Вопрос: Как DNS знает, кому доверять?


Когда я регистрирую домен и обновляю записи DNS, эти изменения распространяются на другие DNS-серверы по всему миру. Но как серверы, принимающие эти изменения, знают, что могут доверять этим изменениям? Как они могут убедиться, что это не преступник, перенаправляющий трафик от example.com на свой веб-сайт вредоносного ПО путем изменения записей DNS?


2
2018-04-23 04:48


Источник


Простой ответ заключается в том, что он не знает, кому доверять. В связи с этим предлагается две возможные замены стандартной системы DNS. DNSsec является одним из таких возможных решений. Чтобы сделать сложный процесс простым, оба связаны с «кругом доверия», когда все стороны должны согласиться с тем, что изменение действительно действительно. - Ramhound
Ramhound: DNSSEC, безусловно, не является «заменой» для DNS, это его расширение. - bortzmeyer


Ответы:


  1. DNS Не пропагандирует то, как вы, вероятно, думаете, что это так. Единственная «прогетация» находится в пределах серверов, авторитетных для домена (т. Е. Домена TLD).
  2. Только регистраторы могут обновлять записи TLD NS и Glue. Отслеживается, какой регистратор регистрирует доменное имя.
  3. Существует чрезвычайно небольшая проверка целостности записей, поэтому возможно отравление кешем, а также множество других подобных атак. DNSsec стремится решить эту проблему, но медленный,

6
2018-04-23 05:03