章 | 節 | 标題 | 說明 | 補充說明 | 支援級别 |
1 | 介紹 | 1、定義DNSSEC協定修改點 2、定義以下概念:已簽名域(signed zone)和域簽名的要求清單 3、描述權威域名伺服器為了處理簽名域的行為變化 4、描述了包括解析器在内的實體的行為 5、描述了怎樣使用DNSSEC RRs去認證一個應答 | NA | ||
2 | 域簽名 | 介紹五種資源記錄類型和簽名域概念 1、DNSKEY 2、RRSIG 3、NSEC 4、DS 5、CNAME | 需要結合rfc4034一起看 | ||
2.1 | 包含DNSKEY的域 | ||||
2.2 | 包含RRSIG的域 | ||||
2.3 | 包含NSEC的域 | ||||
2.4 | 包含DS的域 | ||||
2.5 | CNAME資源記錄的變化 | ||||
2.6 | 出現在域分片的DNSSEC類型 | ||||
3 | 命名伺服器功能 | ||||
4 | 解析器功能 | ||||
4.1 | 支援EDNS | 1、解析器發送查詢封包時,消息頭必須支援DO比特位。 | MUST | ||
2、解析器必須支援最少1220位元組的消息。(以前為512位元組) | |||||
3、解析器支援應該支援4000位元組的消息。 | SHOULD | ||||
4、解析器的IP層必須能處理UDP分片封包。 | |||||
4.2 | 支援簽名認證 | 1、解析器必須支援簽名認證。 | |||
2、解析器應該對每一個收到的應答應用第五章描述的簽名認證機制。除了以下情況: (1)解析器是遞歸命名伺服器的一部分 (2)應答結果告知解析器不要讓這個查詢結果有效或者這個查詢的有效性受限于本地政策。 | |||||
3、解析器支援的簽名認證必須包括通配符主機名認證。 | |||||
4、解析器可以嘗試讓非安全記錄生效,但是要聲明這個接收到的應答不充分可靠。 | MAY | ||||
5、嘗試檢索丢失的NSEC時,必須向伺服器查找父域而不是子域。 | 定位父域NS(權威伺服器) RRset算法:從授權名開始,每次用最左邊的名字去查找,周遊樹結構,直到找到NS或者周遊完整棵樹,過程結束。 | ||||
6、嘗試檢索丢失的DS時,必須向伺服器查找父域而不是子域。 | |||||
4.3 | 辨識資料的安全狀态 | 必須能夠辨識四種場景 | |||
1、secure場景:解析器能通過信任錨建構一個DNSKEY和DS的信任鍊。 處理:RRset應該被簽名并受限于簽名有效性。 | |||||
2、Insecure場景:通過已配置的任一信任錨都無法對資源記錄建構成DNSKEY和DS的信任鍊。 處理:RRset是否有簽名都可以,但是解析器不能認證簽名。 | |||||
3、Bogus場景:解析器認為可以建構信任鍊,而實際建構不了(可能是某些原因導緻簽名失效或相關DNS安全RR資料丢失)。 處理:可能意味着遇到DNS攻擊,也可能是配置錯誤或資料沖突。 | |||||
4、Indeterminate場景:無法判斷RRset是否應該簽名(無法獲得必要的DNSSEC RRs)。 處理:這種情況發生于解析器找不到識别相關域的安全伺服器。 | |||||
4.4 | 配置信任錨 | 1、解析器必須能配置至少一個信任錨(DNSKEY或DS)。 | |||
2、解析器應該支援配置多個信任錨。 | |||||
3、若沒有配置信任錨,不應該使簽名有效。 | |||||
4、解析器應該有合理機制在它啟動時獲得信任錨。 | 可以從很多公開的網站下載下傳這些可信域的DNSKEY檔案,包括: (1)Root Zone DNSSEC Trust Anchors:https://www.iana.org/dnssec/。2010年7月布署實施。如果DNSSEC全部布署成功,這一個公開密鑰就足夠了。 (2)The UCLA secspider : https://secspider.cs.ucla.edu,由美國加州大學洛杉矶分校(UCLA)張麗霞教授的實驗室維護。 (3)The IKS Jena TAR:https://www.iks-jena.de/leistungen/dnssec.php | ||||
4.5 | 應答緩存 | 1、解析器應當能夠緩存完整應答,包括命名記錄和任意DNSSEC相關的資源記錄。 | |||
2、解析器應該在記錄有效期滿後丢棄緩存記錄。 | |||||
4.6 | 處理CD、AD比特位 | 1、解析器可以在查詢封包中設定CD比特位。 | CD比特位有效意味着收到的相應應答中無論認證的本地政策是什麼,解析器都願意負責。 | ||
2、解析器必須在封裝查詢封包時清空AD比特位,以防止那些不了解查詢消息的伺服器盲目拷貝消息頭。 | |||||
3、解析器如果不是安全環境下,必須忽視應答封包中的CD和AD比特位;或者解析器指定配置要求在非安全環境下仍要關注消息頭比特位。 | |||||
4.7 | 緩存錯誤資料 | 為了預防不必要的DNS阻塞,解析器可以限制性的緩存無效簽名。 | |||
解析器不可以從錯誤資料緩存中傳回資源記錄,除非解析器不要求使簽名生效。 | |||||
4.8 | 綜合的CNAME記錄 | 解析器必須要支援處理已簽名的CNAME記錄。 | |||
4.9 | 末梢解析器 | 略 |