若要通過網際網路聯絡他人，就必須在計算機中鍵入一個地址（以名稱或數字表示）。該地址必須是唯一的，這樣計算機才能確定彼此的位置。在鍵入名稱時，必須首先由某個系統將該名稱轉換為數字，然後才能建立連線。該系統稱為域名系統(Domain Name System, DNS)，它將類似於www.icann.org的名稱轉換為數字，這些數字稱為網際網路協議(Internet Protocol,IP)地址。

ICANN（網路域名管理者網際網路名稱與數字地址分配機構）在全球範圍內對定址系統進行協調，以確保所有地址都是唯一的。如果沒有這種協調，就不會擁有統一的全球網際網路。

近日ICANN本週五釋出公告稱，DNS基礎設施正成為“惡意活動”的攻擊目標。針對此類DNS攻擊，ICANN呼籲全面部署“域名系統安全擴充套件”（DNSSEC）。 

什麼是DNSSEC

DNSSEC是將一個特殊簽名新增到root、TLD和授權名字伺服器，從而為該區域建立一條信任鏈。DNSSEC能使區域確保DNS請求的應答沒有被篡改，簡言之，DNSSEC是通過將公鑰密碼系統引入DNS的層次結構，從而為域名系統生成一個開放的全球公鑰基礎設施（PKI），以此提高DNS的安全性。

隨著網際網路應用的不斷深化，DNS已然成為網路攻擊的熱點目標，典型攻擊包括DDoS攻擊、放大攻擊、遞迴攻擊、快取投毒、修改域名註冊資訊、隧道攻擊、資源鎖定攻擊等，越來越多的基於DNS的攻擊已經嚴重影響到使用者的網路安全，使使用者的資料、資產和信譽都處於風險之中。

以快取投毒（CachePoisoning）為例，通過向DNS伺服器的本地快取中注入非法資料，將使用者正常的域名訪問請求引導至攻擊者伺服器，而黑客將在 DNS 系統中發現的漏洞（如漏洞VU#800113）與技術進步相結合，大大縮短了劫持DNS 查詢過程的任一步驟所需的時間，從而可以更快地取得對會話的控制以實施某種惡意操作（如將使用者引導至惡意網站等），若要在技術上消除這樣的安全隱患，一個有效的解決方案是以端到端的形式部署一種稱為DNS 安全擴充套件(DNS Security Extensions, DNSSEC)的安全協議。

通過部署DNSSEC，可以有效阻止“中間人”攻擊方式。通過這種攻擊方式，欺詐者可以將受害者重定向至精心製作的虛假網站，並誘騙他們提供登入憑證、付款資訊以及其他個人資訊。

開發 DNSSEC 技術的目的之一是通過對資料進行數字“簽名”來抵禦此類攻擊，從而使你確信資料有效。但是，為了從網際網路中消除該漏洞，必須在從根區域到最終域名（例如，www.icann.org）的查詢過程中的每一步部署該項技術。對根區域進行簽名（在根區域部署DNSSEC）是整個過程中的必要步驟。需要說明的是，該技術並不對資料進行加密。它只是驗證你所訪問的站點地址是否有效。

完全部署 DNSSEC 可以確保終端使用者連線到與特定域名相對應的實際網站或其他服務。儘管這不會解決網際網路的所有安全問題，但它確實保護了網際網路的關鍵部分（即目錄查詢），從而對其他保護“會話”的技術進行了補充，並且為尚待開發的安全改進技術提供了平臺。

雖然ICANN承認他們提出的解決方案（包括全面部署DESSEC）無法解決所有網際網路的安全問題，但應該可以有效降低網路安全風險。不過目前DESSEC的部署情況並不樂觀，財富1000強企業中DNSSEC的使用量低至3％。雖然這個數字現在增加到20％，但距離全面部署仍有很長的路要走。

參考來源：

• cnBeta.COM
• icann