RFC4035筆記
| 章 | 節 | 標題 | 說明 | 補充說明 | 支援級別 |
| 1 | 介紹 | 1、定義DNSSEC協議修改點 2、定義以下概念:已簽名域(signed zone)和域簽名的要求列表 3、描述權威域名伺服器為了處理簽名域的行為變化 4、描述了包括解析器在內的實體的行為 5、描述了怎樣使用DNSSEC RRs去認證一個應答 |
NA | ||
| 2 | 域簽名 | 介紹五種資源記錄型別和簽名域概念 1、DNSKEY 2、RRSIG 3、NSEC 4、DS 5、CNAME |
需要結合rfc4034一起看 | ||
| 2.1 | 包含DNSKEY的域 | ||||
| 2.2 | 包含RRSIG的域 | ||||
| 2.3 | 包含NSEC的域 | ||||
| 2.4 | 包含DS的域 | ||||
| 2.5 | CNAME資源記錄的變化 | ||||
| 2.6 | 出現在域分片的DNSSEC型別 | ||||
| 3 | 命名伺服器功能 | ||||
| 4 | 解析器功能 | ||||
| 4.1 | 支援EDNS | 1、解析器傳送查詢報文時,訊息頭必須支援DO位元位。 | MUST | ||
| 2、解析器必須支援最少1220位元組的訊息。(以前為512位元組) | MUST | ||||
| 3、解析器支援應該支援4000位元組的訊息。 | SHOULD | ||||
| 4、解析器的IP層必須能處理UDP分片報文。 | MUST | ||||
| 4.2 | 支援簽名認證 | 1、解析器必須支援簽名認證。 | MUST | ||
| 2、解析器應該對每一個收到的應答應用第五章描述的簽名認證機制。除了以下情況: (1)解析器是遞迴命名伺服器的一部分 (2)應答結果告知解析器不要讓這個查詢結果有效或者這個查詢的有效性受限於本地策略。 |
SHOULD | ||||
| 3、解析器支援的簽名認證必須包括萬用字元主機名認證。 | MUST | ||||
| 4、解析器可以嘗試讓非安全記錄生效,但是要宣告這個接收到的應答不充分可靠。 | MAY | ||||
| 5、嘗試檢索丟失的NSEC時,必須向伺服器查詢父域而不是子域。 | 定位父域NS(權威伺服器) RRset演算法:從授權名開始,每次用最左邊的名字去查詢,遍歷樹結構,直到找到NS或者遍歷完整棵樹,過程結束。 | MUST | |||
| 6、嘗試檢索丟失的DS時,必須向伺服器查詢父域而不是子域。 | MUST | ||||
| 4.3 | 辨識資料的安全狀態 | 必須能夠辨識四種場景 | MUST | ||
| 1、secure場景:解析器能通過信任錨構建一個DNSKEY和DS的信任鏈。 處理:RRset應該被簽名並受限於簽名有效性。 |
MUST | ||||
| 2、Insecure場景:通過已配置的任一信任錨都無法對資源記錄構建成DNSKEY和DS的信任鏈。 處理:RRset是否有簽名都可以,但是解析器不能認證簽名。 |
MUST | ||||
| 3、Bogus場景:解析器認為可以構建信任鏈,而實際構建不了(可能是某些原因導致簽名失效或相關DNS安全RR資料丟失)。 處理:可能意味著遇到DNS攻擊,也可能是配置錯誤或資料衝突。 |
MUST | ||||
| 4、Indeterminate場景:無法判斷RRset是否應該簽名(無法獲得必要的DNSSEC RRs)。 處理:這種情況發生於解析器找不到識別相關域的安全伺服器。 |
MUST | ||||
| 4.4 | 配置信任錨 | 1、解析器必須能配置至少一個信任錨(DNSKEY或DS)。 | MUST | ||
| 2、解析器應該支援配置多個信任錨。 | SHOULD | ||||
| 3、若沒有配置信任錨,不應該使簽名有效。 | SHOULD | ||||
| 4、解析器應該有合理機制在它啟動時獲得信任錨。 | 可以從很多公開的網站下載這些可信域的DNSKEY檔案,包括: (1)Root Zone DNSSEC Trust Anchors:https://www.iana.org/dnssec/。2010年7月佈署實施。如果DNSSEC全部佈署成功,這一個公開金鑰就足夠了。 (2)The UCLA secspider : https://secspider.cs.ucla.edu,由美國加州大學洛杉磯分校(UCLA)張麗霞教授的實驗室維護。 (3)The IKS Jena TAR:https://www.iks-jena.de/leistungen/dnssec.php |
SHOULD | |||
| 4.5 | 應答快取 | 1、解析器應當能夠快取完整應答,包括命名記錄和任意DNSSEC相關的資源記錄。 | SHOULD | ||
| 2、解析器應該在記錄有效期滿後丟棄快取記錄。 | SHOULD | ||||
| 4.6 | 處理CD、AD位元位 | 1、解析器可以在查詢報文中設定CD位元位。 | CD位元位有效意味著收到的相應應答中無論認證的本地策略是什麼,解析器都願意負責。 | MAY | |
| 2、解析器必須在封裝查詢報文時清空AD位元位,以防止那些不理解查詢訊息的伺服器盲目拷貝訊息頭。 | MUST | ||||
| 3、解析器如果不是安全環境下,必須忽視應答報文中的CD和AD位元位;或者解析器指定配置要求在非安全環境下仍要關注訊息頭位元位。 | MUST | ||||
| 4.7 | 快取錯誤資料 | 為了預防不必要的DNS阻塞,解析器可以限制性的快取無效簽名。 | MAY | ||
| 解析器不可以從錯誤資料快取中返回資源記錄,除非解析器不要求使簽名生效。 | MUST | ||||
| 4.8 | 綜合的CNAME記錄 | 解析器必須要支援處理已簽名的CNAME記錄。 | MUST | ||
| 4.9 | 末梢解析器 | 略 | NA |
相關文章
- 印象筆記 --- 方法分享筆記筆記
- 筆記筆記
- CUUG筆記 ORACLE索引學習筆記筆記Oracle索引
- 主動筆記與被動筆記筆記
- 淘寶記錄筆記筆記
- 心情筆記筆記
- 命令筆記筆記
- 筆記:Docker筆記Docker
- Meteor筆記筆記
- ES筆記筆記
- AbstractQueuedSynchronizer筆記筆記
- Redis筆記Redis筆記
- new筆記筆記
- vio筆記筆記
- Liunx筆記筆記
- Nacos 筆記筆記
- oracle筆記Oracle筆記
- html 筆記HTML筆記
- Cookie筆記Cookie筆記
- jQuery筆記jQuery筆記
- docker 筆記Docker筆記
- Restful 筆記REST筆記
- kafka 筆記Kafka筆記
- 路由筆記路由筆記
- webSocket筆記Web筆記
- 筆記1筆記
- 筆記-FMDB筆記
- Scrum筆記Scrum筆記
- canvas筆記Canvas筆記
- 小馬筆記筆記
- 隨筆記筆記
- spark筆記Spark筆記
- mysql 筆記MySql筆記
- 筆記:JVM筆記JVM
- Servlet筆記Servlet筆記
- 夢筆記筆記
- GIF筆記筆記
- shell 筆記筆記