2011年11月14日星期一

笔记:关于DNSCURVE

资料:

注意,DNSCURVE提供点到点的安全,而非端到端;也就是说,能保证采用DNSCURVE通信的相邻两节点DNS查询/应答通信数据的加密、认证。

DNSCURVE:

  • 针对“NS”的公钥认证,维护成本较低;一个NS可以有多个公私钥对
  • 挑战码+DH交换协商对称密钥,支持加密通信
  • 客户端时间不准对解析结果无影响,抗重放攻击
  • 不会降低外部探知整个域配置的难度
  • 没有引入新RR,域名配置文件略微增大,主要是NS记录比以前长,可以继续用UDP
  • 耗CPU的攻击威胁增大,每个包都要涉及加解密计算,否定缓存应答不需要特殊处理
  • 放大攻击的风险较小

DNSSEC:

  • 针对“”的公钥认证,维护成本较高
  • 不支持加密通信
  • 客户端时间不准可能导致新公钥认证的域名配置被判为错误,需要NTP严格校准时间,会有重放攻击的问题
  • NSEC/NSEC3会降低外部探知整个域配置的难度
  • 引入新RR,域名配置文件显著变大,以后用TCP比较靠谱
  • 耗CPU的攻击威胁增大,否定缓存应答需要特殊的临时计算
  • 放大攻击的风险大增

 

二者可结合使用,例如,解析some.test.com,用DNSSEC认证“.”与“com.”,到test.com的ns再开始用DNSCURVE

opendns支持DNSCURVE