资料:
注意,DNSCURVE提供点到点的安全,而非端到端;也就是说,能保证采用DNSCURVE通信的相邻两节点DNS查询/应答通信数据的加密、认证。
DNSCURVE:
- 针对“NS”的公钥认证,维护成本较低;一个NS可以有多个公私钥对
- 挑战码+DH交换协商对称密钥,支持加密通信
- 客户端时间不准对解析结果无影响,抗重放攻击
- 不会降低外部探知整个域配置的难度
- 没有引入新RR,域名配置文件略微增大,主要是NS记录比以前长,可以继续用UDP
- 耗CPU的攻击威胁增大,每个包都要涉及加解密计算,否定缓存应答不需要特殊处理
- 放大攻击的风险较小
DNSSEC:
- 针对“域”的公钥认证,维护成本较高
- 不支持加密通信
- 客户端时间不准可能导致新公钥认证的域名配置被判为错误,需要NTP严格校准时间,会有重放攻击的问题
- NSEC/NSEC3会降低外部探知整个域配置的难度
- 引入新RR,域名配置文件显著变大,以后用TCP比较靠谱
- 耗CPU的攻击威胁增大,否定缓存应答需要特殊的临时计算
- 放大攻击的风险大增
二者可结合使用,例如,解析some.test.com,用DNSSEC认证“.”与“com.”,到test.com的ns再开始用DNSCURVE
opendns支持DNSCURVE
没有评论:
发表评论