我知道DNSsec的总体目的是防止欺骗您的DNSlogging。 但是,DNSsec主动防止使用哪些实际进程/例程?
在RFC3833中给出了与DNS相关的威胁的一个很好的介绍。 基本上DNSSEC是确保您连接的服务器是合法的其中一种方式。 但是,这只是一层安全性,并不令人满意:它不会阻止将stream量重新路由到别的地方,或者将数据包解释为未encryption。
DNS现在的主要缺点是必须在两端都支持。 如果它没有在客户端实现,它也不会使你的DNS更加安全。 例如,Web浏览器不检查DNSSEC,而没有第三方validation器,如来自CZ.NIC的DNSSEC / TLSAvalidation器 。
由于SSL解决了比DNSSEC更多的问题,因此DNSSEC在SSL证书的影响下有一点点。 SSL证书不能解决的一个问题是获得证书期间的stream氓证书颁发机构或不正确的身份确认,这两个证书都可能导致将错误的实体颁发有效和链接的证书。 这可能是你正在寻找的一个例子。
因此,DNSSEC和SSL的结合使得伪造证书变得更加困难。 通过DNSSEC签名区域的TLSAlogging,证书必须由两个独立的链接授权。 stream氓党不太可能访问他们两个。 如果您同时实施并强制您的客户要求他们,则您正以有用的方式使用DNSSEC。
我会说这基本上归结于你已经提到的。
如果您在两端都实施了DNSSEC(validationparsing器和签名区域),则DNSSEC可防止中间人在未检测到的情况下更改响应,并避免非MITM攻击者可能赢得的未经身份validation的数据,是在真正的响应到达之前猜测端口和事务ID的简单比赛。
正确authentication的数据也使得使用DNS更加依赖于能够真正信任数据的其他东西变得可行,如DANE( TLSA ) , SSH指纹( SSHFP )等。