7月DNSSEC正式部署以后,山寨root server怎么办?

5月5日ICANN已经成功的将DNSSEC部署到13个跟域名服务器了,没有出现人们担心的千年虫问题,7月份将使用正式的Key。

那些山寨版的Root Server仍然可以继续“行骗”,只要ISP仍然控制着路由。如果Resolver 也配置了DNSSec,这些山寨版的root server可能要露出马脚了。

当然,国内可以控制域名服务器,让国内的resolver不使用 DNSSec。然而,他们控制不了国外的resolver。

这样的环境下,DNSSec能够防范域名劫持吗?我还在怀疑和观察中……

参考:

  1. 关于此次 ICANN大规模部署DNSSEC
  2. http://www.root-dnssec.org/
  3. Testing your resolver for DNS reply size issues :http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues
  4. DNSSEC unlikely to break Internet on May 5 http://blogs.techrepublic.com.com/security/?p=663

Additional DNSSEC resources:

This entry was posted in 网络安全 and tagged . Bookmark the permalink.

2 Responses to 7月DNSSEC正式部署以后,山寨root server怎么办?

  1. wh253 says:

    仿佛看到了一丝曙光,
    同时又觉得,伟大的墙,是有信心、有能力解决这个小小的问题的……

  2. Duan Haixin says:

    我觉得,山寨root server 无助于 GFW的域名劫持,因为 root server 提供的只是顶级域名的解析,GFW不至于把.com等顶级域名全部劫持。 因此,山寨 root server对 对互联网的作用是积极的。

    我还不太清楚DNSSEC签名的工作原理,如果只对zone 文件静态签名,那么,山寨版的root server 仍然可以存在而不被发现。

    但是如果DNSSEC要对每个响应的报文进行 动态签名,那么 山寨root server才不管用了。