DNSSEC如何帮助保护互联网和SOPA如何使它非法

ethernet-cable

域名系统安全扩展(DNSSEC)是一种安全技术,将有助于弥补互联网的一个弱点。 我们幸运SOPA没有通过,因为SOPA会使DNSSEC非法。

DNSSEC增加了关键的安全性的地方,互联网没有真正有任何。 域名系统(DNS)运行良好,但在进程的任何时候都没有验证,这为攻击者留下了空洞。

当前的事务

我们已经解释DNS是如何工作的过去。 简而言之,只要您连接到域名(如“google.com”或“howtoip.com”),您的计算机就会与其DNS服务器通信,并查找该域名的相关IP地址。 然后,您的计算机连接到该IP地址。

重要的是,DNS查找不涉及验证过程。 您的计算机向其DNS服务器请求与网站相关联的地址,DNS服务器将使用IP地址进行响应,您的计算机会显示“okay!”,并会愉快地连接到该网站。 您的计算机不停止检查是否是有效的响应。

图片

攻击者可能会重定向这些DNS请求或设置恶意DNS服务器,以返回错误响应。 例如,如果您连接到公共Wi-Fi网络,并且尝试连接到howtoip.com,则该公共Wi-Fi网络上的恶意DNS服务器可能会完全返回不同的IP地址。 IP地址可能会导致你到一个钓鱼网站。 您的网络浏览器没有真正的方法来检查IP地址是否实际上与howtoip.com相关联; 它只需要信任从DNS服务器收到的响应。

HTTPS加密确实提供了一些验证。 例如,假设您尝试连接到您的银行网站,并看到HTTPS和在地址栏中锁定图标 您知道,认​​证机构已验证该网站属于您的银行。

如果您从受到攻击的接入点访问了您的银行网站,并且DNS服务器返回了冒牌网络钓鱼站点的地址,则网络钓鱼站点将无法显示该HTTPS加密。 然而,网络钓鱼站点可以选择使用纯HTTP而不是HTTPS,这表明大多数用户不会注意到差异,并且会输入他们的在线银行信息。

您的银行无法说“这是我们网站的合法IP地址。

DNSSEC如何帮助

DNS查找实际上发生在几个阶段。 例如,当您的计算机要求www.howtoip.com时,您的计算机在几个阶段执行此查找:

  • 它首先询问“根区域目录”哪里能找到.COM。
  • 然后它要求。com的目录在那里可以找到howtoip.com。
  • 然后它要求howtoip.com哪里能找到www.howtoip.com。

DNSSEC涉及“签署根”。当您的计算机请求根区域可以找到.com时,它将能够检查根区域的签名密钥,并确认它是具有真实信息的合法根区域。 根区域将提供有关签名密钥或.com及其位置的信息,从而允许您的计算机与.com目录联系并确保其合法。 .com目录将提供howtoip.com的签名密钥和信息,允许它联系howtoip.com并验证您是否连接到真实的howtoip.com,如上面的区域所证实的。

当DNSSEC完全推出时,您的计算机将能够确认DNS响应是合法和真实的,而它目前无法知道哪些是假的,哪些是真实的。

了解更多关于加密是如何工作在这里。

SOPA将做什么

那么,“停止在线盗版法案”(更好地称为SOPA)如何实现所有这一切呢? 好吧,如果你遵循SOPA ,你就会意识到,它是由人谁不明白互联网,所以这将“打破了互联网”以不同的方式。 这是其中之一。

请记住,DNSSEC允许域名所有者签署其DNS记录。 因此,例如,thepiratebay.se可以使用DNSSEC来指定与其相关联的IP地址。 当您的计算机执行DNS查找 - 无论是google.com或thepiratebay.se - DNSSEC将允许计算机确定它正在接收正确的响应由域名的所有者验证。 DNSSEC只是一个协议; 它不试图区分“好”和“坏”网站。

SOPA将要求互联网服务提供商重定向“不良”网站的DNS查找。 例如,如果互联网服务提供商的订阅者试图访问thepiratebay.se,ISP的DNS服务器将返回另一个网站的地址,这将通知他们海盗湾已被阻止。

使用DNSSEC,这样的重定向将与中间人攻击无法区分,DNSSEC旨在防止这种攻击。 部署DNSSEC的ISP必须响应海盗湾的实际地址,因此将违反SOPA。 为了适应SOPA,DNSSEC必须有一个大的漏洞,允许互联网服务提供商和政府重定向域名DNS请求,没有域名的所有者的许可。 这将是困难的(如果不是不可能)做一个安全的方式,可能为攻击者打开新的安全漏洞。

wikipedia-blackout


幸运的是,SOPA已经死了,希望它不会回来。 DNSSEC目前正在部署,为此问题提供了长期逾期的修复。

图片来源: Khairil尤索夫Jemimus在Flickr上大卫·霍姆斯在Flickr

赞 (0)
分享到:更多 ()