DNSSEC和DNSCurve之战

读了一些DNS的资料，整理于此以备忘。

关于DNSSEC:

由于Domain Nam System(DNS)设计上的缺陷，用户在浏览器里输入www.test.com等网址以后，如果遭遇MITM或者DNS污染，浏览器可能接收到错误的IP,从而被误导到有害的网页。

为了解决一些这样安全上的问题，IETF在15年前便开始制定DNS的安全扩展（DNSSEC）。利用公开键机密技术，通过对DNS数据进行电子签名，DNSSEC能够验证DNS数据来源和验证在传输过程中DNS是否被篡改。

但是DNSSEC不保证DNS数据的机密性，DNS数据本身并没有被加密，加之DNS的阶层式模式，这便为一些机构提供监视，控制网络的手段。典型的例子就是不能访问一些海外的网站。

DNSSEC也不提供免于DOS(Deny of Service)攻击的办法，由于电子签名和签名验证需要格外的数据运算，DNSSEC反而更容易受到DOS攻击。

关于DNSCurve:

DNSCurve的官方网站(dnscurve.org)作了如下的自我介绍。

DNSCurve利用高速度的椭圆曲线加密从每个侧面来彻底改进DNS安全:

  1.机密性：DNSCurve加密所有的DNS数据包。(DNSSEC不具备的功能）

  2.完整性：DNSCurve验证所有的DNS回复，清除伪造的DNS数据包。

  3.可用性：DNSCurve能更迅速的辨别伪造的数据包 ，从而使攻击者更难达到阻止DNS数据通过的目的。(DNSSEC不具备的功能）

比起DNSSEC，DNSCurve显得更加简单，需要更少的数据计算和流量。

现状：

    VeriSign预计在2011年的Q1完成对其所管理的.com，.net两个顶级域名的电子签名。

    OpenDNS开始采用DNSCurve。

 

参考：

http://dnssec.org/

http://dnscurve.org/

http://www.opendns.com/

http://27c3.iphoneblog.de/recordings/4295.html

http://www.rfc-archive.org/getrfc.php?rfc=3833