RFC4035笔记
| 章 | 节 | 标题 | 说明 | 补充说明 | 支持级别 |
| 1 | 介绍 | 1、定义DNSSEC协议修改点 2、定义以下概念:已签名域(signed zone)和域签名的要求列表 3、描述权威域名服务器为了处理签名域的行为变化 4、描述了包括解析器在内的实体的行为 5、描述了怎样使用DNSSEC RRs去认证一个应答 |
NA | ||
| 2 | 域签名 | 介绍五种资源记录类型和签名域概念 1、DNSKEY 2、RRSIG 3、NSEC 4、DS 5、CNAME |
需要结合rfc4034一起看 | ||
| 2.1 | 包含DNSKEY的域 | ||||
| 2.2 | 包含RRSIG的域 | ||||
| 2.3 | 包含NSEC的域 | ||||
| 2.4 | 包含DS的域 | ||||
| 2.5 | CNAME资源记录的变化 | ||||
| 2.6 | 出现在域分片的DNSSEC类型 | ||||
| 3 | 命名服务器功能 | ||||
| 4 | 解析器功能 | ||||
| 4.1 | 支持EDNS | 1、解析器发送查询报文时,消息头必须支持DO比特位。 | MUST | ||
| 2、解析器必须支持最少1220字节的消息。(以前为512字节) | MUST | ||||
| 3、解析器支持应该支持4000字节的消息。 | SHOULD | ||||
| 4、解析器的IP层必须能处理UDP分片报文。 | MUST | ||||
| 4.2 | 支持签名认证 | 1、解析器必须支持签名认证。 | MUST | ||
| 2、解析器应该对每一个收到的应答应用第五章描述的签名认证机制。除了以下情况: (1)解析器是递归命名服务器的一部分 (2)应答结果告知解析器不要让这个查询结果有效或者这个查询的有效性受限于本地策略。 |
SHOULD | ||||
| 3、解析器支持的签名认证必须包括通配符主机名认证。 | MUST | ||||
| 4、解析器可以尝试让非安全记录生效,但是要声明这个接收到的应答不充分可靠。 | MAY | ||||
| 5、尝试检索丢失的NSEC时,必须向服务器查找父域而不是子域。 | 定位父域NS(权威服务器) RRset算法:从授权名开始,每次用最左边的名字去查找,遍历树结构,直到找到NS或者遍历完整棵树,过程结束。 | MUST | |||
| 6、尝试检索丢失的DS时,必须向服务器查找父域而不是子域。 | MUST | ||||
| 4.3 | 辨识数据的安全状态 | 必须能够辨识四种场景 | MUST | ||
| 1、secure场景:解析器能通过信任锚构建一个DNSKEY和DS的信任链。 处理:RRset应该被签名并受限于签名有效性。 |
MUST | ||||
| 2、Insecure场景:通过已配置的任一信任锚都无法对资源记录构建成DNSKEY和DS的信任链。 处理:RRset是否有签名都可以,但是解析器不能认证签名。 |
MUST | ||||
| 3、Bogus场景:解析器认为可以构建信任链,而实际构建不了(可能是某些原因导致签名失效或相关DNS安全RR数据丢失)。 处理:可能意味着遇到DNS攻击,也可能是配置错误或数据冲突。 |
MUST | ||||
| 4、Indeterminate场景:无法判断RRset是否应该签名(无法获得必要的DNSSEC RRs)。 处理:这种情况发生于解析器找不到识别相关域的安全服务器。 |
MUST | ||||
| 4.4 | 配置信任锚 | 1、解析器必须能配置至少一个信任锚(DNSKEY或DS)。 | MUST | ||
| 2、解析器应该支持配置多个信任锚。 | SHOULD | ||||
| 3、若没有配置信任锚,不应该使签名有效。 | SHOULD | ||||
| 4、解析器应该有合理机制在它启动时获得信任锚。 | 可以从很多公开的网站下载这些可信域的DNSKEY文件,包括: (1)Root Zone DNSSEC Trust Anchors:https://www.iana.org/dnssec/。2010年7月布署实施。如果DNSSEC全部布署成功,这一个公开密钥就足够了。 (2)The UCLA secspider : https://secspider.cs.ucla.edu,由美国加州大学洛杉矶分校(UCLA)张丽霞教授的实验室维护。 (3)The IKS Jena TAR:https://www.iks-jena.de/leistungen/dnssec.php |
SHOULD | |||
| 4.5 | 应答缓存 | 1、解析器应当能够缓存完整应答,包括命名记录和任意DNSSEC相关的资源记录。 | SHOULD | ||
| 2、解析器应该在记录有效期满后丢弃缓存记录。 | SHOULD | ||||
| 4.6 | 处理CD、AD比特位 | 1、解析器可以在查询报文中设置CD比特位。 | CD比特位有效意味着收到的相应应答中无论认证的本地策略是什么,解析器都愿意负责。 | MAY | |
| 2、解析器必须在封装查询报文时清空AD比特位,以防止那些不理解查询消息的服务器盲目拷贝消息头。 | MUST | ||||
| 3、解析器如果不是安全环境下,必须忽视应答报文中的CD和AD比特位;或者解析器指定配置要求在非安全环境下仍要关注消息头比特位。 | MUST | ||||
| 4.7 | 缓存错误数据 | 为了预防不必要的DNS阻塞,解析器可以限制性的缓存无效签名。 | MAY | ||
| 解析器不可以从错误数据缓存中返回资源记录,除非解析器不要求使签名生效。 | MUST | ||||
| 4.8 | 综合的CNAME记录 | 解析器必须要支持处理已签名的CNAME记录。 | MUST | ||
| 4.9 | 末梢解析器 | 略 | NA |
RFC4035笔记的更多相关文章
- git-简单流程(学习笔记)
这是阅读廖雪峰的官方网站的笔记,用于自己以后回看 1.进入项目文件夹 初始化一个Git仓库,使用git init命令. 添加文件到Git仓库,分两步: 第一步,使用命令git add <file ...
- js学习笔记:webpack基础入门(一)
之前听说过webpack,今天想正式的接触一下,先跟着webpack的官方用户指南走: 在这里有: 如何安装webpack 如何使用webpack 如何使用loader 如何使用webpack的开发者 ...
- SQL Server技术内幕笔记合集
SQL Server技术内幕笔记合集 发这一篇文章主要是方便大家找到我的笔记入口,方便大家o(∩_∩)o Microsoft SQL Server 6.5 技术内幕 笔记http://www.cnbl ...
- PHP-自定义模板-学习笔记
1. 开始 这几天,看了李炎恢老师的<PHP第二季度视频>中的“章节7:创建TPL自定义模板”,做一个学习笔记,通过绘制架构图.UML类图和思维导图,来对加深理解. 2. 整体架构图 ...
- PHP-会员登录与注册例子解析-学习笔记
1.开始 最近开始学习李炎恢老师的<PHP第二季度视频>中的“章节5:使用OOP注册会员”,做一个学习笔记,通过绘制基本页面流程和UML类图,来对加深理解. 2.基本页面流程 3.通过UM ...
- NET Core-学习笔记(三)
这里将要和大家分享的是学习总结第三篇:首先感慨一下这周跟随netcore官网学习是遇到的一些问题: a.官网的英文版教程使用的部分nuget包和我当时安装的最新包版本不一致,所以没法按照教材上给出的列 ...
- springMVC学习笔记--知识点总结1
以下是学习springmvc框架时的笔记整理: 结果跳转方式 1.设置ModelAndView,根据view的名称,和视图渲染器跳转到指定的页面. 比如jsp的视图渲染器是如下配置的: <!-- ...
- 读书笔记汇总 - SQL必知必会(第4版)
本系列记录并分享学习SQL的过程,主要内容为SQL的基础概念及练习过程. 书目信息 中文名:<SQL必知必会(第4版)> 英文名:<Sams Teach Yourself SQL i ...
- 2014年暑假c#学习笔记目录
2014年暑假c#学习笔记 一.C#编程基础 1. c#编程基础之枚举 2. c#编程基础之函数可变参数 3. c#编程基础之字符串基础 4. c#编程基础之字符串函数 5.c#编程基础之ref.ou ...
随机推荐
- Microservice Anti-patterns
在最近的一次Microservices Practitioner Summit中,原Netflix工程师介绍了一种越来越常见的对Microservice的误用.简单地说,大家在搭建一个基于Micros ...
- 移动端1px边框
问题:移动端1px边框,看起来总是2倍的边框大小,为了解决这个问题试用过很多方法,用图片,用js判断dpr等,都不太满意, 最后找到一个还算好用的方法:伪类 + transform 原理是把原先元素的 ...
- bcp 命令实例
set sql_flow="select Id,',',ApplierName,',',FlowStatus,',',IsApproved,',',CreateTime from *** w ...
- [BootStrap] 富编辑器,基于wysihtml5
在我的周围,已经有很多人在使用BootStrap,但对于任何一个带留言.评论.提问.文章编辑功的网站,编辑器永远是重中之重,显然,早期的编辑器完全没考虑过BootStrap的出现,或皮肤跟网站不匹配, ...
- 6.在MVC中使用泛型仓储模式和依赖注入实现增删查改
原文链接:http://www.c-sharpcorner.com/UploadFile/3d39b4/crud-operations-using-the-generic-repository-pat ...
- ie6 ie7 ie8 ie9兼容问题终极解决方案
放下包袱,解决低版本兼容问题 这是一个老生常谈的问题,自然解决这个问题的方案也比较多,下面整理了一些解决方法: 1.强制使用高版本渲染模式. 强制使用Edge模式来解析网页代码 <meta ...
- BPM任务管理解决方案分享
一.方案概述任务是企业管理者很多意志的直接体现,对于非常规性事务较多的企业,经常存在各类公司下达的各种任务跟进难.监控难等问题,任务不是完成效果不理解,就是时间超期,甚至很多公司管理层下达的任务都不了 ...
- App解读
一直不懂别人口中说的原生开发.混合式开发.今天突然看了一篇文章讲解的是什么叫做原生App?移动 Web App?混合APP?分享给大家. 原生App是专门针对某一类移动设备而生的,它们都是直接安装到设 ...
- MySQL: Fabric 搭建 HA
搭建好Fabric之后,就可以在它的基础上创建HA Group. Shard Group.HA+Shard Group等.这里来说明一下如何快速的搭建HA环境. Fabric 192.168.2.23 ...
- 项目游戏开发日记 No.0x000001
14软二杨近星(2014551622) 既然已经决定了开发软件, 时不时就要练练手, 还要时不时的去寻找素材, 因为开发的人物设定就是DotA2里面的祈求者, 所以, 就去找了他的相关人物图片和模型, ...