RFC4035笔记
| 章 | 节 | 标题 | 说明 | 补充说明 | 支持级别 |
| 1 | 介绍 | 1、定义DNSSEC协议修改点 2、定义以下概念:已签名域(signed zone)和域签名的要求列表 3、描述权威域名服务器为了处理签名域的行为变化 4、描述了包括解析器在内的实体的行为 5、描述了怎样使用DNSSEC RRs去认证一个应答 |
NA | ||
| 2 | 域签名 | 介绍五种资源记录类型和签名域概念 1、DNSKEY 2、RRSIG 3、NSEC 4、DS 5、CNAME |
需要结合rfc4034一起看 | ||
| 2.1 | 包含DNSKEY的域 | ||||
| 2.2 | 包含RRSIG的域 | ||||
| 2.3 | 包含NSEC的域 | ||||
| 2.4 | 包含DS的域 | ||||
| 2.5 | CNAME资源记录的变化 | ||||
| 2.6 | 出现在域分片的DNSSEC类型 | ||||
| 3 | 命名服务器功能 | ||||
| 4 | 解析器功能 | ||||
| 4.1 | 支持EDNS | 1、解析器发送查询报文时,消息头必须支持DO比特位。 | MUST | ||
| 2、解析器必须支持最少1220字节的消息。(以前为512字节) | MUST | ||||
| 3、解析器支持应该支持4000字节的消息。 | SHOULD | ||||
| 4、解析器的IP层必须能处理UDP分片报文。 | MUST | ||||
| 4.2 | 支持签名认证 | 1、解析器必须支持签名认证。 | MUST | ||
| 2、解析器应该对每一个收到的应答应用第五章描述的签名认证机制。除了以下情况: (1)解析器是递归命名服务器的一部分 (2)应答结果告知解析器不要让这个查询结果有效或者这个查询的有效性受限于本地策略。 |
SHOULD | ||||
| 3、解析器支持的签名认证必须包括通配符主机名认证。 | MUST | ||||
| 4、解析器可以尝试让非安全记录生效,但是要声明这个接收到的应答不充分可靠。 | MAY | ||||
| 5、尝试检索丢失的NSEC时,必须向服务器查找父域而不是子域。 | 定位父域NS(权威服务器) RRset算法:从授权名开始,每次用最左边的名字去查找,遍历树结构,直到找到NS或者遍历完整棵树,过程结束。 | MUST | |||
| 6、尝试检索丢失的DS时,必须向服务器查找父域而不是子域。 | MUST | ||||
| 4.3 | 辨识数据的安全状态 | 必须能够辨识四种场景 | MUST | ||
| 1、secure场景:解析器能通过信任锚构建一个DNSKEY和DS的信任链。 处理:RRset应该被签名并受限于签名有效性。 |
MUST | ||||
| 2、Insecure场景:通过已配置的任一信任锚都无法对资源记录构建成DNSKEY和DS的信任链。 处理:RRset是否有签名都可以,但是解析器不能认证签名。 |
MUST | ||||
| 3、Bogus场景:解析器认为可以构建信任链,而实际构建不了(可能是某些原因导致签名失效或相关DNS安全RR数据丢失)。 处理:可能意味着遇到DNS攻击,也可能是配置错误或数据冲突。 |
MUST | ||||
| 4、Indeterminate场景:无法判断RRset是否应该签名(无法获得必要的DNSSEC RRs)。 处理:这种情况发生于解析器找不到识别相关域的安全服务器。 |
MUST | ||||
| 4.4 | 配置信任锚 | 1、解析器必须能配置至少一个信任锚(DNSKEY或DS)。 | MUST | ||
| 2、解析器应该支持配置多个信任锚。 | SHOULD | ||||
| 3、若没有配置信任锚,不应该使签名有效。 | SHOULD | ||||
| 4、解析器应该有合理机制在它启动时获得信任锚。 | 可以从很多公开的网站下载这些可信域的DNSKEY文件,包括: (1)Root Zone DNSSEC Trust Anchors:https://www.iana.org/dnssec/。2010年7月布署实施。如果DNSSEC全部布署成功,这一个公开密钥就足够了。 (2)The UCLA secspider : https://secspider.cs.ucla.edu,由美国加州大学洛杉矶分校(UCLA)张丽霞教授的实验室维护。 (3)The IKS Jena TAR:https://www.iks-jena.de/leistungen/dnssec.php |
SHOULD | |||
| 4.5 | 应答缓存 | 1、解析器应当能够缓存完整应答,包括命名记录和任意DNSSEC相关的资源记录。 | SHOULD | ||
| 2、解析器应该在记录有效期满后丢弃缓存记录。 | SHOULD | ||||
| 4.6 | 处理CD、AD比特位 | 1、解析器可以在查询报文中设置CD比特位。 | CD比特位有效意味着收到的相应应答中无论认证的本地策略是什么,解析器都愿意负责。 | MAY | |
| 2、解析器必须在封装查询报文时清空AD比特位,以防止那些不理解查询消息的服务器盲目拷贝消息头。 | MUST | ||||
| 3、解析器如果不是安全环境下,必须忽视应答报文中的CD和AD比特位;或者解析器指定配置要求在非安全环境下仍要关注消息头比特位。 | MUST | ||||
| 4.7 | 缓存错误数据 | 为了预防不必要的DNS阻塞,解析器可以限制性的缓存无效签名。 | MAY | ||
| 解析器不可以从错误数据缓存中返回资源记录,除非解析器不要求使签名生效。 | MUST | ||||
| 4.8 | 综合的CNAME记录 | 解析器必须要支持处理已签名的CNAME记录。 | MUST | ||
| 4.9 | 末梢解析器 | 略 | NA |
RFC4035笔记的更多相关文章
- git-简单流程(学习笔记)
这是阅读廖雪峰的官方网站的笔记,用于自己以后回看 1.进入项目文件夹 初始化一个Git仓库,使用git init命令. 添加文件到Git仓库,分两步: 第一步,使用命令git add <file ...
- js学习笔记:webpack基础入门(一)
之前听说过webpack,今天想正式的接触一下,先跟着webpack的官方用户指南走: 在这里有: 如何安装webpack 如何使用webpack 如何使用loader 如何使用webpack的开发者 ...
- SQL Server技术内幕笔记合集
SQL Server技术内幕笔记合集 发这一篇文章主要是方便大家找到我的笔记入口,方便大家o(∩_∩)o Microsoft SQL Server 6.5 技术内幕 笔记http://www.cnbl ...
- PHP-自定义模板-学习笔记
1. 开始 这几天,看了李炎恢老师的<PHP第二季度视频>中的“章节7:创建TPL自定义模板”,做一个学习笔记,通过绘制架构图.UML类图和思维导图,来对加深理解. 2. 整体架构图 ...
- PHP-会员登录与注册例子解析-学习笔记
1.开始 最近开始学习李炎恢老师的<PHP第二季度视频>中的“章节5:使用OOP注册会员”,做一个学习笔记,通过绘制基本页面流程和UML类图,来对加深理解. 2.基本页面流程 3.通过UM ...
- NET Core-学习笔记(三)
这里将要和大家分享的是学习总结第三篇:首先感慨一下这周跟随netcore官网学习是遇到的一些问题: a.官网的英文版教程使用的部分nuget包和我当时安装的最新包版本不一致,所以没法按照教材上给出的列 ...
- springMVC学习笔记--知识点总结1
以下是学习springmvc框架时的笔记整理: 结果跳转方式 1.设置ModelAndView,根据view的名称,和视图渲染器跳转到指定的页面. 比如jsp的视图渲染器是如下配置的: <!-- ...
- 读书笔记汇总 - SQL必知必会(第4版)
本系列记录并分享学习SQL的过程,主要内容为SQL的基础概念及练习过程. 书目信息 中文名:<SQL必知必会(第4版)> 英文名:<Sams Teach Yourself SQL i ...
- 2014年暑假c#学习笔记目录
2014年暑假c#学习笔记 一.C#编程基础 1. c#编程基础之枚举 2. c#编程基础之函数可变参数 3. c#编程基础之字符串基础 4. c#编程基础之字符串函数 5.c#编程基础之ref.ou ...
随机推荐
- 探真无阻塞加载javascript脚本技术,我们会发现很多意想不到的秘密
下面的图片是我使用firefox和chrome浏览百度首页时候记录的http请求 下面是firefox: 下面是chrome: 在浏览百度首页前我都将浏览器的缓存全部清理掉,让这个场景最接近第一次访问 ...
- dubbo服务提供与消费
一.前言 项目中用到了Dubbo,临时抱大腿,学习了dubbo的简单实用方法.现在就来总结一下dubbo如何提供服务,如何消费服务,并做了一个简单的demo作为参考. 二.Dubbo是什么 Dubbo ...
- Android Studio快捷键
一.android studio 默认快捷键 刚开始接触一款开发软件,想必很想了解它的快捷方式,这会对你的编程起到很好的帮助,提高工作效率,接下来给你介绍下Android Studio一些常用的快 ...
- Android中的沉浸式状态栏效果
无意间了解到沉浸式状态栏,感觉贼拉的高大上,于是就是试着去了解一下,就有了这篇文章.下面就来了解一下啥叫沉浸式状态栏.传统的手机状态栏是呈现出黑色条状的,有的和手机主界面有很明显的区别.这一样就在一定 ...
- 使用Hudson搭建自动构建服务器
环境: ubuntu1404_x64 说明: 使用hudson和git搭建自动构建服务器的简单示例 安装hudson及相关插件 安装hudson 安装命令如下: sudo sh -c "ec ...
- git &github 快速入门
本节内容 github介绍 安装 仓库创建& 提交代码 代码回滚 工作区和暂存区 撤销修改 删除操作 远程仓库 分支管理 多人协作 github使用 忽略特殊文件.gitignore 1.gi ...
- Web 前端攻防(2014版)
在百度 FEX 团队时写的.有次让我写点前端开发中注意的安全规范,结果写着写着就跑题了,写了一堆纯前端实现的攻击方式...当然还有防范措施. 文章就懒得粘过来了~ 直接贴个地址算了:) http:// ...
- 页面与ViewModel(下)
在上一篇博客中,笔者分享了一些从页面整体的角度对页面与ViewModel的思考.在本文中笔者希望从相对细节的角度分享一些对页面与ViewModel的思考. 比如,当我们在更新View Model中的绑 ...
- X Window 的奥秘
大名鼎鼎的 X Window 大家肯定不陌生.都知道它是 Unix/Linux 下面的窗口系统,也都知道它基于 Server/Clinet 架构.在网上随便搜一搜,也可以找到不少 X Window 的 ...
- [开源]QuickSwitchSVNClient,快速完成SVN Switch的工具
在实际的开发中,我们一般使用SVN工具进行源代码的管理.在实际的产品开发中,根据项目的一些定制要求,往往需要对某一些代码的修改,但是又不想影响主要的开发,这个时候需要对当前的主分支做一些分支处理(br ...