RFC4035笔记
| 章 | 节 | 标题 | 说明 | 补充说明 | 支持级别 |
| 1 | 介绍 | 1、定义DNSSEC协议修改点 2、定义以下概念:已签名域(signed zone)和域签名的要求列表 3、描述权威域名服务器为了处理签名域的行为变化 4、描述了包括解析器在内的实体的行为 5、描述了怎样使用DNSSEC RRs去认证一个应答 |
NA | ||
| 2 | 域签名 | 介绍五种资源记录类型和签名域概念 1、DNSKEY 2、RRSIG 3、NSEC 4、DS 5、CNAME |
需要结合rfc4034一起看 | ||
| 2.1 | 包含DNSKEY的域 | ||||
| 2.2 | 包含RRSIG的域 | ||||
| 2.3 | 包含NSEC的域 | ||||
| 2.4 | 包含DS的域 | ||||
| 2.5 | CNAME资源记录的变化 | ||||
| 2.6 | 出现在域分片的DNSSEC类型 | ||||
| 3 | 命名服务器功能 | ||||
| 4 | 解析器功能 | ||||
| 4.1 | 支持EDNS | 1、解析器发送查询报文时,消息头必须支持DO比特位。 | MUST | ||
| 2、解析器必须支持最少1220字节的消息。(以前为512字节) | MUST | ||||
| 3、解析器支持应该支持4000字节的消息。 | SHOULD | ||||
| 4、解析器的IP层必须能处理UDP分片报文。 | MUST | ||||
| 4.2 | 支持签名认证 | 1、解析器必须支持签名认证。 | MUST | ||
| 2、解析器应该对每一个收到的应答应用第五章描述的签名认证机制。除了以下情况: (1)解析器是递归命名服务器的一部分 (2)应答结果告知解析器不要让这个查询结果有效或者这个查询的有效性受限于本地策略。 |
SHOULD | ||||
| 3、解析器支持的签名认证必须包括通配符主机名认证。 | MUST | ||||
| 4、解析器可以尝试让非安全记录生效,但是要声明这个接收到的应答不充分可靠。 | MAY | ||||
| 5、尝试检索丢失的NSEC时,必须向服务器查找父域而不是子域。 | 定位父域NS(权威服务器) RRset算法:从授权名开始,每次用最左边的名字去查找,遍历树结构,直到找到NS或者遍历完整棵树,过程结束。 | MUST | |||
| 6、尝试检索丢失的DS时,必须向服务器查找父域而不是子域。 | MUST | ||||
| 4.3 | 辨识数据的安全状态 | 必须能够辨识四种场景 | MUST | ||
| 1、secure场景:解析器能通过信任锚构建一个DNSKEY和DS的信任链。 处理:RRset应该被签名并受限于签名有效性。 |
MUST | ||||
| 2、Insecure场景:通过已配置的任一信任锚都无法对资源记录构建成DNSKEY和DS的信任链。 处理:RRset是否有签名都可以,但是解析器不能认证签名。 |
MUST | ||||
| 3、Bogus场景:解析器认为可以构建信任链,而实际构建不了(可能是某些原因导致签名失效或相关DNS安全RR数据丢失)。 处理:可能意味着遇到DNS攻击,也可能是配置错误或数据冲突。 |
MUST | ||||
| 4、Indeterminate场景:无法判断RRset是否应该签名(无法获得必要的DNSSEC RRs)。 处理:这种情况发生于解析器找不到识别相关域的安全服务器。 |
MUST | ||||
| 4.4 | 配置信任锚 | 1、解析器必须能配置至少一个信任锚(DNSKEY或DS)。 | MUST | ||
| 2、解析器应该支持配置多个信任锚。 | SHOULD | ||||
| 3、若没有配置信任锚,不应该使签名有效。 | SHOULD | ||||
| 4、解析器应该有合理机制在它启动时获得信任锚。 | 可以从很多公开的网站下载这些可信域的DNSKEY文件,包括: (1)Root Zone DNSSEC Trust Anchors:https://www.iana.org/dnssec/。2010年7月布署实施。如果DNSSEC全部布署成功,这一个公开密钥就足够了。 (2)The UCLA secspider : https://secspider.cs.ucla.edu,由美国加州大学洛杉矶分校(UCLA)张丽霞教授的实验室维护。 (3)The IKS Jena TAR:https://www.iks-jena.de/leistungen/dnssec.php |
SHOULD | |||
| 4.5 | 应答缓存 | 1、解析器应当能够缓存完整应答,包括命名记录和任意DNSSEC相关的资源记录。 | SHOULD | ||
| 2、解析器应该在记录有效期满后丢弃缓存记录。 | SHOULD | ||||
| 4.6 | 处理CD、AD比特位 | 1、解析器可以在查询报文中设置CD比特位。 | CD比特位有效意味着收到的相应应答中无论认证的本地策略是什么,解析器都愿意负责。 | MAY | |
| 2、解析器必须在封装查询报文时清空AD比特位,以防止那些不理解查询消息的服务器盲目拷贝消息头。 | MUST | ||||
| 3、解析器如果不是安全环境下,必须忽视应答报文中的CD和AD比特位;或者解析器指定配置要求在非安全环境下仍要关注消息头比特位。 | MUST | ||||
| 4.7 | 缓存错误数据 | 为了预防不必要的DNS阻塞,解析器可以限制性的缓存无效签名。 | MAY | ||
| 解析器不可以从错误数据缓存中返回资源记录,除非解析器不要求使签名生效。 | MUST | ||||
| 4.8 | 综合的CNAME记录 | 解析器必须要支持处理已签名的CNAME记录。 | MUST | ||
| 4.9 | 末梢解析器 | 略 | NA |
RFC4035笔记的更多相关文章
- git-简单流程(学习笔记)
这是阅读廖雪峰的官方网站的笔记,用于自己以后回看 1.进入项目文件夹 初始化一个Git仓库,使用git init命令. 添加文件到Git仓库,分两步: 第一步,使用命令git add <file ...
- js学习笔记:webpack基础入门(一)
之前听说过webpack,今天想正式的接触一下,先跟着webpack的官方用户指南走: 在这里有: 如何安装webpack 如何使用webpack 如何使用loader 如何使用webpack的开发者 ...
- SQL Server技术内幕笔记合集
SQL Server技术内幕笔记合集 发这一篇文章主要是方便大家找到我的笔记入口,方便大家o(∩_∩)o Microsoft SQL Server 6.5 技术内幕 笔记http://www.cnbl ...
- PHP-自定义模板-学习笔记
1. 开始 这几天,看了李炎恢老师的<PHP第二季度视频>中的“章节7:创建TPL自定义模板”,做一个学习笔记,通过绘制架构图.UML类图和思维导图,来对加深理解. 2. 整体架构图 ...
- PHP-会员登录与注册例子解析-学习笔记
1.开始 最近开始学习李炎恢老师的<PHP第二季度视频>中的“章节5:使用OOP注册会员”,做一个学习笔记,通过绘制基本页面流程和UML类图,来对加深理解. 2.基本页面流程 3.通过UM ...
- NET Core-学习笔记(三)
这里将要和大家分享的是学习总结第三篇:首先感慨一下这周跟随netcore官网学习是遇到的一些问题: a.官网的英文版教程使用的部分nuget包和我当时安装的最新包版本不一致,所以没法按照教材上给出的列 ...
- springMVC学习笔记--知识点总结1
以下是学习springmvc框架时的笔记整理: 结果跳转方式 1.设置ModelAndView,根据view的名称,和视图渲染器跳转到指定的页面. 比如jsp的视图渲染器是如下配置的: <!-- ...
- 读书笔记汇总 - SQL必知必会(第4版)
本系列记录并分享学习SQL的过程,主要内容为SQL的基础概念及练习过程. 书目信息 中文名:<SQL必知必会(第4版)> 英文名:<Sams Teach Yourself SQL i ...
- 2014年暑假c#学习笔记目录
2014年暑假c#学习笔记 一.C#编程基础 1. c#编程基础之枚举 2. c#编程基础之函数可变参数 3. c#编程基础之字符串基础 4. c#编程基础之字符串函数 5.c#编程基础之ref.ou ...
随机推荐
- .Net多线程编程—预备知识
1 基本概念 共享内存的多核架构:一个单独的封装包内封装了多个互相连接的未处理器,且所有内核都可以访问主内存.共享内存的多核系统的一些微架构,例如内核暂停功能,超频. 内核暂停功能:当使用内核不多的时 ...
- ASP.NET Core应用的错误处理[1]:三种呈现错误页面的方式
由于ASP.NET Core应用是一个同时处理多个请求的服务器应用,所以在处理某个请求过程中抛出的异常并不会导致整个应用的终止.出于安全方面的考量,为了避免敏感信息的外泄,客户端在默认的情况下并不会得 ...
- Android—自定义开关按钮实现
我们在应用中经常看到一些选择开关状态的配置文件,做项目的时候用的是android的Switch控件,但是感觉好丑的样子………… 个人认为还是自定义的比较好,先上个效果图:
- Windows下Redis缓存服务器的使用 .NET StackExchange.Redis Redis Desktop Manager
Redis缓存服务器是一款key/value数据库,读110000次/s,写81000次/s,因为是内存操作所以速度飞快,常见用法是存用户token.短信验证码等 官网显示Redis本身并没有Wind ...
- InnoDB:Lock & Transaction
InnoDB 是一个支持事务的Engine,要保证事务ACID,必然会用到Lock.就像在Java编程一下,要保证数据的线程安全性,必然会用到Lock.了解Lock,Transaction可以帮助sq ...
- 【Update】C# 批量插入数据 SqlBulkCopy
SqlBulkCopy的原理就是通过在客户端把数据都缓存在table中,然后利用SqlBulkCopy一次性把table中的数据插入到数据库中. SqlConnection sqlConn = new ...
- 支付宝web支付
过程 1. 用户下单 2. 商户后台产生订单 3. 请求支付宝web支付页面(将订单信息返回给用户---放在form里面---隐藏起来-----并通过脚本自动提交此form到支付宝web支付页) 4. ...
- 企业IT管理员IE11升级指南【17】—— F12 开发者工具
企业IT管理员IE11升级指南 系列: [1]—— Internet Explorer 11增强保护模式 (EPM) 介绍 [2]—— Internet Explorer 11 对Adobe Flas ...
- CSharpGL(8)使用3D纹理渲染体数据 (Volume Rendering) 初探
CSharpGL(8)使用3D纹理渲染体数据 (Volume Rendering) 初探 2016-08-13 由于CSharpGL一直在更新,现在这个教程已经不适用最新的代码了.CSharpGL源码 ...
- AWS的SysOps认证考试样题解析
刚考过了AWS的developer认证,顺手做了一下SysOps的样题.以下是题目和答案. When working with Amazon RDS, by default AWS is respon ...