Levin称,即使“使用被动DNS,别人都可以非常接近你的DNS,而你无法阻止这一点。NSEC3解决了列举问题,但它让DNSSEC变得比现在更加复杂,让更新DNS区等操作变得更加困难。”
York也承认,DNSSEC协议也有问题,包括新增的操作要求、更大的DNS数据包、缺乏保密性,并可能使系统更容易攻破。不过,York称,最后一个问题可以通过很多安全技术来应对。
“从历史上来看,DNS服务器经常看到网络管理员设置的条条框框,然后通常忽视它们,因为可能影响其运行。添加DNSSEC需要对DNS服务器进行一些额外的操作,”York称,“由于签名,DNSSEC会让DNS数据包变得更大,这可能影响网络流量,而缓解这个问题的一种方法是使用具有较小密钥的签名。”
York表示,目前互联网工程任务组的DPRIVE工作组正在开展工作以保护计算机和DNS服务器之间的连接,以确保试图监控你流量的人不会看到通过本地网络发送的数据包中的DNS查询。同时,针对DNSSEC很多常见的问题的解决方案正在开发中。
“DNSSEC协议的优点在于,它从一开始就被设计为可以不断发展,”York称,“与安全问题和安全算法一样,该协议也可以不断进化。”
(来源:TechTarget中国)
小编推荐阅读