技術文章:DNSSEC 驗證流程

當我們在使用 DNSSEC 的時候,它是怎麼幫我們確保整個驗證流程都是正確的呢?

當解析器將查詢交給 DNS Server(或稱 Cache),就已經使用了 DNSSEC ,Cache 從根(.)伺服器一直到回應 Client 資料也都是 DNSSEC,如圖1,整體查詢機制。

圖1:DNSSEC整體查詢機制

在資料驗證的部份,一般都是由 Cache Server 執行。Cache 一樣會送出查詢,權威伺服器回應正解資料,並附帶簽署網域中的網域資料 RRSIG,Cache 接收到資料,會向權威伺服器查詢 DNSKEY,接者把查詢到的 RRSIG 解開,得到一個雜湊值A,把原始資料(DNS回應答案)作 hash 加密演算,得到雜湊值B,比對A、B是否相同,完成 DNS 驗證,說穿了,是不是很簡單呢?透過圖2,我們可以了解到整個 DNSSEC 運作流程,上半部是發送端,也就是權伺服器,下半部是接收端,通常是 Cache Server 或是 Client 。

圖 2:DNSSEC資料驗證流程

 

我們來查詢一些實際範例吧:

$ dig +dnssec @localhost example.tw ns
(略)
;; ANSWER SECTION:
example.tw.            10    IN     NS    a6.example.tw.
example.tw.            10    IN     NS    a3.example.tw.
example.tw.            10    IN     RRSIG      NS 5 2 10 20101228025404
20101128025404 29223 example.tw.
WWjpWlY8PAT/puYDiz/ElG9IxA0p/bHiouw+t3oFk89DIxbBc+ShV9+8
S5pnbk3NIzk7aK2p/+z0nKEq2NYcljfELSCg8r8+7I0Ndz+SvMWVwFPJ
hwEeK6aeSawMzjeZIkW0tPX5ntiHgw2yEO2Jf2KfVYxjCqpFqte+2TRn
y3k=

DNSSEC 的每一筆查詢回應都會有 RRSIG 這個數位簽章來驗證資料的正確性,以上面的範例來說,我在我的電腦建立了 example.tw 的 DNSSEC 網域,我設定了他的 NS 是 a3.example.tw. 和 a6.example.tw. 。底下的 RRSIG 就是驗證上面兩筆 NS 的簽章,同樣的 FQDN 和 Type 只會有一筆 RRSIG,底下的 MX 也只會有一筆 RRSIG,如何驗證這個 RRSIG 呢?快回顧一下圖2的流程吧。

root@haway-x200:/etc/bind# dig +dnssec @localhost example.tw mx
(略)
;; ANSWER SECTION:
example.tw.            30    IN     MX   10 a6.example.tw.
example.tw.            30    IN     MX   20 a3.example.tw.
example.tw.            30    IN     RRSIG      MX 5 2 30 20101228025732
20101128025732 29223 example.tw.
UFYyHom/qKsu+NWj2yKo/0shbDin8muOZFk0McAVhG9IAPZx98TbdkwN
TIb2E9Jk+euk/d0k9IxTrdQctm+xKY96Q9APamFq1XW0WEMff2KLmH+Y
yyiF+JYikOH7sJgpjbLjuXqlZB7PMfSpdVF0qb+7us6K/c2V6k9S3f1m
xk4=

 

SQL Injection
SQL Injection是透過網頁欄位或變數直接改變 SQL 語法,一般可稱為 SQL 注入點,駭客在找到注入點之後,就會開始填入一連串的 SQL 攻擊指令,其實也就是一般的 SQL 語法。透過這樣的攻擊,會造成認證失敗、資料直接從資料庫被取出的問題。由於系統並不會對網頁變數做檢查,除非網頁程式撰寫人員額外檢查各項變數,不然很容易形成所謂的注入點,讓駭客執行各種SQL Injection,最好的防禦方法就是檢查各項輸入的變數,並且限制存取資料庫帳號的權限。
十年有成 - 「2010年台灣ISP年鑑」正式發行
DNS代管服務使用IPv6 位址嘛A通
TWNIC 2011年新一代網際網路協定教育訓練4月課程
TWNIC 2011年網際網路技術暨資訊安全教育訓練實做/課程
「.台灣」中文域名 讓網站更搶眼
中文網域名稱
DNSSEC 驗證流程
TWNIC寬頻網路使用調查
.tw域名統計調查
IP統計查詢
www server累計數量統計
全球IP位址與AS號碼每月統計表
TWNIC IPv4位址核發記錄(100年2月26日-3月25日)