域名开启 DNSSEC 的必要性,及各大云服务商的价格

更新日期: 2020-11-12 阅读次数: 5146 字数: 432 分类: DNS

DNS 污染的危害

首先为何会有 DNS 污染?

昨天在微信公众号中看了一个信息,一个站长的网站被同行进行了 DNS 污染,导致关站。 我猜测导致关站的原因是,其网站依赖于百度搜索的流量,在被 DNS 污染之后,可能被指向了非法内容站。 然后被百度K站。这样,这个流量站就没有了存在的价值。而对手则成功消灭了一个竞争者。

看上去确实危害很大。然后文章里推荐的解决方案是开启域名 DNSSEC。于是查询了一下 DNSSEC 相关的资料。

DNSSEC 的全称

DNSSEC 是 Domain Name System Security Extensions 的缩写,即 DNS 安全扩展。

DNSSEC 能解决什么 DNS 安全问题

防止 DNS 记录被篡改、污染。

不但是 A 记录,TXT 记录等其他类型的记录也同样能起到防护效果。

原理

由于 DNS 解析过程是明文的。所以,在解析时,中间人可以篡改结果,伪造返回。

DNSSEC 通过数字签名的方式来规避此问题。

详细原理参考这里: https://guozeyu.com/2018/03/dnssec/

是否有 DNSSEC 免费服务? 看了几个我用的云服务商:

阿里云无免费版 DNSSEC

DNSSEC 目前面向阿里云付费版DNS用户(不限版本)开放使用。

DNS付费套餐结束之后,DNSSEC 随之失效。

参考阿里云文档:阿里云域名解析 DNSSEC 的设置方法

阿里云价格:

  • 云解析DNS个人版1年:48,双十一优惠价:36。价格还可以接受。
  • 云解析DNS企业标准版1年:198,双十一优惠价:148

腾讯云

只查到腾讯云官网的一篇介绍如何设置 DNSSEC 的文章,

域名注册已支持DNSSEC,你了解了吗?

但是,不知道是付费的还是免费的。

CloudFlare

// TODO

参考

  • https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
  • DNSSEC 签名的原理:https://guozeyu.com/2018/03/dnssec/

tags: DNS 污染 DNSSEC 介绍

关于作者 🌱

我是来自山东烟台的一名开发者,有敢兴趣的话题,或者软件开发需求,欢迎加微信 zhongwei 聊聊, 查看更多联系方式

谈笑风生

a

原理懂了,但是没看懂如何使用。 我的浏览器直接就能做校验了还是需要特殊的软件才行呢?

abc

dnssec 需要从各级权威dns和递归dns都支持才能生效。dns响应包被恶意修改了,收到响应的一方如果支持dnssec,就能检查出来这是个无效的结果,解析不出来地址。

但是如果用户用的递归dns就指定要“污染”某个域名,或者有冒充这个递归dns ip 的服务器抢先返回污染了的结果,这种情况开dnssec也没什么用

大象腿

学习了,大佬

林林

百度智能云支持DNSsec吗?