通用 DNSSEC

DNSSEC 可提高 DNS 的信任度和完整性。DNS 通常被稱為網際網路電話簿,可將網域名稱轉譯成數字網際網路位址。但是,DNS 從根本上來說是不安全的通訊協定。因為 DNS 無法保證 DNS 記錄的來源,它會無條件地接受為其指定的任何位址。

學習目標

閱讀本文後,您將能夠:

  • 瞭解什麼是 DNSSEC
  • 瞭解 DNSSEC 的重要性
  • 瞭解 Cloudflare 如何簡化 DNSSEC 的部署

複製文章連結

雲端版提供易於使用的 DNSSEC,只需幾分鐘即可完成設定。

立即註冊

什麼是 DNSSEC?

DNSSEC 透過使用加密簽章驗證 DNS 記錄,為其他不安全的通訊協定增添了一層安全性。透過檢查與記錄關聯的簽章,DNS 解析程式可以驗證請求的資訊是否來自其權威名稱伺服器,而不是中間人攻擊者。使用DNSSEC,存取您網域的人可以保證看到您網站上的內容,而不是其他人的 Web 伺服器。

詳細瞭解 DNSSEC 的工作原理

為什麼 DNSSEC 很重要?

自 DNS 開始以來,DNS 快取記憶體中毒和答案偽造皆是全球 DNS 基礎架構中已知的漏洞,例如眾所周知的 Kaminsky 攻擊。快取記憶體中毒發生在攻擊者欺騙 DNS 名稱伺服器儲存不正確的記錄時。除非快取項目過期,否則名稱伺服器將傳回虛假的 DNS 記錄給提出詢問的所有人。

這使得攻擊者能夠劫持您網站的流量。當您的訪客在 Web 瀏覽器中鍵入您的網域名稱時會被路由其他人的伺服器,而不是導引到您的網站,甚至不知道出了什麼問題。攻擊者可以使用 DNS 網域劫持進行網路釣魚計劃、提供未經請求的廣告、監視 Web 流量,並阻擋對特定網域的存取。

如果您關心您網站的完整性和聲譽,就應該關心 DNSSEC。

通用 DNSSEC 簡介

DNSSEC 透過使用加密簽章驗證 DNS 記錄,為其他不安全的通訊協定增添了一層安全性。透過檢查與記錄關聯的簽章,DNS 解析程式可以驗證請求的資訊是否來自其權威名稱伺服器,而不是中間人攻擊者。使用DNSSEC,存取您網域的人可以保證看到您網站上的內容,而不是其他人的 Web 伺服器。

藉助通用 DNSSEC,您的 Web 內容將受益於:

  • 防止 DNS 中間人攻擊
  • 對 DNS 區域列舉的防護
  • 用於會議 .bank、.trust、和 .gov TLD 要求的使用者友好型解決方案

DNSSEC 透過建立一直到根 DNS 名稱伺服器的信任鏈來防止中間人攻擊。此信任鏈確保訪客請求的 DNS 記錄沒有被途中被篡改。

Cloudflare 獨特的 DNSSEC 實作利用 elliptic curve cryptography 來防止攻擊者在您的區域中行走並探索私人 DNS 記錄。

如 .bank 和 .trust 等頂層網域 (TLD) 旨在向訪客傳達信任。這是透過要求網域擁有者遵循各種安全性通訊協定(包括 DNSSEC)來實現。自行實施 DNSSEC 可能很困難且容易出錯的程序。Cloudflare 可讓您僅需點選幾下就能滿足 DNSSEC 要求。

大規模 DNSSEC

Cloudflare 每天使用 DNSSEC 保護數十億個請求。每週有數億人免受 DNS 快取記憶體中毒和中間人攻擊的影響。

通用 DNSSEC 建立在 Cloudflare 網路之上,該網路已歷經世界上一些最大的 DDoS 攻擊的考驗。我們已經甚至採取了特殊的預防措施以確保我們的 DNSSEC 實施不會因 DDoS 放大攻擊而被濫用。您可以放心,您的 DNS 記錄會快速有效地傳回給訪客,即使在您的網站受到攻擊時。

Cloudflare 讓 DNSSEC 變得簡單

通用 DNSSEC 現在可免費用於 Cloudflare 上的所有網站。我們將透過簽署您的區域和管理金鑰來完成所有繁重的工作。只需點選幾下即可保護您的網域免受 DNS 偽造。您需要做的就是在 Cloudflare 儀表板中啟用 DNSSEC,並將一條 DNS 記錄增添到網域名稱註冊商

  1. 登入您的 Cloudflare 儀表板,然後選取您的帳戶和網域。
  2. 前往 DNS > 設定
  3. 對於 DNSSEC,按一下啟用 DNSSEC
  4. 在該對話方塊中,您可以存取幾個必要的值,以協助您在網域名稱註冊商處建立 DS 記錄。關閉對話方塊後,可透過點擊 DNSSEC 卡上的 DS 記錄來存取此資訊。
enableing-dnssec

一旦您的網域名稱註冊商發佈 DS 記錄,您的網域將是已啟用 DNSSEC。您可以使用第三方 DNSViz 工具。 通用 DNSSEC 旨在與所有其他 Cloudflare 網路安全和效能功能無縫協作,包括通用 SSL、全球 CDN 和自動網頁內容最佳化。