北京时间今晚午夜,全球十三个根域名服务器的最后一台将完成 DNSSEC 部署。 想要知道这是在干什么,先学习一下什么叫做"地址投毒",这里还 有这里。我来换个通俗的说 法:
你的地址本(hosts file)容量有限,手工更新也麻烦,去不认识的地方你常需要问别人。你可以问本村的村长(DNS provided by ISP),村长有私心,他知道但不一定告诉你。比方说你要问他信访办的地址他肯定不能告诉你 ―― 他干的亏心事太多,怕你检举他呀。于是你试着问村外的人(OpenDNS, Google DNS, etc.)。但你和别人所有的谈话村长都在一旁偷听,不光偷听,在还总抢在别人回答前冒充对方给你个错误的地址。
如何证明村长在偷听?用这 篇文章给出的方法,我们来作个简单的实验。打开一个命令行窗口,把下面的命令执行多次:
nslookup -type=A www.youtube.com 129.42.17.103
"129.42.17.103" 是一个不存在的 DNS 服务器(可以把这个地址换成一个其它同样没有 DNS 服务的 IP 地址,效果是一样的)。在墙外执行这个语句不会有返回,而在墙里不但有返回,而且每次的结果还不一样。
"www.youtube.com" 是一个村长不想让你知道地址,不管你问谁这个地址在哪儿,哪怕去问一条狗,心虚的村长都会在对方答话前抢答。鉴于你问的是一条傻狗,正常结果应该是它根本 不理你。而现在,你刚问完话,就听见狗叫,你再问同样的问题,狗又叫但叫声和上次不同。至此可以断定,叫声不是来自你问的那条狗,而是村长在学狗叫。而如 果把以上命令里的敏感地址换成比如 "www.sina.com.cn" 这样村长认为安全的地址,这回村长就不叫了(当然傻狗也不会回答你)。
DNSSEC 的工作就是要给村长冒充别人说话制造一点困难。接下来根服务器以下的 DNS 服务器也会引入这一技术,用户要做的事就是找一台墙外的 DNS 服务器,设好 IPSEC 和 CA 认证。步骤比较麻烦,不同操作系统方法也不一样,相信不久就会有图文攻略出炉,跟着做就是。
村长那 边的最新动 向:只许我学狗叫鸡叫,村民放个屁都要实名制。以便必要时可按"泄漏机密"或 "危害安全"罪给放屁者以惩治。
村中屁民对此条令的反应大概是 ――――
翻去年春夏之交的饭 否记录,热词之一是"绿坝",那个夏天没过完,饭否就 没了。道消魔长,情况一天比一天糟,但我们总算守住了一城,不是么?
没有评论:
发表评论