DNSSEC هي آلية أمنية مصممة لحل مشكلة انتحال DNS وتلوث ذاكرة التخزين المؤقت، والاسم الإنجليزي هو Domain Name System Security Extensions، ويستخدم تقنية التشفير لتمكين خادم تحليل اسم المجال من التحقق من الاستجابات التي يتلقاها (بما في ذلك الاستجابات لأسماء النطاقات غير الموجودة). ).) جاء من خادم حقيقي، أو تم العبث به أثناء الإرسال.
ببساطة، يمكن لـ DNSSEC منع اختطاف DNS والتأكد من أن اسم المجال الذي يطلبه المستخدم أثناء عملية تحليل DNS يتوافق مع عنوان IP المقابل. في السابق، اقترح أحد أصدقائي في تحليل اسم النطاق المجاني JD Cloud DNS استخدام DNSSEC+CAA معًا، مما يضمن أمان تحليل DNS إلى أقصى حد. تستخدم هذه المقالة Google Cloud DNS لإعداد DNSSEC كعرض توضيحي.
يتطلب تمكين DNSSEC جهودًا مشتركة من مسجلي أسماء النطاقات، ومحللي أسماء نطاقات DNS، وDNS المحلي لدعم تقنية DNSSEC. لا يعرف مسجلو أسماء النطاقات المحلية، مثل Alibaba Cloud وTencent Cloud وBaidu Cloud، ما إذا كانوا يدعمون DNSSEC أم لا. ومن مسجلي أسماء النطاقات الأجنبية الشائعة الذين أستخدمهم مثل GodaddyNameNameCheapNamesilo، فإنهم جميعًا يدعمون DNSSEC.
من أجل جعل تحليل DNS لاسم المجال أكثر دقة، فإن الطريقة الأكثر أمانًا هي تمكين HSTS+DNS CAA و DNSSEC+DNS عبر HTTPS أو DNS-Crypt على عميل المتصفح. حاليًا، اعتمد موقع wzfou.com بروتوكول Https، وCAA، وHSTS، و DNSSEC والتقنيات الأخرى، وتشمل البرامج التعليمية ذات الصلة ما يلي:
- مجموعة وملخص مجاني لشهادات SSL - أضف وصولاً مشفرًا آمنًا عبر HTTPS إلى موقع الويب مجانًا
- قم بتمكين HSTS والانضمام إلى قائمة التحميل المسبق لـ HSTS لجعل وصول HTTPS إلى موقع الويب أكثر أمانًا - مع طرق حذف HSTS
- تحليل اسم النطاق المجاني JD Cloud DNS - يدعم التجزئة الإقليمية للخطوط ويمكنه إضافة سجلات دقة CAA
ملاحظة: تم التحديث في 22 يوليو 2018، على الرغم من أن Google Cloud DNS يدعم DNSSEC، إلا أنه لا يدعم DNS الثانوي/الاحتياطي. يمكن للأصدقاء الذين يحتاجون إلى DNS الثانوي تجربة: تطبيق تحليل اسم نطاق He.net DNS - DDNS مجاني وعنوان IPv6 وDNS التابع.
1. ما هي خدمات تحليل اسم نطاق DNS التي تدعم DNSSEC؟
يبدو أن درع DNS المحلي (dnsdun.com) هو المزود الوحيد لخدمة تحليل DNS الذي يدعم حاليًا سجلات تحليل CAA وDNSSEC. ولا يدعم الآخرون مثل DNSPOD وAlibaba Cloud DNS وCloudxns وما إلى ذلك DNSSEC. ومع ذلك، فإن درع DNS يعد مكانًا مناسبًا للغاية، على الرغم من أنني أعرف عنه منذ عدة سنوات، إلا أنه لا يزال يتعين النظر في استقراره.
لا يوجد سوى عدد قليل من حلول أسماء نطاقات DNS الأجنبية التي تدعم DNSSEC. في الوقت الحالي، يدعم Cloudflare وGoogle Cloud DNS وRage4 فقط DNSSEC. بالإضافة إلى ذلك، لا يدعم Cloudflare إعداد السجلات الخاصة بـ DNSSEC، مثل IPSECKEY وSSHFP وTLSA. ، سجلات DNSKEY، DS. يوصى باستخدام Google Cloud DNS وRage4.
2. ما مدى شعبية DNSSEC؟ محلي؟
- HTTPS://stats.labs.APN IC.net/
فيما يلي مدى شعبية DNSSEC في أماكن مختلفة حول العالم على stats.labs.apnic.net، ويمكن ملاحظة من الرسم البياني أنه لا يزال هناك عدد قليل جدًا من خوادم DNS التي تدعم DNSSEC في العالم، حيث لا يتجاوز العدد الإجمالي 15. %. والوضع في الصين أسوأ من ذلك، حيث تبلغ النسبة أقل من 1%. (اضغط للتكبير)
3. البرنامج التعليمي لسعر واستخدام Google Cloud DNS
- HTTPS://cloud.Google.com/DNS/
يدعم كل من Google Cloud DNS وRage4 استخدام DNSSEC، ولكن يبدأ سعر Rage4 من 2 يورو شهريًا لكل اسم نطاق ويتم تسعيره بناءً على الوظائف بدلاً من الاستخدام، بينما يبدأ Google Cloud DNS بسعر 0.2 دولار شهريًا لكل نطاق. الاسم ، 0.4 دولار/مليون طلب. لذلك اختار موقع wzfou.com Google Cloud DNS.
تمت مشاركة الاستخدام التفصيلي لـ Google Cloud DNS قبل التخلي عن DNS المجاني والتحول إلى تطبيق DNS-Google Cloud DNS المدفوع وتأثيرات الدقة، فيما يلي مقدمة مختصرة لاستخدام Google Cloud DNS. الأول هو تسجيل الدخول إلى منصة Google Cloud والعثور على حل DNS.
ثم انقر فوق إنشاء اسم DNS.
يمكنك اختيار أي اسم منطقة طالما أنه لا يتكرر. اسم DNS هو اسم المجال الذي تريد حله، مثل wzfou.com. إذا كنت تريد تمكين DNSSEC، فحدد تمكين. بالتأكيد.
من السهل نسبيًا إضافة سجل تحليل DNS إلى Google Cloud DNS إذا كان سجلًا مثل @، فما عليك سوى تركه فارغًا، كما هو موضح أدناه:
يدعم Google Cloud DNS السجلات ذات الصلة بـ A وAAAA وCNAME وNS وMX وTXT وSRV وSPF وLOC وNAPTR وPTR وCAA وDNSSEC. حاليا هو الأكثر اكتمالا.
تجدر الإشارة إلى أن Google Cloud DNS يضيف سجلات DNS في شكل مجموعات، على سبيل المثال، إذا كان MX يحتوي على سجلين، فما عليك سوى النقر لإضافة سجل آخر.
يضيف Google Cloud DNS سجلات CAA كما هو موضح في الشكل أدناه للتعرف على طرق إنشاء سجلات CAA، يرجى الرجوع إلى: إعدادات JD Cloud DNS CAA.
4. اسم مسجل اسم النطاق يمكّن DNSSEC
ابحث عن "إعدادات المسجل" في Google Cloud DNS.
ثم انقر لعرض خادم NS وسجل DS الخاص بـ Google Cloud DNS.
انتقل إلى اسم مسجل اسم المجال (ملاحظة: الطريقة مشابهة لمسجلي أسماء النطاقات الآخرين الذين تستخدمهم) وقم بتعديل خادم NS إلى Google Cloud DNS.
ns-cloud-d1.googledomains.com
ns-cloud-d2.googledomains.com
ns-cloud-d3.googledomains.com
ns-cloud-d4.googledomains.com
كما هو مبين أدناه:
ثم قم بملء سجل DS في واجهة إدارة DNSSEC الخاصة بالاسم، وبشكل أساسي العلامة الرئيسية والخوارزمية ونوع الملخص والملخص.
5. تحقق مما إذا تم تمكين DNSSEC بنجاح وتأثيره
- HTTPS://DNS Sec-analyzer.VE كريم النهار IGN labs.com/
انتقل إلى موقع verisignlabs وأدخل اسم المجال الخاص بك إذا تم تكوين DS الخاص بك بشكل صحيح، فسترى "خطافًا" أخضر.
استخدم أدوات مشرفي المواقع لاختبار wzfou.com مع تمكين Google Cloud DNS، ولا توجد مشاكل في الاتصال في أي مكان.
عند استخدام اختبار زحف محرك البحث الخاص بمنصة Baidu Webmaster، تشير جميع النتائج إلى نجاح الزحف، مما يشير إلى أن Google Cloud DNS يعمل بشكل طبيعي في الصين.
بالإضافة إلى ذلك، فإن رسوم Google Cloud DNS رخيصة جدًا حقًا.
6. ملخص
من الناحية النظرية، فإن تمكين DNSSEC وCAA يمكن أن يمنع بشكل أساسي اختطاف DNS. ومع ذلك، نظرًا لأن معدل الاختراق الحالي لـ DNSSEC منخفض جدًا، وخاصة DNS المحلي لا يدعم DNSSEC بشكل أساسي، فقد لا يكون تأثير استخدام DNSSEC جيدًا ولكن "أفضل من لا شيء"، ففي نهاية المطاف، يعد DNSSEC اتجاهًا رئيسيًا للتنمية.
لا يمكن اختبار اتصال المجموعة الأولى من خوادم NS الأربعة لـ Google Cloud DNS في الصين، ولكن من وجهة نظر المراقبة، لا يؤثر DNS عليها. بالإضافة إلى ذلك، تجدر الإشارة إلى أنه من غير المجدي استخدام DNSSEC لأسماء النطاقات الملوثة بالفعل، وبدلاً من ذلك، يمكنك استخدام DNS عبر HTTPS أو DNS-Crypt لتشفير عملية تحليل DNS بأكملها.