DNS+DNSSEC+NIDS

DNS:

https://www.cnblogs.com/sddai/p/5703394.html

https://wenku.baidu.com/view/0b1b0d2ae87101f69e319589.html

这里其实主要达成这个的是缓存功能！

RRset：

可以理解为同一个域名 所有信息的集合？

DNSSEC:

Problem: 当用户look up 一个IP of 一个domain name的时候，如果DNS server在坏人手里 并且里头存的IP被换了，那么用户会拿到一个错的IP。

DNSSEC: make sure DNS valid, 这样用户知道ok 拿到的是对的。 

Idea：Chain of Trust. 有一个Root，Top Level Domain, example.com...  上级对下级签名，下级可以对上级验证。

http://blog.chinaunix.net/uid-7210505-id-3344641.html

https://baike.baidu.com/item/DNSSec/10786712?fr=aladdin

上一级Domain会对下一级的密匙进行签名。DNSSEC验证的时候往上追溯，然后用父密匙来验证子密匙。

跨所有域名完全部署DNSSEC 很费时间，=你要从下往上跑一圈。所有对Root server签名只是起点，对下面的一些运营商服务器签名也很重要。

注意这里是解析服务器在验证！

RRsig包含了上级用其private key对当前网址的签名。如果要验证的话，resolver会往该网址的上级要公开密匙，也就是一个叫DNSKEY的东西。然后就可以用public key来验证了。但是由于我们也不是很相信上级就是好人，所以我们要一路往上追溯。追溯到上级可以先看看它的DS里的RR里有没有包括这个人的pblic key's hash，包括的话表示上级同意这个人负责sub区域。

考点：

假设你往DNS name server里找一个网站，这个网站并不存在。Name Server会返回一个two existing name just before and after this name. 并且会返回一个Signature of that NESC RR made using name server's key.

但是这么做有一个坏处，如果对方发一大堆不存在的网站过来可以知道你这个Name Server里有哪些网站名字。这些网站有可能被攻击。

所以一般会对这些名字进行一个sha1的哈希，这种做法叫NSEC3 但是还是没用。防不了Dictionary attack.如果attacker randomly select names until you get entire hash space.

The only way to really prevent enumeration is to dynamically sign

values

• But that defeats the purpose of DNSSEC's offline signature generation

NIDS:

Evasion Attacks: