假設一家公司成功向 IANA 申請創建.bob頂級域,并且該公司現在運營著每個域的注冊管理機構.bob作為 TLD。如果該公司在一個有操縱互聯網基礎設施記錄的專制政府之下,是否可以target.bob劫持一個域,使其決議到政府擁有的服務器,而不是通過域所有者指定的名稱服務器?DNSSEC 會有幫助嗎?
uj5u.com熱心網友回復:
是的,從技術上講,DNS 樹中的任何節點都可以歪曲下面的所有內容。但是,尤其是在 TLD 級別,它類似于使用核武器的舉動,它會很快被發現并引發許多行動和后果。
您可能想回到威瑞信 Sitefinder 的慘敗中。與您描述的情況不完全相同,但非常相似。它產生了兩個后果:
- 根據合同,gTLD 注冊管理機構至少因為根據與 ICANN 的合同現在被禁止做這樣的事情
- 從技術上講,有保護措施,例如
root-delegation-only在 bind 中,這意味著(對于根和 TLD)確保沒有“劫持”。
DNSSEC 可以提供幫助,但作用有限。因為在您的情況下,即使域在劫持之前被正確委派并且 DNSSEC 受到保護,這也意味著注冊管理機構已經發布了DS記錄,因此一旦發生劫持,這些DS記錄也可能被劫持,或者只是洗掉,最終決議器將看到更改但僅憑此無法檢測到真正的問題,也無法解決它。
請注意,在您的“威權政府”情況下,他們甚至不需要去注冊機構和權威域名服務器。他們也可以強制處于遞回狀態,迫使 ISP。這在今天完全發生,甚至在非威權政府中:法律或法官禁止解決各種名稱。有時它發生在注冊處(請參閱 Microsoft 最近 - 并且定期 - 在https://arstechnica.com/information-technology/2021/12/microsoft-seizes-domains-used-by-highly-sophisticated-hackers-in -china/),有時在決議器(這是最近對 Quad9 的判決,這是一個大型公共遞回名稱服務器服務:https ://www.quad9.net/news/blog/quad9-and-sony-music-german-injunction-status / )
另外,附帶技術說明:在 DNS 中,點并不一定意味著授權,雙方可以由一個方在管理和技術上進行處理。例如gouv.fr,fr由同一物體在技術和管理上處理,沒有委托或劫持。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/386184.html
