最近、私はDNSSECとその仕組みについて読んでいます。この問題に関連するこのWebサイトおよび他のWebサイトで、他の質問といくつかの非常に興味深い回答を見つけました。
しかし、どこにも答えを見つけることができなかった質問があります。DNSゾーンが署名されていることになっていることをクライアントはどのようにして知ることができますか? machineA
が名前を解決しない場合example.com
、DNSSECはどのようにして攻撃者がDNSクエリを傍受してmachineA
を離れ、悪意のあるIPアドレスを保持する整形式のDNS応答でそのクエリに返信するのを防ぐことができますか。
つまり、DNSSECがMan In The Middle Attacksをどのように防ぐか理解できません。ホストが以前に名前を解決したことがない場合、どのようにして応答が署名されていることになっていることがわかりますか?
DNSSECがキャッシュポイズニングをどのように保護できるか、およびメッセージの整合性がどのように保証されるかを理解していますが、ユーザーのマシンとリゾルバーの間に誰かが座ってdnssec情報を取り除いただけでは、すべてが崩れるようです。