web-dev-qa-db-ja.com

DNSゾーンがDNSSECで保護されていることをクライアントはどのようにして知るのですか?

最近、私はDNSSECとその仕組みについて読んでいます。この問題に関連するこのWebサイトおよび他のWebサイトで、他の質問といくつかの非常に興味深い回答を見つけました。

しかし、どこにも答えを見つけることができなかった質問があります。DNSゾーンが署名されていることになっていることをクライアントはどのようにして知ることができますか? machineAが名前を解決しない場合example.com、DNSSECはどのようにして攻撃者がDNSクエリを傍受してmachineAを離れ、悪意のあるIPアドレスを保持する整形式のDNS応答でそのクエリに返信するのを防ぐことができますか。

つまり、DNSSECがMan In The Middle Attacksをどのように防ぐか理解できません。ホストが以前に名前を解決したことがない場合、どのようにして応答が署名されていることになっていることがわかりますか?

DNSSECがキャッシュポイズニングをどのように保護できるか、およびメッセージの整合性がどのように保証されるかを理解していますが、ユーザーのマシンとリゾルバーの間に誰かが座ってdnssec情報を取り除いただけでは、すべてが崩れるようです。

man-in-the-middlednsdns-spoofingdnssec
5
Filipe Gonçalves

DNSSecはMITM攻撃を防ぎません。これは、次の answer でも言及されており、DNSSecの動作とその制限のいくつかについてもう少し説明しています。

これで paper 作者は、セクションVIでDNSSecを回避する方法について説明します。

4
Jor-el