假设一家公司成功地向 IANA 申请.bob了顶级域,并且该公司现在将每个域的注册管理机构都.bob作为 TLD。如果该公司隶属于具有操纵互联网基础设施记录的专制政府,target.bob是否可以劫持一个域,以便将其解析到政府拥有的服务器,而不是通过域所有者指定的名称服务器?DNSSEC 会有帮助吗?
1 回答
1
是的,从技术上讲,DNS 树中的任何节点都可以破坏下面的所有内容。但是,特别是在 TLD 级别,这将类似于使用核武器的举动,它会很快被看到,并会引起很多行动和后果。
您可能想回顾一下 Verisign Sitefinder 的惨败。不完全是您描述的情况,但非常相似。它产生了两个后果:
- 从合同上讲,gTLD 注册管理机构至少是因为根据与 ICANN 的合同,现在禁止这样做
- 从技术上讲,有保障措施,例如
root-delegation-only在 bind 中,这意味着(对于根和 TLD),以确保没有“劫持”。
DNSSEC 可以提供帮助,但方式有限。因为在您的情况下,即使在劫持之前正确委派了域并且 DNSSEC 得到了保护,这意味着注册管理机构已经发布并发布了DS记录,因此一旦劫持发生,这些DS记录也可能被劫持,或者只是被删除,最终解析器将看到改变,但只是不能检测到真正的问题,也不能解决它。
请注意,在您的“威权政府”的情况下,他们甚至不需要访问注册表和权威名称服务器。他们也可以强制递归状态,强制 ISP。它在今天完全发生,甚至在非专制政府中:法律或法官禁止解决各种名称。有时它发生在注册表方面(请参阅 Microsoft 最近 - 并定期 - 在https://arstechnica.com/information-technology/2021/12/microsoft-seizes-domains-used-by-highly-sophisticated-hackers-in -china/),有时在解析器(这是最近针对 Quad9 的一项大型公共递归名称服务器服务的判决:https ://www.quad9.net/news/blog/quad9-and-sony-music-german-injunction-status / )
此外,技术说明:在 DNS 中,点并不一定意味着委托,双方可以由单一方在管理和技术上处理。例如gouv.fr,fr在技术上和行政上由同一实体处理,不存在委托或劫持。
于 2021-12-15T20:28:43.903 回答