域名系统(DNS) - 帮助面临数字挑战的人使用因特网的仲裁技术 – 如果出现下面的问题。当输入TechRepublic.com时，网页浏览器奇迹般地检索TechRepublic网页。

　　· 问题是什么?

　　从TechRepublic返回至空白网页。现在考虑如何知道是否真实处理?是否为副本?一些坏人用以捕捉按键和屏幕拍摄 – 逐一记录信息。

　　Brian Krebs一篇博文中讨论了一种被称为Simple Phishing Toolkit的程序以及该程序如何简化“phishing website”的建立。

　　“该工具包达到了其名字的要求：安装和使用极为简单。利用WampServer拷贝, – 一个免费软件包，包括 Apache、PHP和MySQL - 在五分钟内，我就可以安装该工具包并创建一项Gmail phishing活动。”

　　该工具包用于培养员工避免伪造网站，透漏敏感个人信息。淫秽网站使用该工具包也仅是时间问题。

　　· DNSSEC

　　全球专家致力于解决类似于错误指示恶意网站的难题。其中最前沿的一种方法是域名系统安全扩展(DNSSEC)，这是一种利用公共密匙基础设施(PKI)的验证方法。不幸地是，DNSSEC极其难于理解和实现。这或许是仅仅少数公司集成DNSSEC的原因，即使自2011年4月，.com域即可使用DNSSEC。因此如何知道某网站是否使用DNSSEC，一种方法是使用DNSSEC测试网站 – ironic- Verisign实验室。如下屏幕图像描述了www.TechRepublic.com的测试结果。

　　从标记红色X的“非DS记录”和“非DNSKEY记录”，可以看出域techrepulic.com未使用DNSSEC。下面抓屏说明了www.Sandia.gov.的测试结果。

　　桑迪亚国家实验室网站使用DNSSEC，可能因为政府的要求，所有.gov级别域均具有DNSSES保护。

　　但是我们还未达到目的。尚有其它一些问题需要考虑。还记得我提及过DNSSEC复杂性么?好的，Dr. Casey Deccio,桑迪亚国家实验室计算机科学家同意说(国家安全新闻)：

　　“DNSSEC难于准确配置且必须经常维护，给IT系统带来了极大的复杂性，如果配置不当，或者配置到无法完全兼容服务器上时，将阻止用户访问.gov 站点。仅得到错误的回复。”

　　· DNSViz

　　为了帮助解决DNSSEC问题，Casey开发了一种基于网页的工具，称为DNSViz:

　　“该工具为DNS名称空间中的域名及其解析路径提供了DNSSEC认证链的可视化分析，通过网页浏览器适用于所有以太网用户。”

　　它强调并描述了该工具检测大的配置错误，以帮助管理员辨识和解决与DNSEC相关的配置问题。”

　　有些人可能会说本工具较为复杂，我未掌握DNSViz的复杂性，更不用说DNSSEC。因此我联系了Casey，询问了几个问题。

　　Kassner：为何你觉得需要创建DNSViz?

　　Deccio：DNS内在非安全性已经不是秘密。DNSSEC是保护DNS的主流社会成果。然而，从理解和配置两方面观点看，其给常规DNS带来的复杂性不是微不足道的。

　　如果无法解决这一复杂性，DNSSEC配置将被阻碍，这可能是因为贸易或者其它企业无法承受，或因为无法准确操作。

　　DNSViz用于通过DNSSEC方法，使其更加易于理解。它还直观演示的DNSSEC到那些不太密切的工作，但他们仍然可以欣赏漂亮的图片。

　　Kassner：什么情况下需要发出测试网站或其他在线业务信号?

　　Deccio：DNSViz提供了TechRepublic域名安全性的预览，也就是不管DNS解析器是否能够验证TechRepublic域中检索回复的正确性。与大部分公司相似，TechRepublic未采用DNSSEC配置，因此它表现为“不安全的”。

　　为什么有人会使用DNSViz分析他们的域名，主要有三种原因：

　　· 根据其DNSSEC状态，查看域当前状态

　　· 结合任意DNSSEC维护，包括初始配置，作为仔细检查。

　　· 调试与域名相关的DNSSEC问题。

　　Kassner：我向DNSViz输入www.TechRepublic.com，然后点击Go.，会发生什么呢?

　　Deccio：根据其上次分析的观点，DNSViz将产生一个www.TechRepublic.com的DNSSEC“信任链”的图形表示。如果使用Firefox或者Opera 网页浏览器，在不同组件之间检索，将得到所选中组件的额外信息。周期性重新分析名称，并且如果根据需要，重新分析。

　　Kassner：我测试了www.TechRepublic.com。这是结果。请说明我们能看出什么?

　　Deccio：关于DNSSEC最有趣的事情之一是其不安全性必须从上到下证明。TechRepublic.com结果是一个完美的例子。

　　DNSSEC的客户端验证的唯一原因将接受一个无符号 - 或非法的签署，对于这个问题 - 为TechRepublic.com响应是因为com区域提供记录(NSEC3)证明没有键可用来验证TechRepublic.com名称，据com知道。

　　信任链从顶部信任锚(双边界确定)，下降至com区域，并终止与NSEC3节点。由于该链完全贯穿这些NSEC3节点，验证解析器知道它不能判定任何有关TechRepublic.com安全性的任何事情。因此域内记录标记为“非安全的”。

　　Kassner：如果一次域测试失败，意味着什么?

　　Deccio：DNSViz是为了突出与域配置相关的问题。如果出现错误或警告，通常表示维护忽视、不兼容性或者配置错误引起的不一致性。域运营商必须采取行动纠正部分问题。DNSViz不是成品。在未来，我希望能够提供额外的辅助工具，以解决该工具检测到的所有问题，包括历史分析、解决一般名称问题和一些额外的功能。我们正在寻求额外的资金和合作机会，使DNSViz成为一个更丰富的资源工具。我将邀请在安全工具方面具有技术专长和兴趣，在桑迪亚联系我。

　　Kassner：我感觉到许多专家花费巨大的努力，试图更充分集成DNSSEC时产生挫折。你有同感么?

　　Deccio：DNSSEC或其它技术的配置，既需要技术途径，也需要激励。根据2010根区签署和主要的顶级域名，技术途径成为现实。许多企业和其它实体尚未看到配置激励。熟悉配置复杂性，我了解到：

　　· DNSSEC并非每个人所必需的 – 如果域净增益是最小的。

　　· 有很多人可以受益于DNSSEC部署，但没有提出任何进一步的努力。

　　我认为互联网社区能够这里学习到一些东西。DNS安全性解决方案在其当前状态-无论是在可用的工具，协议，或部署 - 他们将在边缘等待。当我们继续鼓励人民参与DNSEC配置时，我们必须改进并简化当前的方案工具。

　　Kassner：对于人们为何对技术尤其是类似DNS安全性的挑战性技术充满热情，我很感兴趣。在这一领域是什么吸引你如此大的兴趣?

　　Deccio：有许多关于DNS的开放性问题，并且社区相当活跃，虽然DNS已经经过25年。该领域足够开放，可受益于学术研究、设计;两领取的方案提供问题解答，并使所有以太网用户受益。

　　最后思考

　　我想提及桑迪亚国家实验室发布一份通讯员Mike Janes采访Casey的视频。

　　该视频贯穿了DNSViz的秘密。NDSSEC或类似东西是必需的。否则，将退化至无人信任以太网。感谢类似Casey Deccio等DNS专家的努力，可能更多的公司将开始使用DNSSEC。