DNSViz：网站DNS安全精细观察

　　域名系统(DNS) - 帮助面临数字挑战的人使用因特网的仲裁技术 – 如果出现下面的问题。当输入TechRepublic.com时，网页浏览器奇迹般地检索TechRepublic网页。

　　· 问题是什么?

　　从TechRepublic返回至空白网页。现在考虑如何知道是否真实处理?是否为副本?一些坏人用以捕捉按键和屏幕拍摄 – 逐一记录信息。

　　Brian Krebs一篇博文中讨论了一种被称为Simple Phishing Toolkit的程序以及该程序如何简化“phishing website”的建立。

　　“该工具包达到了其名字的要求：安装和使用极为简单。利用WampServer拷贝, – 一个免费软件包，包括 Apache、PHP和MySQL - 在五分钟内，我就可以安装该工具包并创建一项Gmail phishing活动。”

　　该工具包用于培养员工避免伪造网站，透漏敏感个人信息。淫秽网站使用该工具包也仅是时间问题。

　　· DNSSEC

　　全球专家致力于解决类似于错误指示恶意网站的难题。其中最前沿的一种方法是域名系统安全扩展(DNSSEC)，这是一种利用公共密匙基础设施(PKI)的验证方法。不幸地是，DNSSEC极其难于理解和实现。这或许是仅仅少数公司集成DNSSEC的原因，即使自2011年4月，.com域即可使用DNSSEC。因此如何知道某网站是否使用DNSSEC，一种方法是使用DNSSEC测试网站 – ironic- Verisign实验室。如下屏幕图像描述了www.TechRepublic.com的测试结果。

　　从标记红色X的“非DS记录”和“非DNSKEY记录”，可以看出域techrepulic.com未使用DNSSEC。下面抓屏说明了www.Sandia.gov.的测试结果。

　　桑迪亚国家实验室网站使用DNSSEC，可能因为政府的要求，所有.gov级别域均具有DNSSES保护。

　　但是我们还未达到目的。尚有其它一些问题需要考虑。还记得我提及过DNSSEC复杂性么?好的，Dr. Casey Deccio,桑迪亚国家实验室计算机科学家同意说(国家安全新闻)：

　　“DNSSEC难于准确配置且必须经常维护，给IT系统带来了极大的复杂性，如果配置不当，或者配置到无法完全兼容服务器上时，将阻止用户访问.gov 站点。仅得到错误的回复。”