1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 DNS投毒攻击通常会针对DNS缓存或运营商的Local DNS Resolver。由于Route 53的角色是权威DNS服务器,因此我们不会直接受到这些类型攻击的影响,您选择Route 53作为DNS提供商不应影响您的威胁级别。
您可以按照此处描述为您的域名配置DNSSEC。 http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-configure-dnssec.html DNSSEC的中文名称是域名系统安全扩展(Domain Name System Security Extensions)。它是一套用于保护域名系统(DNS)的标准规范和协议。 DNSSEC通过使用公钥加密技术,来保证DNS解析过程的真实性和完整性。它可以防止DNS劫持和数据篡改等攻击。 DNSSEC的主要工作流程包括:
- 域名注册机构为每个域名生成公钥和私钥,并将公钥发布在DNS系统中。
- 域名服务器对域名记录进行数字签名,形成签名记录RRSIG。
- 将公钥记录DNSKEY和签名记录RRSIG一起发布在DNS系统中。
- 用户进行DNS查询时,可以通过公钥验证签名记录的真实性。
- 如果签名验证失败,说明DNS响应遭到了伪造或篡改。
另外,您也可以使用AWS Lambda无服务器架构部署下面的DOH(DNS over HTTPS)解决方案。 https://github.com/nickovs/lambDoH
DOH的工作方式是:
- 用户的设备或浏览器将DNS查询请求通过HTTPS协议加密,发送到支持DOH的服务器。
- DOH服务器进行域名解析,并将结果通过加密的HTTPS连接返回给用户。
- 用户设备获得加密的DNS响应,从中获取需要的域名信息。 与传统的明文DNS相比,DOH的主要优点有:
- 提高安全性。DOH使用HTTPS加密传输,可以防止DNS查询被窃听或篡改。
- 提高隐私性。DOH隐藏了用户的DNS查询内容。
- 防止封锁。DOH使用正常的HTTPS端口,很难被运营商或网络方面屏蔽。
- 性能更好。DOH使用HTTP/2多路复用,减少连接数,提高解析效率。 DOH已经被 Mozilla Firefox, Google Chrome等主流浏览器采用,是新兴的DNS安全技术,可有效提高DNS服务的安全性和隐私性。
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 个月前
- AWS 官方已更新 3 个月前