DNSSEC技術可以為DNS服務器之間的通信提供安全性，當DNS服務器從其他DNS服務器收到資源記錄消息時，DNS服務器會檢查此消息內的記錄是否遭到篡改，是否是由真的授權DNS服務器發出的消息，而不是假冒的DNS服務器傳送來的。換句話說。DNSSEC技術讓DNS客戶端所得到的IP地址等資源記錄是真實無誤的。如下圖所示：

專注于為中小企業提供網站建設、成都網站制作服務,電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業鐵東免費做網站提供優質的服務。我們立足成都，凝聚了一批互聯網行業人才，有力地推動了成百上千企業的穩健成長，幫助中小企業通過網站建設實現規模擴充和轉變。

DNSSEC通過數字簽名與加密密鑰來驗證DNS服務器的響應是否為真實的，要讓DNS服務器具備DNSSEC安全功能，需要針對授權DNS服務器的區域來執行對區域進行簽名的動作，之后便可讓非授權DNS服務器擁有驗證的功能。授權DNS服務器的區域經過簽名后，系統會為區域內的每一條資源記錄各新建一條RRSIG（資源記錄數字簽名）記錄，授權DNS服務器會將該記錄與其RRSIG記錄一并傳給非授權DNS服務器，非授權DNS服務器利用授權DNS服務器的公鑰來驗證該條記錄是否遭到篡改。

DNSSEC實例演練：實驗環境和過程照搬戴有煒老師windows server 2012網絡管理與架站書中的內容

實驗說明：首先配置好各臺主機的IP等參數、將DNS1配置成緩存服務器并設置轉發器、在DNS2上建立區域sec.com,添加一條主機記錄（www.sec.com----192.168.8.254）以便測試。

DNSSEC實驗步驟：
1.到區域sec.com的授權服務器DNS2上對此區域簽名（開啟該區域的DNSSEC功能），簽名后會產生很多DNSSEC相關的記錄，其中就有RRSIG、DNSKEY(密鑰）、等
2.到DNS1上導入DNSKEY（DNS2的公鑰）
3.到DNS客戶端上建立策略來讓客戶端計算機強制請求DNS1驗證從DNS2收到的消息記錄（在組策略里面配置）

取證數據：對DNS1驗證DNS2的數據取證，抓取數據包，如下圖：

另外有需要云服務器可以了解下創新互聯scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業上云的綜合解決方案，具有“安全穩定、簡單易用、服務可用性高、性價比高”等特點與優勢，專為企業上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

新聞名稱：MCSE筆記DNSSEC-創新互聯
文章URL：http://vcdvsql.cn/article22/dihjjc.html

成都網站建設公司_創新互聯，為您提供全網營銷推廣、手機網站建設、服務器托管、面包屑導航、微信小程序、定制網站

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯