Поэтому я пытался понять, как работают DNS и DNSSEC, читая RFC и другие различные справочные страницы в Интернете, но я не уверен, что понимаю полностью, поэтому мне было интересно, сможет ли кто-нибудь мне помочь.
Вот краткий обзор того, что я до сих пор:
DNSSEC на самом деле не шифрует никакие данные, чтобы система была достаточно эффективной, чтобы функционировать должным образом, но служит для проверки целостности и подлинности наборов RR, которые получает сервер.
DNSKEY RR - это то, что содержит открытый ключ, который зона может использовать для аутентификации подписи, которая входит в RRSIG RR.
Зона также будет иметь DNSKEY в вершине зоны, которая может выступать в качестве точки входа для зоны. На другой стороне разреза зоны будет указана DS RR, которая указывает на этот DNSKEY.
У меня небольшие проблемы с НРКР.
Он говорит, что содержит все типы записей ресурсов, связанных с именем владельца RR, а затем указывает на следующее имя.
Что здесь означает имя владельца? Означает ли это название зоны? имя хоста?
Другой вопрос, который у меня есть, связан с перехватом пакетов. поскольку ничто не зашифровано, любой может перехватить пакеты, верно?
Если это так, то я предполагаю, что в этом суть записей NSEC, поэтому, если распознаватель видит что-то, что NSEC говорит, что не должен, он знает, что пакет был изменен?
Но я до сих пор точно не вижу, как здесь играют роль DS и DNSKEY в апексе, потому что я предполагаю, что именно эту роль они играют, так что мне здесь не хватает чего-то фундаментального.
Любая помощь приветствуется.