Когда я регистрирую домен и обновляю записи DNS, эти изменения распространяются на другие DNS-серверы по всему миру. Но как серверы, которые принимают эти изменения, знают, что они могут доверять этим изменениям? Как они могут убедиться, что это не преступник, перенаправляя трафик с сайта example.com на свой вредоносный веб-сайт, изменяя записи DNS?
1 ответ
6
- DNS не распространяет так, как вы, вероятно, думаете. Единственное "распространение" находится на серверах, авторитетных для домена (то есть com. TLD).
- Только регистраторы могут обновлять записи TLD NS и Glue. Отслеживается, какой регистратор в настоящее время регистрирует доменное имя.
- Проверка целостности записи крайне мала, поэтому возможно отравление кэша, а также множество других подобных атак. DNSsec пытается решить эту проблему, но внедрение идет медленно.