提升域名安全性/防DNS污染和缓存攻击

提升域名安全性：防DNS污染和缓存攻击

问题回顾

去年我的网站huzongsheng.cn被重定向到了黄色网站，怀疑是被运营商污染或叫做dns污染

当我在终端里输入whois + 域名

‌ whois huzongsheng.cn

Whois会显示域名注册信息。通过 WHOIS 查询，可以查看域名注册人的基本信息、注册商、注册和到期日期、DNS 服务器、状态等内容。

......（前面内容已省略，突出重点内容）
DNSSEC: unsigned

我看到了这一条。于是我就上网查询这是什么

什么是 DNSSEC

域名系统安全扩展（DNS Security Extensions，简称DNSSEC）是用于确定源域名可靠性的数字签名 ，通过在域名中添加DNSSEC记录，可以增强对DNS域名服务器的身份认证，有效防止DNS缓存污染等攻击。本文为您介绍如何在阿里云域名服务控制台上添加及同步DNSSEC记录。¹

如何设置 DNSSEC

获取DS记录信息 ，DNSSEC才能正式接入线上

在云解析 DNS > 三个点 > DNSSEC设置

添加DS记录信息

登录阿里云域名控制台。
在域名列表中，找到待配置的域名，单击操作列下的管理。
在弹出的页面选择DNS管理 > DNSSEC设置，进入DNSSEC设置页面。

将上一部获取的DS记录信息复制的到这里，接着就可以等待生效了

DNSSEC生效测试方法

whois方法

输入

‌ whois huzongsheng.cn

若提示：‌DNSSEC: signedDelegation则说明生效

verisignlabs网站

https://dnssec-analyzer.verisignlabs.com/

dnsviz网站

https://dnsviz.net/

测试页面中如每一级都显示出了 DS，且无红色报错框，说明已开启DS，并已生效。当测试页面如出现红框报错，则代表DNSSEC未生效

我的有两个黄色warning，意思是没有A记录，但正常因为我是ipv6——only，但还不是红色，无足轻重

恭喜🎉生效了

参考

阿里云官网域名系统安全扩展（DNSSEC）配置

https://help.aliyun.com/zh/dns/pubz-dnssec