DNSSEC
DNS 客户端不能确信来自给定 DNS 名称服务器的回复是真实的,且未被篡改。DNS 协议没有为客户端提供了一种机制来确保它不受中间人攻击。引入 DNSSEC 以解决使用 DNS 解析域名时缺少身份验证和完整性检查。它没有解决保密性的问题。DNSSEC 通过向现有 DNS 记录添加加密签名,确保域名系统的安全性。这些数字签名与 A、AAAA、MX、CNAME 等常见记录类型一起存储在域名服务器中。当用户发送DNS查询请求时,DNS服务器会返回数字签名和相应的资源记录,接收到DNS响应后,客户端会使用相应区域的公钥对数字签名进行验证,以确保DNS查询的完整性、真实性和认证性。