来源: Medium    Emercoin Tech    新闻报道 |   2017年08月07日   

1502050118512620.png

只有懒人才不批评 RFC 1034协议的传统 DNS 系统。其实,传统 DNS 虽然性能强,但完全不安全。攻击者能够劫持中间缓存服务器 DNS 响应(缓存投毒或欺骗),从而将你的通信欺诈网站。HTTPS 提供了一种使用 SSL 证书的保护机制,可实现欺诈网站的检测。但通常来说,用户完全不了解 SSL,经常忽视无效证书警告并继续点击,有时就导致经济损失。

为结束 DNS 欺诈劫持的困扰,IETF 提出了 DNSSEC的概念,这是对传统 DNS 的安全性扩展,目前正在 ICANN 控制的互联网上实施。坦白说,实施过程非常不顺利:大多数企业和组织公然无视新时代的挑战。即便像是Google 和 Yandex这样的 IT 巨头,也没有部署 DNS 域的数字签名。而那些喜欢探听他人业务的“厉害人物”在对待安全的行为上也有所不同:如俄罗斯联邦安全局 (FSB),他们在这方面并不急于保护自己的安全,而美国中央情报局 (CIA)似乎更加积极主动。有些企业开发了自己的 DNSSEC,例如 verteiltesysteme.net。但对于某些组织而言,居然有约 10% 的顶级域名 (TLD) 仍未被 DNSSEC 签名,简直让人无语!

DNSSEC 已经免费并公开推出一段时间,但为什么仍会出现这种大量的反调的行为呢? 我们找到了许多原因:

1、“安全性很强。” 普通的系统管理员不太想接触这一主题,因为这对他们来说过于复杂。只创建一个 DNSSEC 域是不够的。你必须通过更新密钥等操作对其进行适当的维护。

2、人们总是很乐观:“麻烦是不会找上我们的。它只会发生在别人身上。所以我们不用担心。” 很难相信,对吧? 这里有个简单的比喻:你会在家里装一台灭火器吗?

3、 HTTPS/SSL 以可靠的方式检测伪造网站,从而提供了可行的替代方法。但在大多数情况下,用户只会忽略这类警告。

4、DNSSEC 仅可防御外部缓存投毒。而对于攻击者攻陷存储缓存的 ISP 服务器、域区域服务器或域名注册器的行为而言,DNSSEC 起不到任何作用。顺便提一句,就是因为域注册器被攻陷,才导致了blockchain.info 被劫持。

5、DNSSEC 服务器的性能大约只有传统 DNS 服务器的 20%.它还需要更多的网络和计算资源。

由此我们看到,虽然 DNSSEC 比传统的 DNS 更安全,但它仍是一种治标不治本的方案,因为它无法彻底解决数据可靠性的问题 - 即便所有的管理员都突然决定努力工作并且做对的事。还要提醒你,不光治标不治本,而且价格昂贵。性能下降五倍对于实在地影响互联网速度的关键系统而言,可不是开玩笑的。

此外我们还需要注意的是,不论是传统的分布式 DNS 还是其衍生出的 DNSSEC,系统都将在进行查询的同时搜索域。也就是在你最需要进行计算和网络资源的时候 - 系统本应该用于传输数据,而不是找出谁是谁,或是检查签名。然而缓存更新和其他 DNS 相关进程总是在最宝贵的时间段发生,而在这段时间你要的是你的网页,而不是一些你看不见的工作。最后,如果要使用网络,你必须确保所有涉及的名称服务器正常运行。如果部分中间服务器发生故障,整个网段都将丢失,而这样的状况无时无刻都在发生。

EmerDNS 是一种基于区块链的解决方案,用于替代传统 DNS 和 DNSSEC。与 DNS/DNSSEC 的层次结构不同,EmerDNS 是一种没有域名注册商、域区域所有者或中间缓存的对等网络。已经没什么能够被攻陷了。每个 EmerDNS 节点都包含整个区块链,即完整的名称和其他事务的完整数据库。区块链技术自身以及 PoS/PoW公众共识可确保数据可靠性(即数据库对所有节点而言都是相同的 )。后者可确保任何用户(系统管理员)都无法进入“上帝模式”。不论是我们或是其他人,都无法取消或变更任何任何记录。只有特定的记录所有者能进行相关操作,其他人都不可以。在某种程度上,EmerDNS 就像是 “hosts” 文件,其中包含所有已知主机名的记录。但与 hosts 文件不同的是:

  • 每条 EmerDNS 记录仅能由其所有者进行修改,其他人无法进行相关操作。

  • 通过矿工共识禁用“上帝”/超级管理员模式。

  • 此文件对所有用户而言是相同的,这归功于区块链的复制机制。

  • 该文件与快速搜索引擎协同工作。

当新区块到达时,数据库将使用推送通知进行更新 - 这与用户的请求异步。因此,当你访问某个网站时,你已经将所有相关和已验证的 DNS 记录存储在本地的预索引数据库中。域名将在本地被转译为 IP 地址,无需外部查询,特别是避免了递归查询。这使 EmerDNS 成为一种非常高性能的解决方案。此外,域名解析不依赖于互联网上任何名称服务器的健康状况。

这一体系架构使 EmerDNS 实现超快速、超安全以及高容错。EmerDNS 的缺点是你必须在每个节点存储区块链的副本 - 它不仅包含域信息,还包含由他人添加到数据库中的事务和所有内容。但考虑到当今存储空间的价格和容量,即便是普通用户也能负担得起数百 GB 的存储空间。因此与你获得的性能和安全性相比,这点妥协是值得的。此外,Emer 区块链只占用 300MB 存储空间。

另一个缺点是,您对每个域名记录进行更新时需在 Emercoin 中支付一定的费用。但目前的售价(创建记录 ~$0.1/更新记录 $0.01)与通过域名注册商维护域名(约 $10/年)相比,仍要优惠得多。事实上,这 $10 足以购买全年每天更新三次的费用。

下表展示了多种 DNS 解决方案间的差异:

1502050117997783.png

EmerDNS 自 2014 上线以来持续稳定运营。您可前往 Emercoin项目 中找到详细的使用说明。

俄罗斯互联网监管机构屏蔽了大量网站,这些网站的所有者们将网站转移到 EmerDNS,他们看中的是系统的高容错机制以及安全性(在此阅读更多内容)。

https://cryptor.net/kriptovalyuty/pod-kapotom-emercoin-chast-2-decentralizovannaya-necenzuriruemaya-sistema-domennyh

Maxima和 Pornolab提供了通过 OpenNIC连接到系统的说明文档(俄语)。Peername和 Fri-Gate 提供了 EmerDNS 的浏览器插件。

当然,当使用 OpenNIC 和其他外部服务器时,攻击者仍可劫持或伪造用户查询。理论上还可能存在由于 OpenNIC 自有 DNS 网关被攻陷而导致的漏洞。这也是为什么最安全的解决方案是在受信任的本地/家庭/公司网络部署 EmerDNS 网关。该网关可保存区块链,用户将通过轻量级 DNS 查询与之通信。此种体系架构实现了 EmerDNS 的高可靠性和安全性,用户无需在其 PC 存储区块链。


 

除特别注明外,本站所有文章均为Emercoin崛起币信息网原创,转载请注明出处来自  http://emercoin.info/zh-Hans/news/the-best-dns-solution-EmerDNS.html

扫一扫二维码分享