以Kang Custer為首的互聯網服務提供商終于決定開始部署域名系統安全擴展（DNSSEC）協議。因此、這似乎是開始學習使用的最佳時機。

經常訪問的網站、發現停機或一些非常淫穢網站（DNS）的原因是由于域名系統被污染而造成的，域名系統緩存污染不經常發生，但問題是如果真的發生了，這可能會導致互聯網上大部分地區陷于停頓狀態，解決這是什么導致的潛在威脅？答案是DNS安全擴展（DNSSEC）。

域名系統通常是由這樣的環境污染，DNS是互聯網地址列表管理，在它的幫助下、你不需要輸入類似“//52.221.137.239/”由于海騰的許多IPv4地址訪問到相應的網站，只要輸入“//www.chinakaifeng.net”來達到相應的目的，但是、你的瀏覽器是如何確定正確的地址209.85.135.99”屬于海騰呢，它是做不到這一點的。它需要依賴DNS，沒有什么可抱怨的、沒有內置的DNS系統，以確保向瀏覽器返回的任何信息都是正確和有效的。

DNSSEC的作用就是通過要求網站利用DNS服務器來對域名和對應的網絡IP地址進行驗證的方式來防止DNS緩存被污染、為了確保信息不遭到破壞、DNSSEC使用數字簽名和公鑰技術來對交換信息進行了加密。需要摧毀一個受歡迎的網站的DNS信息以獲得加密信息，這反過來又使得黑客更難攻擊DNS服務器。

自7月15日以來、作為主DNS服務器的13臺互聯網根域名服務器已經實現了對DNSSEC的支持、現在、互聯網294個頂級域（TLD）已經有55個開始支持DNSSEC。這包括所有非營利組織使用的.org域和教育機構使用的.edu域。并且、威瑞信已經決定從2011年初起為.net域提供DNSSEC支持。

對我們大多數人來說、這種程度的變化實在是無關緊要。我們不需要調用根域名服務器或頂級域名來解析域名。事實上、切換到DNSSEC給我們帶來的影響才剛剛開始。10月18日、Kang Custer成為第一個部署DNSSEC的主要互聯網服務提供商。所以、如果你想使用DNSSEC現在已經沒問題了。不論你是否屬于Kang r用戶、你可以設置你的DNS服務器指向IP地址是75.75.75.75和75.75.76.76。關于操作的詳細說明，你可以看Kang Custer提供的DNSSEC描述視頻。如果你想知道為什么使用DNSSEC它是一個好主意，您可以登錄到新成立的安全域名系統指南網站，它提供了全面和詳細的信息。

所以，如果說dnsec是一個非常好的想法的話，為什么不是每個人都已經完成了嗎？這就是你所看到的，就像互聯網的重大調整一樣。在應用DNSSEC到舊的程序和硬件上時、可能會出現問題。

主要的問題是、一些路由器、交換機、防火墻、不能有效處理DNSSEC數據包。DNS流量使用的是用戶數據報協議（UDP），總的來說、DNS的UDP數據包的大小在512字節之內。因此，網絡上的許多軟件和硬件默認拒絕超過512字節的任何UDP數據包。不幸的是、DNSSEC的數據包都是超過512字節。

在某些系統中、這可能導致DNS出現故障。在其他系統中、它可能導致故障，并傳輸到傳輸控制協議（TCP）。與UDP相比使用TCP的缺點是它占用了更多的帶寬。雖然這可能不是一個大問題，但對于企業網絡的管理者來說，這會導致潛伏期明顯增加。并且，沒人喜歡互聯網速度變慢。

此外、當客戶搜索不存在的網站時，一些Internet服務提供商和DNS服務器將重寫DNS應答信息，并將其重定向到定制的搜索頁面。例如、我使用OpenDNS的原因是它的DNS查詢的速度比我的互聯網服務提供商快。然而、如果我輸入的域名不存在、它會返回一個OpenDNS搜索頁面。當你這樣做時使用opendns在DNSSEC會發生什么？我不知道、但是我有這種工作情況我會有不好的感覺。

順便說一句、DNS安全管理方面，OpenDNS提供其他選擇：DNSCurve。DNSCurve將如何實現與DNSSEC協同工作？答案是不可能的、他們試圖使用一種不同的方法來實現DNS安全性。對于用戶來說、這可能意味著無論在其他地方使用什么安全措施，您仍然可以使用DNS，但如果使用不同的技術，您將不會獲得任何保障在安全方面。

就我個人而言、我認為你現在能做的最好的事情是更新內部DNS軟件和固件升級到最新DNSSEC兼容版本。我們還可以了解上游的DNS是否按照域名系統運行分析研究中心為非網絡管理員用戶提供的指南部署了DNSSEC。為簡單起見、你也可以選擇運行java應用程序，并迅速得到明確的答案。

如果你發現ISP不使用DNSSEC，提醒他們盡快部署。DNSSEC是未來的一種趨勢、越早的ISP部署使用，就會獲得更高的安全性。

工業控制系統邁向開放 你想好如何進行安全防范了嗎？

 關于收不到郵件的說明            對全球開放的允許注冊的后綴的域名有哪些？