TWNIC-DNS安全資源網站

	DNS 安全資源網站
台灣區DNS調查│ISC BIND弱點│DNS相關資訊│DNS 相關工具│DNS安全檢測│DNS 檢測服務│回首頁


	RFCs
	安全文件
	工作群組

DNS 相關的 RFCs 列表

RFC 4470		Minimally Covering NSEC Records and DNSSEC On-line Signing S. Weiler SPARTA, Inc. J. Ihren Autonomica AB April 2006
摘要		本文件指出如何建構DNSSEC NSEC resource records，原來的一小部份包含在RFC 4034，藉由產生和標記這些記錄，權威名稱主機可以有效的在某一個Zone中隱藏由NSEC記錄的相關訊息。
RFC 3090		DNS Security Extension Clarification on Zone Status E. Lewis, NAI Labs, March 2001
摘要		本文件提出了安全網域的定義、說明，以及更新了 RFC 2535 的部份文件。 RFC 2535 定義：一個網域是否安全是根據演算法而定的，亦即一個網域使用 RSA keys 是安全的，而使用 DSA keys 則否。這份文件改變了這個定義，一個網域是否安全跟他用不用演算法或用哪一種演算法無關。為了更加簡化對網域狀態的限制，本文件反對 "實驗性安全" 狀態。
RFC 3008		DNS Security (DNSSEC) 簽章授權 B. Wellington, Nominum, November 2000
摘要		這份文件提出一個 DNSSEC 簽章授權的修訂模組。這個修訂模組把較早的文件做了清楚的說明，並且增加了額外的限制以簡化安全解析程序。這也會影響到用來簽署記錄集合的密鑰的授權。
RFC 3007		DNS 安全動態更新 B. Wellington, Nominum, November 2000
摘要		本文件提出一個讓 DNS 安全地執行動態更新的方法。此方法意圖達到靈活性及可用性，同時也盡可能地不更改到目前的協定。在此，動態更新的訊息認證從資料的 DNSSEC 確認程序中分離出來。通訊安全是基於請求的認證，並且透過交易來提供授權。
RFC 2931		DNS 請求及交易簽章 (SIG(0)s) D. Eastlake, Motorola, September 2000
摘要		RFC 2535 中提到了 DNS 的延伸功能，它能夠透過使用加密數位簽章，提供來源資料的完整性及交易認證給具有安全知覺的解譯器及應用程式。實作的經驗指出，請求及交易簽章資源記錄 (SIG(0)s) 需要做些修改，這些修改也列在本文件裏面。
RFC 2930		DNS 密鑰建立 (TKEY RR) D. Eastlake, Motorola, September 2000
摘要		RFC 2845 提供一個透過交易簽章 (TSIG) 資源記錄，使用共享密鑰來認證 DNS 請求及回應的方法。然而，除了手動交換密鑰之外，它並沒有提供建立密鑰的機制。本文件提供了一個方法，在一些不同的模式下，利用交易密鑰 (TKEY) 資源記錄在 DNS 解譯器與伺服器之間建立共享密鑰。
RFC 2845		DNS 密鑰交易認證 (TSIG) P. Vixie, O. Gudmundsson, D. Eastlake, B. Wellington. May 2000
摘要		此協定允許交易層級的認證使用共享密鑰 (shared secrets) 及單向雜湊函數 (one way hasging)。它能夠用來認證從被認可的客戶端來的動態更新，或是用來認證從被認可過的遞回名稱伺服器來的回應訊息。在分配共享密鑰時並沒有做任何的預備，而是期待網路管理者能夠靜態地設定名稱伺服器及客戶端。不要用到網路機制，例如用磁片郵寄等方法，直到 key 分配的安全自動機制能夠使用為止。
RFC 2541		DNS 安全操作考量 D. Eastlake, IBM, March 1999
摘要		DNS 安全性是以密碼技術為基礎的。這些密碼技術的安全強度所不可或缺的是，小心及注意密鑰 (key) 及簽章 (signature) 的產生、有效時間、大小及儲存等操作方面。除此之外，還必須特別留意上層網域的安全性，特別是 root 網域。這份文件用了 KEY 及 SIG DNS 資源記錄 (RR) 來討論用來連線的密鑰及簽章的操作部份。
RFC 2537		DNS 裏的 RSA/MD5 KEYs 及 SIGs D. Eastlake, IBM, March 1999
摘要		這份文件提到在 DNS 裏儲存簽章的標準方法，此簽章是以 RSA key 及 RSA/MD5 為基礎。在此會利用到 DNS KEY 及 SIG 資源記錄。
RFC 2536		DNS 裏的 DSA KEYs 及 SIGs D. Eastlake, IBM, March 1999
摘要		這份文件提到在 DNS 裏儲存美國政府數位簽章演算法的密鑰及簽章的標準方法。在此會利用到 DNS KEY 及 SIG 資源記錄。
RFC 2535		DNS 安全延伸 D. Eastlake, IBM, March 1999
摘要		RFC 2535 中提到了 DNS 的延伸功能，它能夠透過使用加密數位簽章，提供來源資料的完整性及交易認證給具有安全知覺的解譯器及應用程式。這些數位簽章包函在安全網域的資源記錄裏。此外，在某些情況之，這樣的安全性也能夠提供非安全知覺的 DNS 伺服器。此延伸功能提供了在 DNS 裏儲存授權的公開明鑰。Key 的儲存能像 DNS 安全一樣，支援一般公開明鑰的分配服務。這些儲存起來的 Key 讓具安全知覺的解譯器能夠學習認證網域的 Key，除了剛被設定的 Key 之外。與 DNS 名稱相連繫的 Key 能夠被重新取得以支援其它的協定。除此之外，此安全延伸功能也提供了 DNS 協定交易及請求的選擇性認證。這份文件也將 RFC 2065 裏，早期一些撰寫者及使用者的回應合併進來。
RFC 1713		DNS 偵錯工具 A. Romao, FCCN, November 1994
摘要		儘管 DNS 已被廣泛的使用 (大部份時間沒有引起人們的注意)，但是人們卻往往忽略了它的存在。人們認為，特別是系統管理者認為，只要那些需要名稱對映位址的應用軟體能夠持續地運作就可以了，而忽絡了可能發生的異常現象。這份文件提供了一些有用的工具，讓網域管理者能夠偵測及修正這些異常現象。
RFC 1536		Common DNS Implementation Errors and Suggested Fixes A. Kumar, J. Postel, C. Neuman, P. Danzig, S. Miller, October 1993
摘要		過去幾年來，從 NSFnet 骨幹上可以看出 DNS 流量已經爆炸開來。不同的 DNS 軟體，以及這些軟體中不同的版本，它們彼此之間的互動，產生了大量不必要的流量。Internet 上的研究人員已經開始嘗試著把這些互動文件化，並記錄下這些流量的特徵，且設計了防治這些軟體弱點的程式。這份文件記錄了已知的 DNS 問題，及其修正資訊。以讓人們知道哪些問題必須小心，以及如何修複已遭損毀的部份。
RFC 1535		A Security Problem and Proposed Correction With Widely Deployed DNS Software E. Gavron., ACES Research Inc., October 1993
摘要		這份文件討論到目前一些名稱解譯客戶端有個漏洞，這個漏洞暴露了這些解譯器在查詢上的安全弱點。當使用者提供了部份的網域名稱時，很容易被弱點攻擊。這份文件用了一個合適的例子指出了這個漏洞，並且提出了解決方法。

中心地圖