DNSSEC 正在慢慢出笼，但是，这对用户意味着什么？我们现有的设备是否使用它？目前还没有具体的相关信息公布，不过本文试图解决你的一些疑惑。

互联网离不开dns。虽然 dns 可能不会崩溃，但它显式的信任机制很明显是一个糟糕的注意。一些心怀鬼胎的人已经找到了一种称为"dns 劫持"的方法，可利用这种信任对用户造成损害。如果你觉得这种说法很难理解，那下面这个例子会让你明白。

你需要向多个账号转账，点击银行书签，接着在浏览器中就会打开这个银行网站。你正常地登录，但是网站的反应有些不正常。这时，你应该做什么呢？

现在，提出一个值得认真对待的问题："你怎么知道那个网站真的就是你想要的银行网站呢？"

目前，还没有百分百的确认方式，那些坏蛋喜欢的就是这一点。他们可以修改 dns 信息，将浏览器中网页指向一个恶意网站，这个网站看起来和你想要访问的网站一模一样。还不明白吗？我们会登录，输入用户名和密码。结果：坏人通过欺骗的手段获得了我们的信任。

DNSSEC

IETF（互联网工程任务组）从 1997 年已开始寻找方法， 来防止上述"错误指向"的发生。他们提出的解决方案就是 DNSSEC（Domain Name System Security Extensions，既域名系统安全扩展）。看起来，这是一个不错的想法，至少根据介绍该系统的白皮书是如此。51CTO编者注：2009年11月，威瑞信（VeriSign）公司公布其已开始为.com和.net全球顶级域名（Top Level Domains, TLDs）部署dns安全扩展协议（DNSSEC），防止互联网的域名系统（dns）受到"中间人"和缓存投毒攻击。

不过，对用户以及我们的家庭/办公室网络，DNSSEC 有什么意义？对此并没有太多的信息。经过一番搜索研究，我总结了以下几点你应该了解的信息：

1. 路由器必须能够处理什么样的信息

路由器必须能够处理大于正常大小的 dns 包。原因在于新的授权规定，dns 当前所用的是 512 字节的 UDP 包，DNSSEC 响应的大小大于 512 字节。这会带来一些问题。某些路由器的程序设定会拒绝大于 512 字节的 dns 包。

另外，路由器还必须能够处理已转换为 TCP/IP 的DNSSEC 查询。如果较大的 UDP 包存在问题，dns 服务器可按照指令使用 TCP/IP 发送 DNSSEC 响应。如果路由器无法提供这种功能，dns 查询将会失败。

最后，路由器必须能够正确地处理 dnsKEY、RRSIG、NSEC 和 NSEC3。DNSSEC 流量验证需要这些新的 dns 来源记录。边界路由器必须能够处理这些记录，否则信任链条将会断掉。

2. 确认路由器是否兼容 DNSSEC

有关这个问题，我在较新的资料中没有找到答案。不过，在 2008 年的一份报告，找到了一些有用的信息。这份报告的名字是：《DNSSEC 对宽带路由器和防火墙的影响》（DNSSEC Impact on Broadband Routers and Firewalls）。这份报告的研究团队做了一些细致的研究，对 24 款个人和公司所用的路由器进行了测试。你可以在这份报告中查看自己的路由器的是否兼容。如果没有找到有关信息，你可以咨询路由器的制造商。