当客户端发出DNS查询时,它会转到DNS服务器并得到响应。我知道可以在DNS服务器上启用DNSSEC,并对查询进行签名验证。
除了上游DNS服务器的验证之外,是否可以通过客户端进行DNS验证?启用DNSSEC的开销是多少?
答案 0 :(得分:0)
是的,任何感觉都可以验证DNSSEC的人。虽然通常让一个递归解析器为你做,但严格来说,在你自己的机器上本地执行它是更正确的安全性。
你在自己的机器上如何完全是另一个问题,并且取决于太多的事情甚至开始在这里回答。
使用DNSSEC的开销是通过网络传输更多字节(需要包含签名,密钥等),更多RAM用于在内存中存储区域(同样,签名和密钥占用空间)和更多CPU使用(用于加密计算)。如果您处于受限环境(嵌入式系统,带宽非常小,类似)或每秒处理数百个DNS数据包,则开销只会很明显。