DNSSEC-аномалии — это любые нарушения, ошибки конфигурации или признаки атак, связанные с работой расширения безопасности системы доменных имен DNSSEC (Domain Name System Security Extensions). DNSSEC предназначен для защиты от подмены DNS-ответов (DNS spoofing/cache poisoning), криптографически подписывая DNS-данные. Аномалии указывают на сбои в этой системе защиты, которые могут быть как следствием административных ошибок, так и целенаправленных действий злоумышленников.
Возможности и типичные виды DNSSEC-аномалий:
- Ошибки подписи и валидации:
- Просроченные или отсутствующие RRSIG-записи (Resource Record Signatures): Цифровые подписи данных имеют срок действия. Их истечение делает зону «небезопасной».
- Несоответствие ключей (DNSKEY mismatch): Публичный ключ (DNSKEY), доступный для проверяющего резолвера, не соответствует приватному ключу, которым была подписана зона.
- Ошибки в цепочке доверия: Проблемы с делегированием подписанных дочерних зон (неправильные DS-записи в родительской зоне).
- Конфигурационные аномалии:
- «Лысая» зона (Bare Zone): Зона опубликована как подписанная (имеет DNSKEY), но не содержит подписей (RRSIG) для своих ресурсных записей.
- Частично подписанные зоны: Наличие как подписанных, так и неподписанных записей в одной зоне, что приводит к ошибкам валидации.
- Признаки атак:
- Атаки на отказ в обслуживании (DoS) против DNSSEC: Целенаправленная отправка запросов на подписанные зоны для создания высокой нагрузки на серверы из-за сложности процесса криптографической проверки подписи.
- Поддельные ответы с невалидными подписями: Активные попытки отравить кэш резолвера, которые будут отклонены корректно работающим DNSSEC, но сами попытки фиксируются как аномалия.
Мониторинг DNSSEC-аномалий — важная часть обеспечения устойчивости критической интернет-инфраструктуры. Инструменты вроде DNSSEC Debugger или Zonemaster помогают администраторам диагностировать проблемы. Для атакующего обнаружение неправильно настроенной DNSSEC-зоны — это возможность вызвать отказ в обслуживании для пользователей, чьи DNS-резолверы строго проверяют подписи (получая ошибку SERVFAIL), или потенциально использовать другие техники атак, если валидация отключена. Корректная настройка и постоянный мониторинг DNSSEC так же важны, как и его внедрение.
Упоминания
-
19 декабря 2025
Более половины нелегитимного DNS-трафика в компаниях — это попытка доступа сотрудников к заблокированным ресурсам
Согласно статистике сервиса DNS-фильтрации за 2025 год, 61,6% нелегитимного DNS-трафика в корпоративных сетях составляют попытки перехода на домены, заблокированные внутренними... -
10 декабря 2025
BI.ZONE запустила бесплатный публичный DNS-сервис
BI.ZONE запустила бесплатный публичный DNS-сервис, предназначенный для быстрого и безопасного разрешения доменных имен на пользовательских устройствах. Сервис работает на оптимизированной инфраструктуре...
