[EMC]EmerDNS作为DNS解决方案五大理由

2017-08-07 16:03:45阅读0

emc1.png


只有懒人才不会批评 RFC 1034协议的传统 DNS 系统。其实,传统 DNS 虽然性能强,但完全不安全。攻击者能够劫持中间缓存服务器的 DNS 响应(缓存投毒或欺骗),从而将你的通信转接到欺诈网站。HTTPS 提供了一种使用 SSL 证书的保护机制,可实现对欺诈网站的检测。但通常来说,用户完全不了解 SSL,经常忽视无效证书警告并继续点击,有时就导致经济损失。


为结束 DNS 欺诈劫持的困扰,IETF 提出了 DNSSEC的概念,这是对传统 DNS 的安全性扩展,目前正在 ICANN 控制的互联网上实施。坦白说,实施过程非常不顺利:大多数企业和组织公然无视新时代的挑战。即便像是Google 和 Yandex这样的 IT 巨头,也没有部署 DNS 域的数字签名。而那些喜欢探听他人业务的“厉害人物”在对待安全的行为上也有所不同:如俄罗斯联邦安全局 (FSB),他们在这方面并不急于保护自己的安全,而美国中央情报局 (CIA)似乎更加积极主动。有些企业开发了自己的 DNSSEC,例如 verteiltesysteme.net。但对于某些组织而言,居然有约 10% 的顶级域名 (TLD) 仍未被 DNSSEC 签名,简直让人无语!


DNSSEC 已经免费并公开推出一段时间,但为什么仍会出现这种大量的反调的行为呢? 我们找到了许多原因:


1、“安全性很强。” 普通的系统管理员不太想接触这一主题,因为这对他们来说过于复杂。只创建一个 DNSSEC 域是不够的。你必须通过更新密钥等操作对其进行适当的维护。


2、人们总是很乐观:“麻烦是不会找上我们的。它只会发生在别人身上。所以我们不用担心。” 很难相信,对吧? 这里有个简单的比喻:你会在家里装一台灭火器吗?


3、 HTTPS/SSL 以可靠的方式检测伪造网站,从而提供了可行的替代方法。但在大多数情况下,用户只会忽略这类警告。


4、DNSSEC 仅可防御外部缓存投毒。而对于攻击者攻陷存储缓存的 ISP 服务器、域区域服务器或域名注册器的行为而言,DNSSEC 起不到任何作用。顺便提一句,就是因为域注册器被攻陷,才导致了blockchain.info 被劫持。


5、DNSSEC 服务器的性能大约只有传统 DNS 服务器的 20%.它还需要更多的网络和计算资源。


由此我们看到,虽然 DNSSEC 比传统的 DNS 更安全,但它仍是一种治标不治本的方案,因为它无法彻底解决数据可靠性的问题 - 即便所有的管理员都突然决定努力工作并且做对的事。还要提醒你,不光治标不治本,而且价格昂贵。性能下降五倍对于实在地影响互联网速度的关键系统而言,可不是开玩笑的。


此外我们还需要注意的是,不论是传统的分布式 DNS 还是其衍生出的 DNSSEC,系统都将在进行查询的同时搜索域。也就是在你最需要进行计算和网络资源的时候 - 系统本应该用于传输数据,而不是找出谁是谁,或是检查签名。然而缓存更新和其他 DNS 相关进程总是在最宝贵的时间段发生,而在这段时间你要的是你的网页,而不是一些你看不见的工作。最后,如果要使用网络,你必须确保所有涉及的名称服务器正常运行。如果部分中间服务器发生故障,整个网段都将丢失,而这样的状况无时无刻都在发生。


EmerDNS 是一种基于区块链的解决方案,用于替代传统 DNS 和 DNSSEC。与 DNS/DNSSEC 的层次结构不同,EmerDNS 是一种没有域名注册商、域区域所有者或中间缓存的对等网络。已经没什么能够被攻陷了。每个 EmerDNS 节点都包含整个区块链,即完整的名称和其他事务的完整数据库。区块链技术自身以及 PoS/PoW公众共识可确保数据可靠性(即数据库对所有节点而言都是相同的 )。后者可确保任何用户(系统管理员)都无法进入“上帝模式”。不论是我们或是其他人,都无法取消或变更任何任何记录。只有特定的记录所有者能进行相关操作,其他人都不可以。在某种程度上,EmerDNS 就像是 “hosts” 文件,其中包含所有已知主机名的记录。但与 hosts 文件不同的是:


每条 EmerDNS 记录仅能由其所有者进行修改,其他人无法进行相关操作。


通过矿工共识禁用“上帝”/超级管理员模式。


此文件对所有用户而言是相同的,这归功于区块链的复制机制。


该文件与快速搜索引擎协同工作。


当新区块到达时,数据库将使用推送通知进行更新 - 这与用户的请求异步。因此,当你访问某个网站时,你已经将所有相关和已验证的 DNS 记录存储在本地的预索引数据库中。域名将在本地被转译为 IP 地址,无需外部查询,特别是避免了递归查询。这使 EmerDNS 成为一种非常高性能的解决方案。此外,域名解析不依赖于互联网上任何名称服务器的健康状况。


这一体系架构使 EmerDNS 实现超快速、超安全以及高容错。EmerDNS 的缺点是你必须在每个节点存储区块链的副本 - 它不仅包含域信息,还包含由他人添加到数据库中的事务和所有内容。但考虑到当今存储空间的价格和容量,即便是普通用户也能负担得起数百 GB 的存储空间。因此与你获得的性能和安全性相比,这点妥协是值得的。此外,Emer 区块链只占用 300MB 存储空间。


另一个缺点是,您对每个域名记录进行更新时需在 Emercoin 中支付一定的费用。但目前的售价(创建记录 ~$0.1/更新记录 $0.01)与通过域名注册商维护域名(约 $10/年)相比,仍要优惠得多。事实上,这 $10 足以购买全年每天更新三次的费用。


下表展示了多种 DNS 解决方案间的差异:


emc2.png


EmerDNS 自 2014 上线以来持续稳定运营。您可前往 Emercoin项目 中找到详细的使用说明。


俄罗斯互联网监管机构屏蔽了大量网站,这些网站的所有者们将网站转移到 EmerDNS,他们看中的是系统的高容错机制以及安全性(在此阅读更多内容)。


Maxima和 Pornolab提供了通过 OpenNIC连接到系统的说明文档(俄语)。Peername和 Fri-Gate 提供了 EmerDNS 的浏览器插件。


当然,当使用 OpenNIC 和其他外部服务器时,攻击者仍可劫持或伪造用户查询。理论上还可能存在由于 OpenNIC 自有 DNS 网关被攻陷而导致的漏洞。这也是为什么最安全的解决方案是在受信任的本地/家庭/公司网络部署 EmerDNS 网关。该网关可保存区块链,用户将通过轻量级 DNS 查询与之通信。此种体系架构实现了 EmerDNS 的高可靠性和安全性,用户无需在其 PC 存储区块链。


文章来源:Emercoin崛起币信息网

原文链接:http://www.emercoin.info/zh-Hans/news/the-best-dns-solution-EmerDNS.html

免责声明:本文为转载,与比特时代无关,仅为传播消息之用,不代表比特时代观点,不构成比特时代投资建议!

理财盒子
库神钱包