DNSSEC技術可以為DNS服務器之間的通信提供安全性，當DNS服務器從其他DNS服務器收到資源記錄消息時，DNS服務器會檢查此消息內(nèi)的記錄是否遭到篡改，是否是由真的授權DNS服務器發(fā)出的消息，而不是假冒的DNS服務器傳送來的。換句話說。DNSSEC技術讓DNS客戶端所得到的IP地址等資源記錄是真實無誤的。如下圖所示：

創(chuàng)新互聯(lián)公司從2013年成立，是專業(yè)互聯(lián)網(wǎng)技術服務公司，擁有項目成都網(wǎng)站制作、做網(wǎng)站、外貿(mào)營銷網(wǎng)站建設網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元邵武做網(wǎng)站,已為上家服務,為邵武各地企業(yè)和個人服務,聯(lián)系電話:028-86922220

DNSSEC通過數(shù)字簽名與加密密鑰來驗證DNS服務器的響應是否為真實的，要讓DNS服務器具備DNSSEC安全功能，需要針對授權DNS服務器的區(qū)域來執(zhí)行對區(qū)域進行簽名的動作，之后便可讓非授權DNS服務器擁有驗證的功能。授權DNS服務器的區(qū)域經(jīng)過簽名后，系統(tǒng)會為區(qū)域內(nèi)的每一條資源記錄各新建一條RRSIG（資源記錄數(shù)字簽名）記錄，授權DNS服務器會將該記錄與其RRSIG記錄一并傳給非授權DNS服務器，非授權DNS服務器利用授權DNS服務器的公鑰來驗證該條記錄是否遭到篡改。

DNSSEC實例演練：實驗環(huán)境和過程照搬戴有煒老師windows server 2012網(wǎng)絡管理與架站書中的內(nèi)容

實驗說明：首先配置好各臺主機的IP等參數(shù)、將DNS1配置成緩存服務器并設置轉發(fā)器、在DNS2上建立區(qū)域sec.com,添加一條主機記錄（www.sec.com----192.168.8.254）以便測試。

DNSSEC實驗步驟：
1.到區(qū)域sec.com的授權服務器DNS2上對此區(qū)域簽名（開啟該區(qū)域的DNSSEC功能），簽名后會產(chǎn)生很多DNSSEC相關的記錄，其中就有RRSIG、DNSKEY(密鑰）、等
2.到DNS1上導入DNSKEY（DNS2的公鑰）
3.到DNS客戶端上建立策略來讓客戶端計算機強制請求DNS1驗證從DNS2收到的消息記錄（在組策略里面配置）

取證數(shù)據(jù)：對DNS1驗證DNS2的數(shù)據(jù)取證，抓取數(shù)據(jù)包，如下圖：