3. Службы, обеспечиваемые DNS Security
Защитные расширения DNS обеспечивают аутентификацию источника и гарантию целостности для данных DNS, включая механизмы аутентифицированного запрета на существование данных DNS. Защитные механизмы описаны ниже.
Эти механизмы требуют изменения протокола DNS. DNSSEC добавляет 4 новых типа записей о ресурсах: RRSIG (Resource Record Signature), DNSKEY (DNS Public Key), DS (Delegation Signer) и NSEC (Next Secure). Добавлены также два новых бита заголовков: CD (Checking Disabled) и AD (Authenticated Data). Для поддержки сообщений DNS большего размера в связи с добавлением записей DNSSEC RR это расширение также требует поддержки EDNS0 ([RFC2671]). И, наконец, DNSSEC требует поддержки биты заголовка DNSSEC OK (DO) EDNS ([RFC3225]), чтобы защищенный преобразователь мог указать в своих запросах, желает ли он получать записи DNSSEC RR в откликах.
Перечисленные меры обеспечивают защиту от большинства угров системе DNS, описанных в [RFC3833]. В главе 12 обсуждаются ограничения, присущие этим расширениям.