مبنای عملکرد اینترنت بر پایهی آدرسهای IP است و آنچه سبب میشود تا بهجای این اعداد، تنها با وارد کردن یک نام به محتوای دلخواه خود دست پیدا کنید، سرویس DNS است. پس DNS یکی از اصلیترین سرویسهای دنیای اینترنت بهشمار میآید که وظیفهی تبدیل هر نام به یک آدرس IP و برعکس را بهعهده دارد.
اما این سرویس حیاتی برای سالها دارای آسیبپذیریهای جدی بود که به مهاجمان در دنیای اینترنت اجازهی هدایت ترافیک یک وبسایت بهسمت سرورهای جعلی خود را میداد. کشف این آسیبپذیریها سبب شد تا روشی برای امن کردن این سرویس حیاتی ایجاد شود. نام این روش، DNSSEC بود.
ابر آروان در جایگاه یک Authoritative DNS server، با در اختیار گذاشتن یک رکورد DS، این امکان را برای شما فراهم میکند که بتوانید با فعالسازی DNSSEC از دامنهی خود در برابر حملاتی که منبع آنها سرویس DNS است، محافظت کنید.
استفاده از DNS در دنیای اینترنت، امری اجتنابناپذیر است. پس، چه کسبوکار آنلاین کوچکی باشید، چه تجارتی بزرگ، بدون DNSSEC هر لحظه در معرض حملاتی خواهید بود که منشا آنها سرویسDNS است. DNSSEC با تغییر و تعریف رکوردهای جدیدی در سرویس DNS، این امکان را فراهم میکند که رکوردهای DNS بهشکل رمزنگاری شده امضا شوند و به این ترتیب از ارتباطات DNS در برابر بزرگترین آسیبپذیری این سرویس یعنی DNS spoofing محافظت شود.
سرویس DNS هیچ مکانیزم داخلی برای محافظت از دادههای تبادلی خود ندارد. DNSSEC با امضای رکوردهای DNS، سبب میشود تا resolver با دریافت رکوردها و اعتبارسنجی آنها، مطمین شود که رکورد دریافتی دقیقن به همان دامنهای که قصد دسترسی به آن را داشته است، تعلق دارد و از سمت DNS server جعلی متعلق به یک مهاجم نیست. <br> با فعالسازی DNSSEC برای دامنهی خود، فرآیند resolve نام به شکل زیر انجام میشود:
کاربر در مرورگر خود نشانی www.example.com را وارد میکند. مرورگر نخست Cache خود را برای یافتن آدرس IP متناظر با آن بررسی میکند. اگر این IP را در Cache خود پیدا نکند، درخواستی را برای DNS server که برای آن تنظیم شده (Recursive Resolver) میفرستد.
Recursive Resolver که میتواند DNS server باشد که ISP برای شما فراهم کرده است، نخست Cache خود را برای یافتن آدرس IP متناظر با آن نام جستوجو میکند. اگر آدرسی پیدا نکند، درخواستی را برای Root server میفرستد.
Root server با دریافت این درخواست، در پاسخ، آدرس IP مربوط به TLD آن دامنه به همراه DS record مرتبط با آن را برای recursive resolver میفرستد.
Recursive Resolver با دریافت این IP، درخواستی را مبنیبر دریافت آدرس IP دامنه، برای TLD میفرستد.
TLD با دریافت این درخواست، آدرس IP مربوط به DNS serverهای ابر آروان که رکوردهای دامنهی مورد نظر در آن ذخیره شدهاند، به همراه DS record مرتبط با آن را برای Recursive Resolver میفرستد.
Recursive Resolver برای DNS server ابر آروان درخواستی را برای دسترسی به رکوردهای دامنهی مورد نظر میفرستد.
DNS server ابر آروان نیز در پاسخ برای recursive resolver، رکوردهای RRSIG و DNSKEY را میفرستد.
Recursive resolver که اکنون به تمام رکوردهای مورد نظر خود دست یافته و تمام سرورهای بالادستی را نیز احراز هویت کرده است، درنهایت آدرس IP دامنهی www.example.com را برای مرورگر میفرستد و به این ترتیب مرورگر میتواند به محتوای دامنه دسترسی داشته باشد.