4. Services Not Provided by DNS Security (DNS 安全不提供的服务)

DNS 最初的设计假设是 DNS 将对任何给定查询返回相同的答案, 无论谁发出查询, 并且 DNS 中的所有数据因此都是可见的。因此, DNSSEC 不是为了提供机密性 (confidentiality)、访问控制列表 (access control lists) 或其他区分查询者的手段而设计的。

DNSSEC 不提供针对拒绝服务攻击 (denial of service attacks) 的保护。安全感知解析器和安全感知名称服务器容易受到基于加密操作的额外类别的拒绝服务攻击。详情请参见第 12 节。

DNS 安全扩展为 DNS 数据提供数据和源认证。上述机制不是为了保护诸如区域传输 (zone transfers) 和动态更新 (dynamic update) ([RFC2136], [RFC3007]) 之类的操作而设计的。[RFC2845] 和 [RFC2931] 中描述的消息认证方案解决了与这些事务有关的安全操作。