到目前為止，只有不到0.02%的互聯網采用了DNSSEC協議，DNSSEC協議在頂級域名方面取得了進展，但一項新研究顯示，整體DNSSEC協議部署只占互聯網的一小部分，讓大部分企業(yè)都容易受到DNS緩存中毒攻擊。

　　根據Infoblox和測試服務公司收集的數據顯示，不到0.02%的DNS區(qū)域啟用了DNSSEC，而有96%因為DNSSEC簽名過期而沒有通過驗證。

　　DNS緩存中毒攻擊威脅在一年前由知名研究人員Dan Kaminsky發(fā)現，而DNSSEC協議被認為是抵御DNS緩存中毒攻擊的最佳防御。盡管Infoblox調查發(fā)現DNSSEC協議部署今年攀升了340%，但仍然有很長的路要走。

　　Infoblox公司架構副總裁同時也是DNS專家Cricket Liu表示，這次調查還首次研究了現有的DNSSEC 協議部署是否上升以及運行情況，“關于DNSSEC協議部署的奇怪的現象就是，我們看到數據持續(xù)上升，但都是從極小的數字到更小的比率，”Liu表示， “這是我們第一次檢查在這些DNSSEC協議區(qū)域驗證數據的能力，而幾乎有四分之一沒有通過驗證，因為簽名過期，這很令人失望。”

　　他表示，這些企業(yè)可能一直在將DNSSEC作為實驗，“這也就是說，加上一些工具，會讓DNSSEC協議變得很難運行，”他說道，“四分之一的區(qū)域過期說明，DNSSEC協議的重新簽名并不是自動的，大家設置好DNSSEC協議來進行實驗，然后就不聞不問了。”

　　與此同時，Kaminsky一直致力于讓DNSSEC協議部署更加簡單，他近日發(fā)布了一個免費的工具 包，Phreebird Suite1.0，該工具包可以讓企業(yè)嘗試使用DNSSEC協議，同時也向他們證明這個協議并不難部署。Phreebird Suite 1.0是一個位于DNS服務器前面的實時DNSSEC代理服務器，并且對其響應進行數字簽名。

　　Infoblox調查還發(fā)現，在所有DNS域名服務器中，將近有75%的服務器位于單個授權區(qū)域，這樣容易出現單點故障，“這是很糟糕的事情，”Liu表示。如果路由基礎設施出現問題或者故障，那么將會失去互聯網業(yè)務。

　　一些網絡目前仍然缺乏的是DNSSEC協議需要的基本網絡配置。Liu表示：將近20%的域名不允許TCP查詢，而26.4%不支持DNS協議的擴展機制。

　　Infoblox建議企業(yè)為部署DNSSEC協議做好準備，升級到最新版本的BIND，使用端口隨機化，隔離內部和外部域名服務器，并且隔離授權DNS域名服務器和遞歸DNS域名服務器。