Как я могу проверить, использует ли домен DNSSEC?


20

DNSSEC была развернута на некоторых topdomains сейчас. Но как я могу узнать, использует ли сайт / домен DNSSEC? Это отображается в браузере? или есть команда windows или linux, чтобы увидеть это? или инструмент для этого?

Ответы:


19

dig [zone] dnskey

Это покажет вам, есть ли в зоне RRset DNSKEY, который будет использоваться для проверки RRsets в зоне.

Если вы хотите проверить, проверяет ли ваш рекурсивный сервер зону,

dig +dnssec [zone] dnskey

Это установит бит DO (dnssec OK) в исходящем запросе и заставит преобразователь восходящего потока установить бит AD (аутентифицированные данные) в возвращаемом пакете, если данные проверены, а также предоставит вам соответствующие RRSIG (если зона в вопрос подписан), даже если он не может подтвердить ответ.

Возможно, вы захотите взглянуть на последнюю группу слайдов в моей презентации «DNSSEC за 6 минут» (много об отладке DNSSEC). Эта презентация немного длинна в развертывании DNSSEC (вам действительно стоит взглянуть на BIND 9.7 для хорошего), но отладка мало изменилась.

В NANOG 50 я также представил презентацию о развертывании DNSSEC в BIND 9.7 .


2
Меня спросили на сервере о том, что я на самом деле работаю в ISC, сопровождающих BIND и ISC DHCP. Я более чем рад помочь любому, у кого есть проблемы с любым из них (время позволяет).
Кноби

Ваши слайды для "DNSSEC за 6 минут" дают 404 сейчас. Есть ли новый URL?
с40

Новый URL выглядит следующим образом: kb.isc.org/article/AA-00820/0/DNSSEC-in-6-minutes.html
e40


-1

На терминале: копать tunnelix.com + dnssec

Вам нужно найти RRSIG (подпись RRset), которая указывает на подпись DNSSEC.

Ответ из Примера1: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==

В противном случае, проверьте свой DNSSEC через бесплатную онлайн-проверку DNSSEC. https://dnssec-debugger.verisignlabs.com

Для получения дополнительной информации обратитесь к этим ссылкам, которые могут быть полезны:

https://tunnelix.com/counter-dns-attack-enabling-dnssec/

https://tunnelix.com/anatomy-of-a-simple-dig-result/


2
Хотя это может теоретически ответить на вопрос, было бы предпочтительным включить здесь основные части ответа и предоставить ссылку для справки.
bertieb

Я обновил ответ в соответствии с просьбой. Спасибо
Nitin J Mutkawoa
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.