Назад | Перейти на главную страницу

Запрос и проверка dnssec

я слышу http://www.isoc.org/ имеет Расширения безопасности системы доменных имен о своих записях DNS.

Как посмотреть и проверить DNS с помощью инструмента dig?

В dig команда проста:

% dig +dnssec www.isoc.org.

; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec www.isoc.org.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49304
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 7, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.isoc.org.          IN  A

;; ANSWER SECTION:
www.isoc.org.       86382   IN  A   212.110.167.157
www.isoc.org.       86382   IN  RRSIG   A 7 3 86400 20100706205007 20100622205007 56495 isoc.org. ETERh/blyD1LvW+hCeET9Zy/XTdTewilU8nhA5HCGtNoccdjPN/4pBg6 Vv2S/nJTZfQu7S1KwFJpijSg0n81A8Fpr1rjlS4AfKZgiSA6ureGDOzZ J4MImGFb9h1lG7qBrJ3Psmzs292obZfA98oJstsTzd4tNwFQf5bp5pDJ KoU=

Обратите внимание на две вещи:

  1. В +dnssec flag - просит ваш DNS-сервер проверить данные зоны.
  2. В ad запись в flags строка ответа. Это подтверждает правильность данных зоны.

[если бы данные зоны были неверными, сервер вернул бы SERVFAIL вместо ошибки]

Однако ваш DNS-сервер на самом деле не вернет это ad флаг, если он не был настроен для выполнения самой проверки DNSSEC. У меня, конечно, есть.

Вы можете включить DNSSEC на своем рекурсивном сервере BIND, добавив следующие строки в свой named.conf файл:

    dnssec-enable yes;
    dnssec-validation yes;

и копию открытого ключа корневой зоны. Затем можно проверить другие доменные имена, проследив цепочку подписей в иерархии DNS.

Вам также понадобится довольно свежая версия вашего программного обеспечения DNS - только более новые версии поддерживают алгоритм шифрования RSA / SHA-256, который будет использоваться для подписи корня. Это означает BIND 9.6.2+ или Unbound 1.4.0+.