Bir alan adının DNSSEC kullanıp kullanmadığını nasıl kontrol edebilirim?


20

DNSSEC şu anda bazı üst alanlara dağıtıldı. Ancak bir sitenin / alan adının DNSSEC kullanıp kullanmadığını nasıl görebilirim? Tarayıcıda gösteriliyor mu? ya da görmek için herhangi bir pencere veya linux komutu var mı? ya da bunun için bir araç?

Yanıtlar:


19

dig [zone] dnskey

Bu, bölgede RRSetlerini doğrulamak için kullanılacak DNSKEY RRsetinin gerekli olup olmadığını gösterir.

Özyinelemeli sunucunuzun bölgeyi doğrulayıp doğrulamadığını görmek istiyorsanız,

dig +dnssec [zone] dnskey

Bu, giden sorguda DO (dnssec OK) bitini ayarlar ve veri doğrulanırsa yukarı akış çözümleyicisinin dönüş paketindeki AD (kimlik doğrulamalı veri) bitini ayarlamasına ve ayrıca ilgili RRSIG'leri (bölge sorusu imzalanır) yanıtı doğrulayamasa bile.

"6 Dakikada DNSSEC" sunumumdaki son slayt grubuna bir göz atmak isteyebilirsiniz (DNSSEC'de hata ayıklama hakkında birçok bilgi). Bu sunum, DNSSEC'yi dağıtma konusundaki dişlerde biraz uzun (iyi şeyler için gerçekten BIND 9.7'ye bakmalısınız), ancak hata ayıklama çok az değişti.

Ayrıca NANOG 50'de BIND 9.7 DNSSEC dağıtımı hakkında verdiğim bir sunum var .


2
Sunucu hatası üzerinde, aslında BIND ve ISC DHCP'nin sahipleri olan ISC için çalıştığımı kabul etmem istendi. İkisinden biri ile ilgili sorunları olan herkese yardım etmekten mutluluk duyuyorum
Knobee

"6 dakika içinde DNSSEC" slaytlarınız şimdi 404 veriyor. Yeni bir URL var mı?
e40

Yeni URL şu şekilde görünüyor: kb.isc.org/article/AA-00820/0/DNSSEC-in-6-minutes.html
e40


-1

Terminalde: dig tunnelix.com + dnssec

Bir DNSSEC imzasını gösteren RRSIG (RRset İmzası) bulmanız gerekir.

Örnek 1'in cevabı: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==

Aksi takdirde, çevrimiçi ücretsiz DNSSEC denetleyicisi aracılığıyla DNSSEC'nizi doğrulayın. https://dnssec-debugger.verisignlabs.com

Daha fazla bilgi için yararlı olabilecek bu bağlantılara bakın:

https://tunnelix.com/counter-dns-attack-enabling-dnssec/

https://tunnelix.com/anatomy-of-a-simple-dig-result/


2
Bu teorik olarak soruyu cevaplayabilirken, cevabın temel kısımlarını buraya dahil etmek ve referans için bağlantı sağlamak tercih edilir.
bertieb

Cevabı istendiği gibi güncelledim. Teşekkürler
Nitin J Mutkawoa
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.