Usługa DNSSEC została już wdrożona w niektórych domenach top. Ale jak mogę sprawdzić, czy witryna / domena używa DNSSEC? Czy jest pokazywany w przeglądarce? lub czy są jakieś polecenia systemu Windows lub Linux, aby je zobaczyć? czy narzędzie do tego?
To pokaże, czy w strefie znajduje się wymagany zestaw kluczy DNSKEY, który będzie używany do sprawdzania poprawności zestawów kluczy DNS w strefie.
Jeśli chcesz sprawdzić, czy serwer rekurencyjny sprawdza poprawność strefy,
dig +dnssec [zone] dnskey
Spowoduje to ustawienie bitu DO (dnssec OK) w zapytaniu wychodzącym i spowoduje, że program rozpoznający w górę ustawi bit AD (dane uwierzytelnione) w pakiecie zwrotnym, jeśli dane zostaną zatwierdzone, a także zapewni powiązane z nimi RRSIG (jeśli strefa w pytanie jest podpisane), nawet jeśli nie jest w stanie zweryfikować odpowiedzi.
Możesz rzucić okiem na ostatnią grupę slajdów w mojej prezentacji „DNSSEC za 6 minut” (wiele o debugowaniu DNSSEC). Ta prezentacja jest nieco długa w głowie na temat wdrażania DNSSEC (naprawdę powinieneś spojrzeć na BIND 9.7 dla dobrych rzeczy), ale debugowanie niewiele się zmieniło.
Zostałem poproszony o błąd serwera, aby przyznać, że faktycznie pracuję dla ISC, opiekunów BIND i ISC DHCP. Cieszę się, że mogę pomóc każdemu, kto ma problemy z jednym z nich (jeśli czas na to pozwala).
Knobee,
Twoje slajdy do „DNSSEC za 6 minut” dają teraz 404. Czy jest nowy adres URL?
Nie sądzę, że jest to obecnie wyświetlane w przeglądarce.
Istnieje rozszerzenie firefox, które może robić, co chcesz:
alternatywnie, może jedno z tych narzędzi?
źródło
Na terminalu: dig tunnelix.com + dnssec
Musisz znaleźć RRSIG (RRset Signature), który wskazuje na podpis DNSSEC.
Odpowiedź z przykładu 1: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==
W przeciwnym razie sprawdź poprawność DNSSEC za pomocą bezpłatnego internetowego sprawdzania DNSSEC. https://dnssec-debugger.verisignlabs.com
Aby uzyskać więcej informacji, zapoznaj się z tymi linkami, które mogą być przydatne:
https://tunnelix.com/counter-dns-attack-enabling-dnssec/
https://tunnelix.com/anatomy-of-a-simple-dig-result/
źródło