Jak mogę sprawdzić, czy domena używa DNSSEC?

20

Usługa DNSSEC została już wdrożona w niektórych domenach top. Ale jak mogę sprawdzić, czy witryna / domena używa DNSSEC? Czy jest pokazywany w przeglądarce? lub czy są jakieś polecenia systemu Windows lub Linux, aby je zobaczyć? czy narzędzie do tego?

Jonas
źródło

Odpowiedzi:

19

dig [zone] dnskey

To pokaże, czy w strefie znajduje się wymagany zestaw kluczy DNSKEY, który będzie używany do sprawdzania poprawności zestawów kluczy DNS w strefie.

Jeśli chcesz sprawdzić, czy serwer rekurencyjny sprawdza poprawność strefy,

dig +dnssec [zone] dnskey

Spowoduje to ustawienie bitu DO (dnssec OK) w zapytaniu wychodzącym i spowoduje, że program rozpoznający w górę ustawi bit AD (dane uwierzytelnione) w pakiecie zwrotnym, jeśli dane zostaną zatwierdzone, a także zapewni powiązane z nimi RRSIG (jeśli strefa w pytanie jest podpisane), nawet jeśli nie jest w stanie zweryfikować odpowiedzi.

Możesz rzucić okiem na ostatnią grupę slajdów w mojej prezentacji „DNSSEC za 6 minut” (wiele o debugowaniu DNSSEC). Ta prezentacja jest nieco długa w głowie na temat wdrażania DNSSEC (naprawdę powinieneś spojrzeć na BIND 9.7 dla dobrych rzeczy), ale debugowanie niewiele się zmieniło.

Jest też prezentacja, którą wygłosiłem na NANOG 50 na temat wdrożenia BIND 9.7 DNSSEC .

Knobee
źródło
2
Zostałem poproszony o błąd serwera, aby przyznać, że faktycznie pracuję dla ISC, opiekunów BIND i ISC DHCP. Cieszę się, że mogę pomóc każdemu, kto ma problemy z jednym z nich (jeśli czas na to pozwala).
Knobee,
Twoje slajdy do „DNSSEC za 6 minut” dają teraz 404. Czy jest nowy adres URL?
e40
Wygląda na to, że nowy adres URL to: kb.isc.org/article/AA-00820/0/DNSSEC-in-6-minutes.html
e40
-1

Na terminalu: dig tunnelix.com + dnssec

Musisz znaleźć RRSIG (RRset Signature), który wskazuje na podpis DNSSEC.

Odpowiedź z przykładu 1: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==

W przeciwnym razie sprawdź poprawność DNSSEC za pomocą bezpłatnego internetowego sprawdzania DNSSEC. https://dnssec-debugger.verisignlabs.com

Aby uzyskać więcej informacji, zapoznaj się z tymi linkami, które mogą być przydatne:

https://tunnelix.com/counter-dns-attack-enabling-dnssec/

https://tunnelix.com/anatomy-of-a-simple-dig-result/

Nitin J Mutkawoa
źródło
2
Chociaż teoretycznie może to odpowiedzieć na pytanie, lepiej byłoby zawrzeć tutaj istotne części odpowiedzi i podać odnośnik.
bertieb
Zaktualizowałem odpowiedź zgodnie z życzeniem. Dzięki
Nitin J Mutkawoa