Domain-Name-System
查詢和驗證 dnssec
我聽說http://www.isoc.org/在其 DNS 記錄中有域名系統安全擴展。
如何使用該工具查看和驗證 DNS
dig
?
dig
命令很簡單:% dig +dnssec www.isoc.org. ; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec www.isoc.org. ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49304 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 7, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.isoc.org. IN A ;; ANSWER SECTION: www.isoc.org. 86382 IN A 212.110.167.157 www.isoc.org. 86382 IN RRSIG A 7 3 86400 20100706205007 20100622205007 56495 isoc.org. ETERh/blyD1LvW+hCeET9Zy/XTdTewilU8nhA5HCGtNoccdjPN/4pBg6 Vv2S/nJTZfQu7S1KwFJpijSg0n81A8Fpr1rjlS4AfKZgiSA6ureGDOzZ J4MImGFb9h1lG7qBrJ3Psmzs292obZfA98oJstsTzd4tNwFQf5bp5pDJ KoU=
注意兩點:
- 標誌 -這
+dnssec
要求您的 DNS 伺服器驗證區域數據。- 響應行中的條目
ad
。flags
這證實了區域數據是正確的。[如果區域數據不正確,伺服器將返回
SERVFAIL
錯誤]但是,您的 DNS 伺服器實際上不會返回該
ad
標誌,除非它已配置為自行執行 DNSSEC 驗證。我的當然有。您可以通過在
named.conf
文件中添加以下行來在遞歸 BIND 伺服器中啟用 DNSSEC:dnssec-enable yes; dnssec-validation yes;
以及根區域公鑰的副本。然後可以通過 DNS 層次結構跟踪簽名鏈來驗證其他域名。
您還需要一個相當新版本的 DNS 軟體——只有較新的版本支持用於對根進行簽名的 RSA/SHA-256 加密算法。這意味著 BIND 9.6.2+ 或 Unbound 1.4.0+