Domain-Name-System

查詢和驗證 dnssec

  • September 7, 2011

我聽說http://www.isoc.org/在其 DNS 記錄中有域名系統安全擴展。

如何使用該工具查看和驗證 DNS dig

dig命令很簡單:

% dig +dnssec www.isoc.org.

; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec www.isoc.org.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49304
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 7, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.isoc.org.          IN  A

;; ANSWER SECTION:
www.isoc.org.       86382   IN  A   212.110.167.157
www.isoc.org.       86382   IN  RRSIG   A 7 3 86400 20100706205007 20100622205007 56495 isoc.org. ETERh/blyD1LvW+hCeET9Zy/XTdTewilU8nhA5HCGtNoccdjPN/4pBg6 Vv2S/nJTZfQu7S1KwFJpijSg0n81A8Fpr1rjlS4AfKZgiSA6ureGDOzZ J4MImGFb9h1lG7qBrJ3Psmzs292obZfA98oJstsTzd4tNwFQf5bp5pDJ KoU=

注意兩點:

  1. 標誌 -這+dnssec要求您的 DNS 伺服器驗證區域數據。
  2. 響應行中的條目adflags這證實了區域數據是正確的。

[如果區域數據不正確,伺服器將返回SERVFAIL錯誤]

但是,您的 DNS 伺服器實際上不會返回該ad標誌,除非它已配置為自行執行 DNSSEC 驗證。我的當然有。

您可以通過在named.conf文件中添加以下行來在遞歸 BIND 伺服器中啟用 DNSSEC:

   dnssec-enable yes;
   dnssec-validation yes;

以及根區域公鑰的副本。然後可以通過 DNS 層次結構跟踪簽名鏈來驗證其他域名。

您還需要一個相當新版本的 DNS 軟體——只有較新的版本支持用於對根進行簽名的 RSA/SHA-256 加密算法。這意味著 BIND 9.6.2+ 或 Unbound 1.4.0+

引用自:https://serverfault.com/questions/154016