यदि कोई डोमेन DNSSEC का उपयोग करता है तो मैं कैसे जांच सकता हूं?


20

DNSSEC को अभी कुछ शीर्ष क्षेत्रों पर तैनात किया गया है। लेकिन मैं कैसे देख सकता हूं कि कोई साइट / डोमेन DNSSEC का उपयोग कर रहा है? क्या यह ब्राउज़र में दिखाया गया है? या इसे देखने के लिए कोई विंडोज़ या लिनक्स कमांड है? या इसके लिए एक उपकरण?

जवाबों:


19

dig [zone] dnskey

यदि क्षेत्र में आवश्यक DNSKEY RRset है जो क्षेत्र में RRsets को मान्य करने के लिए उपयोग किया जाएगा तो आपको दिखाएगा।

यदि आप देखना चाहते हैं कि क्या आपका पुनरावर्ती सर्वर ज़ोन को मान्य कर रहा है,

dig +dnssec [zone] dnskey

यह आउटबाउंड क्वेरी पर डीओ (dnssec OK) बिट सेट करेगा और अपस्टॉल रिज़ॉल्वर को AD (प्रामाणिक डेटा) बिट को रिटर्न पैकेट पर सेट करने का कारण देगा यदि डेटा मान्य है और आपको संबंधित RRBIGIG (यदि क्षेत्र में है) प्रश्न पर हस्ताक्षर किए गए हैं) भले ही वह प्रतिक्रिया को सत्यापित करने में सक्षम न हो।

आप मेरी "DNSSEC इन 6 मिनट्स" प्रस्तुति (DNSSEC डिबगिंग के बारे में बहुत कुछ) पर स्लाइड के अंतिम समूह पर एक नज़र डालना चाहते हैं । DNSSEC की तैनाती के बारे में यह प्रस्तुति थोड़ी लंबी है (आपको वास्तव में अच्छे सामान के लिए BIND 9.7 दिखना चाहिए), लेकिन डिबगिंग में थोड़ा बदलाव आया है।

BAN 9.7 DNSSEC परिनियोजन के बारे में NANOG 50 में मैंने एक प्रस्तुति भी दी है ।


2
मुझे सर्वरफॉल्ट पर यह स्वीकार करने के लिए कहा गया है कि मैं वास्तव में ISC, BIND और ISC DHCP के अनुरक्षकों के लिए काम करता हूं। मैं किसी की भी मदद करने में अधिक खुश हूं जो किसी एक (समय की अनुमति) के साथ समस्या है।
नॉबी

"6 मिनट में DNSSEC" के लिए आपकी स्लाइड्स अब 404 देती हैं। क्या कोई नया URL है?
.40

नया URL प्रतीत होता है: kb.isc.org/article/AA-00820/0/DNSSEC-in-6-minutes.html
e40

5

मुझे विश्वास नहीं है कि यह वर्तमान में ब्राउज़र में दिखाया गया है।

फ़ायरफ़ॉक्स के लिए एक एक्सटेंशन है जो वह कर सकता है जो आप चाहते हैं:

वैकल्पिक रूप से, शायद इन उपकरणों में से एक?


-1

टर्मिनल पर: खुदाई करें tunnelix.com + dnssec

आपको RRSIG (RRset Signature) खोजने की जरूरत है जो DNSSEC हस्ताक्षर की ओर इशारा करता है।

उदाहरण 1 से उत्तर: tunnelix.com 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com Bqc6weQYQyCy8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2GG0dLFLPDNfVdZ9RmPRlbNvQw ==

अन्यथा, ऑनलाइन DNSSEC चेकर के माध्यम से अपने DNSSEC को मान्य करें। https://dnssec-debugger.verisignlabs.com

अधिक जानकारी के लिए इन लिंक को देखें जो उपयोगी हो सकते हैं:

https://tunnelix.com/counter-dns-attack-enabling-dnssec/

https://tunnelix.com/anatomy-of-a-simple-dig-result/


2
जब भी यह सैद्धांतिक रूप से प्रश्न का उत्तर दे सकता है, तो उत्तर के आवश्यक भागों को शामिल करना और संदर्भ के लिए लिंक प्रदान करना बेहतर होगा
बर्टिएब

मैंने अनुरोध के अनुसार उत्तर अपडेट किया। धन्यवाद
नितिन जम्मू Mutkawoa
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.