hen*_*dry 5 domain-name-system dnssec dig
我听说http://www.isoc.org/在其 DNS 记录中有域名系统安全扩展。
如何使用该工具查看和验证 DNS dig?
Aln*_*tak 10
该dig命令很简单:
% dig +dnssec www.isoc.org.
; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec www.isoc.org.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49304
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 7, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.isoc.org. IN A
;; ANSWER SECTION:
www.isoc.org. 86382 IN A 212.110.167.157
www.isoc.org. 86382 IN RRSIG A 7 3 86400 20100706205007 20100622205007 56495 isoc.org. ETERh/blyD1LvW+hCeET9Zy/XTdTewilU8nhA5HCGtNoccdjPN/4pBg6 Vv2S/nJTZfQu7S1KwFJpijSg0n81A8Fpr1rjlS4AfKZgiSA6ureGDOzZ J4MImGFb9h1lG7qBrJ3Psmzs292obZfA98oJstsTzd4tNwFQf5bp5pDJ KoU=
注意两点:
+dnssec标志-这要求你的DNS服务器进行验证区数据。ad条目中flags的响应线。这确认区域数据是正确的。[如果区域数据不正确,服务器将SERVFAIL改为返回错误]
但是,您的 DNS 服务器实际上不会返回该ad标志,除非它已配置为自行执行 DNSSEC 验证。我的当然有。
您可以通过将以下几行添加到您的named.conf文件中,在您的递归 BIND 服务器中启用 DNSSEC :
dnssec-enable yes;
dnssec-validation yes;
以及根区公钥的副本。然后可以通过 DNS 层次结构遵循签名链来验证其他域名。
您还需要一个相当新版本的 DNS 软件 - 只有较新的版本才支持用于对根进行签名的 RSA/SHA-256 加密算法。这意味着 BIND 9.6.2+,或 Unbound 1.4.0+
| 归档时间: |
|
| 查看次数: |
11861 次 |
| 最近记录: |