我有一个查询延迟的差异。 这不是一个问题,这让我很担心。 客户机(Fedora 18)运行unbound-1.4.19-1.fc18.x86_64。 服务器机器(Debian 7testing)运行未绑定1.4.17-2。 两者都连接到同一个家庭路由器。 但是,服务器可以parsing非caching查询几乎两倍的速度。 这不是我所期望的! 服务器是一个1Ghz的ARM(sheevaplug),而客户机是一个2.1Ghz的Intel Core Duo。 两个实例都validation了DNSSEC。 他们返回SERVFAIL为www.dnssec-failed.org。 两者都configuration为使用来自ISP的相同上游DNScaching。 我所能想到的只是NAT的一些问题。 路由器被configuration为服务器“默认DMZ”,即它得到任何其他人没有声称的数据包,这就是我如何运行公共服务,如SSH和bittorrent :)。 或者…也许小版本-19比小版本-17更严格地validation,在某种程度上? testing方法:parsing.de的10个不存在的子域。 (应该导致ISPcaching未命中)。 .de。 TLD是通过查询雅虎预先加载的。 从客户端 $ for i in 1 2 3 4 5 6 7 8 9; do sudo unbound-control reload; (dig yahoo.de.; dig twitter$i.de.) | grep Query; done Result – mean 120ms, stddev 60ms […]
我已经为我的网域shabdiznet.com设置了DNSSEC,并在http://dnssec-debugger.verisignlabs.com/shabdiznet.com上检查了唯一的问题是 在com区域找不到shabdiznet.com的DSlogging 如你所见。 我也发现相同的老问题添加DSlogging到父母在DNS中没有回答我的问题,因为我已经完成了https://dlv.isc.org/ 。 如何提交DSlogging到.com区域? (请带样品)
这是我的设置 域名: nginx-repo [。] com(在GoDaddy注册) Nameserver:在Debian 7上运行BIND的DigitalOcean VM 我在虚拟机上为上述域创build了一个区域,然后使用dnssec-keygen和dnssec-signzone来设置和签署区域文件。 DSlogging # cat dsset-nginx-repo.com. nginx-repo.com. IN DS 22728 7 1 7EAA739B73EDB97A3E352435F7064D9865AAF45E nginx-repo.com. IN DS 22728 7 2 6812A504A54E37DDCBD3EB2913A53336AD4D132C619F7F98B45F91A6 98131231 现在我login到GoDaddy并尝试input第一个DSlogging,但得到了错误 – 我们无法validation您的数据在这个时候。 请稍后再试。 如果问题仍然存在,请联系客户支持。 所以我通过在线聊天联系了GoDaddy,简而言之就是发生了什么事情。 我:inputDSlogging时出现错误 他们:您需要 DNSSEC的高级DNS 我:但是您的文档( http://support.godaddy.com/help/article/6135/dnssec-faq )说我可以configuration自定义名称服务器的自pipe理 DNSSEC 他们 :是的,但你必须控制签署你的区域 我 :我的NS是在DigitalOcean VPS上托pipe的,我有root权限 他们 :但不是在这个帐户的区域文件必须由此帐户控制。 经过一番论证,这就是他们所说的 域名必须在高级DNS的同一个帐户内…大多数人也将在同一个帐户上拥有自己的VPS,以防止这样的交叉帐户错误 Me:: -S:-S:-S:-S 这里有什么问题? 我是否在BIND中错误地configuration了DNSSEC? 还是必须使用GoDaddy […]
我们在example.com正在迫使我们组织的子部门实施DNSSEC: security.example.com 。 我们当前的名称服务器ns1.example.com和ns2.example.com是未签名的非DNS服务器。 我们希望使用ns1.example.com作为隐藏的主数据,并按照以下方式在绑定中实现内联签名 : 示例#2 。 我们为example.com支持DNSSEC的新服务器将是dns1.example.com和dns2.example.com 。 我们希望将DSlogging发布到.com注册商,以便我们可以在内部testing新的DNSSEC服务器。 SOA将保持ns1.example.com ( NSlogging暂时不包括DNSSEC服务器)。 我的问题是: 如果我们为DSSS服务器发布DSlogging为.com ,那么当dnssecvalidationDNS服务器意识到在ns1.example.com或ns2.example.com没有DNSSECfunction时ns1.example.com ns2.example.com吗? 和 有没有其他的副作用,我们应该在这个混合安装了望?
我在VM-env中有一个可用的DNS,用于testing和学习目的。 这是一个完整的服务器从根域和一些子域。 我已经添加 dnssec-enable yes; 到named.conf中,还创build了ZSV和KSK键,并将它们附加到我的一个子域中。 我试图走容易的path,只能签署一个域名。 假设我有 home.garage.top 作为我的顶级域名和子域名,我想在家中签名,只有在家。 我用 dnssec-signzone -o home.db -N increment -k Khome.garage.top.+005+46921 home.db Khome.garage.top.+005+36051 这应该产生一个home.db.signed或home.signed,但它没有。 我得到的是 dnssec-signzone: error: dns_master_load: home.db:10: home.garage.top: not at top of zone dnssec-signzone: fatal: failed loading zone from 'home.db': not at top of zone 我究竟做错了什么?
我们将一个.se域名从一个瑞典小型注册商转移到了GoDaddy。 事实certificate,原始域具有DNSSEC设置,并且DSlogging在传输时不会从父区中删除(并且在GoDaddy上没有设置DNSKEYlogging)。 使用GoDaddy高级DNS,它被列为禁用DNSSEC,这也意味着它不承认有任何活动的DSlogging。 因此,我想从父区域中删除DSlogging,以防止DNSSEC身份validation失败,这似乎是导致一些问题。 和以往一样,GoDaddy是非常无用的(我们花了将近一年的时间试图转移域名,并转移它们一直说,问题是,互联网服务供应商阻止网站的IP这就是为什么有些人不能访问它,我认为这是不真实,并且由于DNSSEC问题而被阻止)。 任何人都可以向我解释如何注册商logging说,它没有安装时,我可以从父区域删除DSlogging? 无论如何,我可以让这些自己删除,否则应该GoDaddy肯定能够做到这一点呢? 感谢大家, 戴夫
encryptionOracle是在创build错误条件时可以推导出私钥的地方。 考虑到最近的ASP.NET填充Oracle攻击,任何人都可以告诉我,DNSSec实现是否受到类似的“encryptionOracle”攻击的保护?
我们正在运行一个运行BIND9服务器(以及许多其他服务)的稳定networking。 我正在学习并尝试重新组织旧的configuration文件以符合当前的要求(许多死机,未使用的名称,反向映射等等)。 同时,我很乐意遵循最佳做法,并通过DNSSEC保护DNS。 在检查configuration时,我偶然发现我们使用的TLD没有使用DNSSEC进行保护。 我的问题: 如果楼上的(在超级域名中)没有人这样做,那么有什么要说的吗(我敢打赌)在保护我们的DNS与DNSSEC? 我们的区域/域名空间在我们的大学领域,正下方ve. 空间(委内瑞拉TLD)。 就是说,像example.university.ve. 我们大学的DNS都没有保证。 如果我们应该确保我们的子域名,我仍然想知道如果有攻击者出现,那么不安全的TLD会造成什么样的问题。 PS:我使用的工具如http://dnsviz.net/和https://dnssec-debugger.verisignlabs.com/来检查DNSSEC confs。
我有一个dnssec到期,并重做一切,我得到以下错误没有从verisigndebugging发现RRSIGs 这些是我用来生成密钥和签名的确切步骤。 我错过了什么步骤? 脚步: emailer1 opendkim # dnssec-keygen -f KSK -r /dev/urandom -a RSASHA256 -b 2048 -n ZONE nyctelecomm.com Generating key pair……………+++ ……………….+++ Knyctelecomm.com.+008+63409 emailer1 opendkim # dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2048 -n ZONE nyctelecomm.com Generating key pair…………+++ ……………+++ Knyctelecomm.com.+008+30369 emailer1 opendkim # ls keys nyctelecomm.com.external KeyTable old Knyctelecomm.com.+008+30369.key opendkim.conf Knyctelecomm.com.+008+30369.private SigningTable Knyctelecomm.com.+008+63409.key […]
我在debian 8上对dnssec运行以下命令。但是我得到错误: # dnssec-signzone -A -3 $(head -c 1000 /dev/random | sha1sum | cut -b 1-16) -N INCREMENT -o myzone.local -t myzone.local.zone dnssec-signzone: warning: Kmyzone.local.+007+16956.key:5: no TTL specified; zone rejected dnssec-signzone: fatal: failed loading zone from 'myzone.local.zone': no ttl