我听到http://www.isoc.org/在其DNSlogging上有域名系统安全扩展 。
如何使用工具dig来查看和validationDNS?
dig命令很简单:
% dig +dnssec www.isoc.org. ; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec www.isoc.org. ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49304 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 7, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.isoc.org. IN A ;; ANSWER SECTION: www.isoc.org. 86382 IN A 212.110.167.157 www.isoc.org. 86382 IN RRSIG A 7 3 86400 20100706205007 20100622205007 56495 isoc.org. ETERh/blyD1LvW+hCeET9Zy/XTdTewilU8nhA5HCGtNoccdjPN/4pBg6 Vv2S/nJTZfQu7S1KwFJpijSg0n81A8Fpr1rjlS4AfKZgiSA6ureGDOzZ J4MImGFb9h1lG7qBrJ3Psmzs292obZfA98oJstsTzd4tNwFQf5bp5pDJ KoU=
注意两件事情:
+dnssec标志 – 这会要求您的DNS服务器validation区域数据。 flags行中的ad条目。 这确认了区域数据是正确的。 [如果区域数据不正确,服务器将返回一个SERVFAIL错误]
但是,您的DNS服务器实际上不会返回该ad标志,除非它已被configuration为自行执行DNSSECvalidation。 我的,当然。
您可以通过将以下行添加到named.conf文件中,在recursionBIND服务器中启用DNSSEC:
dnssec-enable yes; dnssec-validation yes;
和根区域公钥的副本。 其他域名可以通过在DNS层次结构中跟踪签名链来进行validation。
您还需要一个相当新的DNS软件版本 – 只有较新的版本支持将用于签名根的RSA / SHA-256encryptionalgorithm。 这意味着BIND 9.6.2+或Unbound 1.4.0+