查询和验证dnssec
查询和验证dnssec
提问于 2010-06-23 13:39:05
我听说http://www.isoc.org/的DNS记录上有域名系统安全扩展。
如何使用工具dig查看和验证DNS?
回答 1
Server Fault用户
回答已采纳
发布于 2010-06-23 15:58:40
dig命令很简单:
% dig +dnssec www.isoc.org.
; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec www.isoc.org.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49304
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 7, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.isoc.org. IN A
;; ANSWER SECTION:
www.isoc.org. 86382 IN A 212.110.167.157
www.isoc.org. 86382 IN RRSIG A 7 3 86400 20100706205007 20100622205007 56495 isoc.org. ETERh/blyD1LvW+hCeET9Zy/XTdTewilU8nhA5HCGtNoccdjPN/4pBg6 Vv2S/nJTZfQu7S1KwFJpijSg0n81A8Fpr1rjlS4AfKZgiSA6ureGDOzZ J4MImGFb9h1lG7qBrJ3Psmzs292obZfA98oJstsTzd4tNwFQf5bp5pDJ KoU=注意两件事:
+dnssec标志-这要求您的DNS服务器验证区域数据。- 响应的
ad行中的flags条目。这证实了区域数据是正确的。
如果区域数据不正确,服务器将返回SERVFAIL错误代替
但是,您的DNS服务器实际上不会返回该ad标志,除非它已经配置为执行DNSSEC验证本身。当然我的也有。
通过在named.conf文件中添加以下行,可以在递归绑定服务器中启用DNSSEC:
dnssec-enable yes;
dnssec-validation yes;和根区域的公钥的副本。然后,可以通过DNS层次结构跟踪签名链来验证其他域名。
您还需要一个较新版本的DNS软件--只有较新的版本支持RSA/SHA-256加密算法,该算法将用于对根进行签名。这意味着绑定9.6.2+或未绑定的1.4.0+
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/154016
复制相关文章
相似问题
腾讯云开发者
