domain-name-system – 查询和验证dnssec

概述我听说 http://www.isoc.org/的DNS记录有 Domain Name System Security Extensions. 如何使用挖掘工具查看和验证DNS？ dig命令很简单： % dig +dnssec www.isoc.org.; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec www.isoc.org.;; global options: 我听说 http://www.isoc.org/的DNS记录有 Domain Name System Security Extensions.

如何使用挖掘工具查看和验证DNS？

解决方法 dig命令很简单：

% dig +dnssec www.isoc.org.; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec www.isoc.org.;; global options: +cmd;; Got answer:;; ->>header<<- opcode: query,status: NOERROR,ID: 49304;; flags: qr rd ra ad; query: 1,ANSWER: 2,AUTHORITY: 7,ADDITIONAL: 1;; OPT PSEUDOSECTION:; ednS: version: 0,flags: do; udp: 4096;; QUESTION SECTION:;www.isoc.org.          IN  A;; ANSWER SECTION:www.isoc.org.       86382   IN  A   212.110.167.157www.isoc.org.       86382   IN  RRSIG   A 7 3 86400 20100706205007 20100622205007 56495 isoc.org. ETERh/blyD1LvW+hCeET9Zy/XTdTewilU8nhA5HCGtNoccdjPN/4pBg6 Vv2S/nJTZfQu7S1KwFJpiJsg0n81A8Fpr1rjlS4AfKZgiSA6ureGDOzZ J4MimgFb9h1lG7qBrJ3Psmzs292obZfA98oJstsTzd4tNwFQf5bp5pDJ KoU=

注意两件事：

> dnssec标志 – 这会要求您的DNS服务器验证区域数据.
>响应标志行中的广告条目.这确认了区域数据是正确的.

[如果区域数据不正确,服务器将返回SERVFAIL错误]

但是,除非已将DNS服务器配置为自行执行DNSSEC验证,否则您的DNS服务器实际上不会返回该广告标志.我当然有.

您可以通过在named.conf文件中添加以下行来在递归BIND服务器中启用DNSSEC：

dnssec-enable yes;    dnssec-valIDation yes;

和根区域的公钥的副本.然后,可以通过DNS层次结构跟踪签名链来验证其他域名.

您还需要一个相当新版本的DNS软件 – 只有较新版本支持RSA / SHA-256加密算法,该算法将用于签署根.这意味着BIND 9.6.2或Unbound 1.4.0

总结

以上是内存溢出为你收集整理的domain-name-system – 查询和验证dnssec全部内容，希望文章能够帮你解决domain-name-system – 查询和验证dnssec所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。