¿Cómo puedo verificar si un dominio usa DNSSEC?

20

DNSSEC se ha implementado en algunos dominios superiores ahora. Pero, ¿cómo podría ver si un sitio / dominio está usando DNSSEC? ¿Se muestra en el navegador? ¿o hay algún comando de Windows o Linux para verlo? o una herramienta para ello?

Jonas
fuente

Respuestas:

19

dig [zone] dnskey

Eso le mostrará si hay el DNSKEY RRset requerido en la zona que se utilizará para validar los RRsets en la zona.

Si desea ver si su servidor recursivo está validando la zona,

dig +dnssec [zone] dnskey

Esto establecerá el bit DO (dnssec OK) en la consulta saliente y hará que el solucionador ascendente establezca el bit AD (datos autenticados) en el paquete de retorno si los datos están validados y también le proporcionará los RRSIG relacionados (si la zona en la pregunta está firmada) incluso si no puede validar la respuesta.

Es posible que desee echar un vistazo al último grupo de diapositivas en mi presentación "DNSSEC en 6 minutos" (muchas sobre la depuración de DNSSEC). Esa presentación es un poco larga sobre la implementación de DNSSEC (realmente debería mirar BIND 9.7 para las cosas buenas), pero la depuración ha cambiado poco.

También hay una presentación que hice en NANOG 50 sobre la implementación de BIND 9.7 DNSSEC .

Knobee
fuente
2
En serverfault me ​​pidieron que admitiera que realmente trabajo para ISC, los encargados de BIND e ISC DHCP. Estoy más que feliz de ayudar a cualquiera que tenga problemas con cualquiera de ellos (si el tiempo lo permite).
Knobee el
Sus diapositivas para "DNSSEC en 6 minutos" dan un 404 ahora. ¿Hay una nueva URL?
e40
-1

En la terminal: dig tunnelix.com + dnssec

Necesita encontrar el RRSIG (Firma RRset) que apunta a una firma DNSSEC.

Respuesta del Ejemplo 1: tunnelix.com. 300 IN RRSIG A 13 2300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==

De lo contrario, valide su DNSSEC a través del verificador DNSSEC gratuito en línea. https://dnssec-debugger.verisignlabs.com

Para obtener más información, consulte estos enlaces que pueden ser útiles:

https://tunnelix.com/counter-dns-attack-enabling-dnssec/

https://tunnelix.com/anatomy-of-a-simple-dig-result/

Nitin J Mutkawoa
fuente
2
Si bien esto puede responder teóricamente la pregunta, sería preferible incluir aquí las partes esenciales de la respuesta y proporcionar el enlace para referencia.
bertieb
Actualicé la respuesta según lo solicitado. Gracias
Nitin J Mutkawoa