Come testare la validità di DNSSEC da un'interfaccia della riga di comando?

6

Sto facendo un progetto di ricerca su The Domain Name System Security Extensions ( DNSSEC ).

Ho un SOA, un risolutore Stub e un client, nonché una macchina d'attacco.

La mia domanda è questa. C'è un modo per testare la validità del record, dopo un attacco di avvelenamento DNS su un client Linux. Questo controllo deve essere eseguito da un'interfaccia della riga di comando.

Ho verificato che i record DNSSEC sono impostati.

    
posta anzenketh 24.09.2012 - 06:58
fonte

1 risposta

6

In base al link :

Ottieni le chiavi di root. Puoi farlo con una macchina non coperta :

dig . DNSKEY | grep -Ev '^($|;)' > root.keys

Verifica il record dns di destinazione:

dig +sigchase +trusted-key=./root.keys www.eurid.eu. A | cat -n

L'altra alternativa è impostare un risolutore DNS di convalida come non associato. Lo uso per fornire la sicurezza DNSSEC su macchine desktop. È facilmente disponibile in Fedora 17 . Oppure BIND in Debian 7.0 . Ho dimenticato se ci sono pacchetti debian che vengono impostati non associati, ma non è nemmeno difficile da fare manualmente.

Quindi esegui scavare contro il tuo resolver sicuro, e mostrerà un errore piatto (SERVFAIL, credo) se ci sono risultati non validi. È inoltre possibile configurare non associato per registrare i dettagli su ogni errore di convalida.

    
risposta data 24.09.2012 - 13:47
fonte

Leggi altre domande sui tag