这个暂时没有什么平台支持

我们需要在linux系统里 用dig测试

dnssec的支持需要好几个方面全部支持才可以

首先是DNS解析商 这个基本上国内都收费

国外的推荐CF 免费支持DNSSEC

而且需要把你的域名开通DNSSEC  这是第一步

然后需要设置本地的dns  目前支持的有

 

Google Public DNS: 8.8.8.8 | 8.8.4.4

Norton DNS: 199.85.126.20 | 199.85.127.20

Comodo DNS: 8.26.56.26 | 8.20.247.20

DNS Advantage: 156.154.70.1 | 156.154.71.1

NTT DNS: 129.250.35.250 | 129.250.35.251

Verizon DNS: 4..2.2.1 | 4.2.2.2 | 4.2.2.3 | 4.2.2.5 | 4.2.2.6

 

 

这些都弄好了

在linux下命令测试

如何判定一台DNS服务器是否支持DNSSEC呢?

很简单,还是用dig命令。dig命令参考手册

方法A:检查一个有DNSSEC签名的域名的RRSIG(Resource Record Signature)

为了让结果看得更清楚,我们找一个配置了DNSSEC签名的域名(paypal.com),一个支持DNSSEC的DNS服务器(4.2.2.4),和一个不支持DNSSEC的DNS服务器(114.114.114.114)。

使用支持DNSSEC的4.2.2.4查询结果如下:

  1. root@OpenWrt:~# dig paypal.com +dnssec @4.2.2.4
  3. ; <<>> DiG 9.9.4 <<>> paypal.com +dnssec @4.2.2.4
  4. ;; global options: +cmd
  5. ;; Got answer:
  6. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48979
  7. ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
  9. ;; OPT PSEUDOSECTION:
  10. ; EDNS: version: 0, flags: do; udp: 4096
  11. ;; QUESTION SECTION:
  12. ;paypal.com. IN A
  14. ;; ANSWER SECTION:
  15. paypal.com. 293 IN A 66.211.169.3
  16. paypal.com. 293 IN A 66.211.169.66
  17. paypal.com. 293 IN RRSIG A 5 2 300 20140728175119 20140628172604 11811 paypal.com. ka3J7csLBUiZIrh7YTKJ7eUBzpACe7jmr6M2wURsNCQ/dFjB9Jl018OZ 6i3BzzSYqSS2jw9TmVZMKxRLH3cmt5jc1BNI6Q9uB46DLpJJoAmXQ1rQ ss37Mb4BlK8dD4rxLJmEJh19+Kg8xXxE8iGYwLM7tkyayIjVdxbt80TE vgg=
  19. ;; Query time: 224 msec
  20. ;; SERVER: 4.2.2.4#53(4.2.2.4)
  21. ;; WHEN: Tue Jul 15 21:49:25 CST 2014
  22. ;; MSG SIZE rcvd: 241

使用不支持DNSSEC的114.114.114.114查询结果如下:

  1. root@OpenWrt:~# dig paypal.com +dnssec @114.114.114.114
  3. ; <<>> DiG 9.9.4 <<>> paypal.com +dnssec @114.114.114.114
  4. ;; global options: +cmd
  5. ;; Got answer:
  6. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12717
  7. ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
  9. ;; QUESTION SECTION:
  10. ;paypal.com. IN A
  12. ;; ANSWER SECTION:
  13. paypal.com. 300 IN A 66.211.169.3
  14. paypal.com. 300 IN A 66.211.169.66
  16. ;; Query time: 577 msec
  17. ;; SERVER: 114.114.114.114#53(114.114.114.114)
  18. ;; WHEN: Tue Jul 15 21:49:57 CST 2014
  19. ;; MSG SIZE rcvd: 60

我们可以看到,支持DNSSEC的服务器多返回了一串非常长的RRSIG(Resource Record Signature),这就是DNSSEC中非常重要的数据签名。

而不支持DNSSEC的服务器就完全没有返回这些信息了,由此我们可以很容易区分一台DNS服务器是否支持DNSSEC。

不过,目前配置了DNSSEC签名的域名非常少,据我所知一般有些国外政府域名有,当然paypal也有,而国内几乎没有(国内的支付宝并没有)。

如果一个域名本身就没有配置DNSSEC签名,那么无论你是通过什么样的DNS服务器查询dnssec数据,结果都是一样的。

那如果我们不知道哪些域名配置了DNSSEC签名,难道就无法验证DNS服务器是否支持DNSSEC了?

详细https://www.31du.cn/blog/check-dnssec.html

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。