这个暂时没有什么平台支持
我们需要在linux系统里 用dig测试
dnssec的支持需要好几个方面全部支持才可以
首先是DNS解析商 这个基本上国内都收费
国外的推荐CF 免费支持DNSSEC
而且需要把你的域名开通DNSSEC 这是第一步
然后需要设置本地的dns 目前支持的有
Google Public DNS: 8.8.8.8 | 8.8.4.4
Norton DNS: 199.85.126.20 | 199.85.127.20
Comodo DNS: 8.26.56.26 | 8.20.247.20
DNS Advantage: 156.154.70.1 | 156.154.71.1
NTT DNS: 129.250.35.250 | 129.250.35.251
Verizon DNS: 4..2.2.1 | 4.2.2.2 | 4.2.2.3 | 4.2.2.5 | 4.2.2.6
这些都弄好了
在linux下命令测试
如何判定一台DNS服务器是否支持DNSSEC呢?
很简单,还是用dig命令。dig命令参考手册
方法A:检查一个有DNSSEC签名的域名的RRSIG(Resource Record Signature)
为了让结果看得更清楚,我们找一个配置了DNSSEC签名的域名(paypal.com),一个支持DNSSEC的DNS服务器(4.2.2.4),和一个不支持DNSSEC的DNS服务器(114.114.114.114)。
使用支持DNSSEC的4.2.2.4查询结果如下:
- root@OpenWrt:~# dig paypal.com +dnssec @4.2.2.4
- ; <<>> DiG 9.9.4 <<>> paypal.com +dnssec @4.2.2.4
- ;; global options: +cmd
- ;; Got answer:
- ;; –>>HEADER<<– opcode: QUERY, status: NOERROR, id: 48979
- ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
- ;; OPT PSEUDOSECTION:
- ; EDNS: version: 0, flags: do; udp: 4096
- ;; QUESTION SECTION:
- ;paypal.com. IN A
- ;; ANSWER SECTION:
- paypal.com. 293 IN A 66.211.169.3
- paypal.com. 293 IN A 66.211.169.66
- paypal.com. 293 IN RRSIG A 5 2 300 20140728175119 20140628172604 11811 paypal.com. ka3J7csLBUiZIrh7YTKJ7eUBzpACe7jmr6M2wURsNCQ/dFjB9Jl018OZ 6i3BzzSYqSS2jw9TmVZMKxRLH3cmt5jc1BNI6Q9uB46DLpJJoAmXQ1rQ ss37Mb4BlK8dD4rxLJmEJh19+Kg8xXxE8iGYwLM7tkyayIjVdxbt80TE vgg=
- ;; Query time: 224 msec
- ;; SERVER: 4.2.2.4#53(4.2.2.4)
- ;; WHEN: Tue Jul 15 21:49:25 CST 2014
- ;; MSG SIZE rcvd: 241
使用不支持DNSSEC的114.114.114.114查询结果如下:
- root@OpenWrt:~# dig paypal.com +dnssec @114.114.114.114
- ; <<>> DiG 9.9.4 <<>> paypal.com +dnssec @114.114.114.114
- ;; global options: +cmd
- ;; Got answer:
- ;; –>>HEADER<<– opcode: QUERY, status: NOERROR, id: 12717
- ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
- ;; QUESTION SECTION:
- ;paypal.com. IN A
- ;; ANSWER SECTION:
- paypal.com. 300 IN A 66.211.169.3
- paypal.com. 300 IN A 66.211.169.66
- ;; Query time: 577 msec
- ;; SERVER: 114.114.114.114#53(114.114.114.114)
- ;; WHEN: Tue Jul 15 21:49:57 CST 2014
- ;; MSG SIZE rcvd: 60
我们可以看到,支持DNSSEC的服务器多返回了一串非常长的RRSIG(Resource Record Signature),这就是DNSSEC中非常重要的数据签名。
而不支持DNSSEC的服务器就完全没有返回这些信息了,由此我们可以很容易区分一台DNS服务器是否支持DNSSEC。
不过,目前配置了DNSSEC签名的域名非常少,据我所知一般有些国外政府域名有,当然paypal也有,而国内几乎没有(国内的支付宝并没有)。
如果一个域名本身就没有配置DNSSEC签名,那么无论你是通过什么样的DNS服务器查询dnssec数据,结果都是一样的。
那如果我们不知道哪些域名配置了DNSSEC签名,难道就无法验证DNS服务器是否支持DNSSEC了?
详细https://www.31du.cn/blog/check-dnssec.html