如何验证DNS服务器是否支持DNSSEC

如何验证DNS服务器是否支持DNSSEC~

dns攻击主要有以下这几种方式：
DNS缓存感染
攻击者使用DNS请求，将数据放入一个具有漏洞的的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户，从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上，或者通过伪造的邮件和其他的server服务获取用户口令信息，导致客户遭遇进一步的侵害。
DNS信息劫持
TCP/IP体系通过序列号等多种方式避免仿冒数据的插入，但入侵者如果通过监听客户端和DNS服务器的对话，就可以猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。假设当提交给某个域名服务器的域名解析请求的DNS报文包数据被截获，然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者。原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行访问，这样他就被欺骗到了别处而无妨连接想要访问的那个域名。
DNS重定向
攻击者将DNS名称查询重定向到恶意DNS服务器上,被劫持域名的解析就完全在攻击者的控制之下。
ARP欺骗
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP病毒，则感染该ARP病毒的系统将会试图通过”ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。
ARP欺骗通常是在用户局网中，造成用户访问域名的错误指向。如果IDC机房也被ARP病毒入侵后，则也可能出现攻击者采用ARP包压制正常主机、或者压制DNS服务器，以使访问导向错误指向的情况。
本机劫持
本机的计算机系统被木马或流氓软件感染后，也可能会出现部分域名的访问异常。如访问挂马或者钓鱼站点、无法访问等情况。本机DNS劫持方式包括hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式。
防范Arp攻击、采用UDP随机端口、建立静态IP映射、运行最新版本的BIND、限制查询、利用防火墙进行保护、利用交叉检验、使用TSIG机制、利用DNSSEC机制。
下面分别做出说明。
防范Arp攻击
主要是针对局域网的DNS ID欺骗攻击。如上所述，DNS ID欺骗是基于Arp欺骗的，防范了Arp欺骗攻击，DNS ID欺骗攻击是无法成功实施的。
采用UDP随机端口
不再使用默认的53端口查询，而是在UDP端口范围内随机选择，可使对ID与端口组合的猜解难度增加6万倍，从而降低使DNS缓存攻击的成功率。
建立静态IP映射
主要是指DNS服务器对少部分重要网站或经常访问的网站做静态映射表，使对这些网站的访问不再需要经过缓存或者向上一级的迭代查询，从而在机制上杜绝DNS欺骗攻击。
运行最新版本的BIND
使用最新版本的BIND，可以防止已知的针对DNS软件的攻击(如DoS攻击、缓冲区溢出漏洞攻击等)。应密切关注BIND安全公告，及时打好补丁。
限制查询
在BIND8和BIND9之后，BIND的allow-query子句允许管理员对到来的查询请求使用基于IP地址的控制策略，访问控制列表可以对特定的区甚至是对该域名服务器受到的任何查询请求使用限制策略。如限制所有查询、限制特定区的查询、防止未授权的区的查询、以最少权限运行BIND等。
利用防火墙进行保护
这种保护方式可以使受保护的DNS服务器不致遭受分布式拒绝服务攻击、软件漏洞攻击。原理是在DNS服务器主机上建立一个伪DNS服务器共外部查询，而在内部系统上建立一个真实的DNS服务器专供内部使用。配置用户的内部DNS客户机，用于对内部服务器的所有查询，当内部主机访问某个网站时，仅当内部DNS服务器上没有缓存记录时，内部DNS才将查询请求发送到外部DNS服务器上，以保护内部服务器免受攻击。
利用交叉检验
这种保护方式可以从一定程度上防范DNS欺骗攻击。原理是反向查询已得到的IP地址对应的主机名，用该主机名查询DNS服务器对应于该主机名的IP地址，如果一致，则请求合法，否则非法。
使用TSIG机制
TSIF(事物签名)机制(RFC2845)通过使用共享密钥(Secret Key)及单向散列函数(One-way hash function)提供信息的验证以及数据的完整性。当配置了TSIG后，DNS消息会增加一个TSIF记录选项，该选项对DNS消息进行签名，为消息发送者和接受者提供共享密钥，从而保证了传输数据不被窃取和篡改。TSIP机制的部署步骤不做赘述，相关RFC文档有详细说明。
利用DNSSEC机制
为保证客户机发送的解析请求的完整性，保护DNS服务器及其中的信息，防止入侵者冒充合法用户向他人提供虚假DNS信息，IETF(网络工程任务组)提出了DNS安全扩展(DNSSEC)的安全防范思想。
1、 DNSSEC工作原理
为提高DNS访问数据包的安全性，DNSSEC在兼容现有协议的基础上引入加密和认证体系，在每个区域都有一对区域级的密钥对，密钥对中的公钥对域名记录信息进行数字签名，从而使支持DNSSEC的接收者可以校验应答信息的可靠性。
BIND9.0支持DNS的安全扩展功能?。DNSSEC引入两个全新的资源记录类型：KEY和SIG，允许客户端和域名服务器对任何DNS数据来源进行密钥验证。DNSSEC主要依靠公钥技术对于包含在DNS中的信息创建密钥签名，密钥签名通过计算出一个密钥Hash数来提供DNS中数据的完整性，并将该Hash数封装进行保护。私/公钥对中的私钥用来封装Hash数，然后可以用公钥把Hash数翻译出来。如果这个翻译出的Hash值匹配接收者计算出来的Hash数，那么表明数据是完整的、没有被篡改的。
2、 DNSSEC的实施
1)、创建一组密钥对
#cd/vat/named
#dnssec -keygen -a RSA -b 512 -n ZONE qfnu.edu.Kqfnu.edu+002+27782
2)、生成密钥记录
#dnssec –makekeyset -t 172802 I
3)、发送密钥文件到上一级域管理员，以供签名使用
#dnssec -signkey keyset -qfnu.edu Kedu.+002+65396.private
然后将返回qfnu.edu.signedkey文件
4)、在进行区域签名之前，必须先将密钥记录添加到区域数据文件之中
#cat“$include Kqfnn.edu.+002+27782.key”>>db.qfnu.edu
5)、对区域进行签名
#dnssec –signzone -O qfnu.edu db.qfnu.edu
6)、修改named.conf里的zone语句，系统将会载新的区域数据文件
3、 DNSSEC的不足
一方面，DNSSEC安全性虽然有所提高，但是标记和校验必然产生额外的开销，从而影响网络和服务器的性能，签名的数据量很大，家中了域名服务器对骨干网以及非骨干网连接的负担，同时简明校验也对CPU造成了很大的负担，同时签名和密钥也占用了占用的磁盘空间以及RAM容量。
另一方面，安全性能方面的考虑。绝大多数的DNS软件是美国出口的，它们为了通过美国政府的安全规定而被迫降低加密算法和过程的安全强度。
第三方面，RSA算法的使用。RSA拥有美国专利，与某些厂商和组织倡导的“免费/开放”目标有所冲突，但是同时又别无选择。在成本方面也是部署中的一个问题。

是属于域名保护管理权状态，这项比较重要，否则在域名被设置情况下，别人只要知道域名密码，就可以把域名转移到自己的代理号下，这设置了域名禁止转移也就相当于域名锁定，有些域名会这样显示。

检查一个有DNSSEC签名的域名的RRSIG(Resource Record Signature)

为了让结果看得更清楚，找一个配置了DNSSEC签名的域名(paypal.com)，一个支持DNSSEC的DNS服务器(4.2.2.4)，和一个不支持DNSSEC的DNS服务器(114.114.114.114)

使用支持DNSSEC的4.2.2.4查询结果如下

root@OpenWrt:~# dig paypal.com +dnssec @4.2.2.4

; <<>> DiG 9.9.4 <<>> paypal.com +dnssec @4.2.2.4
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48979
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;paypal.com.                    IN      A

;; ANSWER SECTION:
paypal.com.             293     IN      A       66.211.169.3
paypal.com.             293     IN      A       66.211.169.66
paypal.com.             293     IN      RRSIG   A 5 2 300 20140728175119 20140628172604 11811 paypal.com. ka3J7csLBUiZIrh7YTKJ7eUBzpACe7jmr6M2wURsNCQ/dFjB9Jl018OZ 6i3BzzSYqSS2jw9TmVZMKxRLH3cmt5jc1BNI6Q9uB46DLpJJoAmXQ1rQ ss37Mb4BlK8dD4rxLJmEJh19+Kg8xXxE8iGYwLM7tkyayIjVdxbt80TE vgg=

;; Query time: 224 msec
;; SERVER: 4.2.2.4#53(4.2.2.4)
;; WHEN: Tue Jul 15 21:49:25 CST 2014
;; MSG SIZE  rcvd: 241

使用不支持DNSSEC的114.114.114.114查询结果如下：

root@OpenWrt:~# dig paypal.com +dnssec @114.114.114.114

; <<>> DiG 9.9.4 <<>> paypal.com +dnssec @114.114.114.114
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12717
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;paypal.com.                    IN      A

;; ANSWER SECTION:
paypal.com.             300     IN      A       66.211.169.3
paypal.com.             300     IN      A       66.211.169.66

;; Query time: 577 msec
;; SERVER: 114.114.114.114#53(114.114.114.114)
;; WHEN: Tue Jul 15 21:49:57 CST 2014
;; MSG SIZE  rcvd: 60

可以看到，支持DNSSEC的服务器多返回了一串非常长的RRSIG(Resource Record Signature)，这就是DNSSEC中非常重要的数据签名。

而不支持DNSSEC的服务器就完全没有返回这些信息了，由此可以很容易区分一台DNS服务器是否支持DNSSEC。

不过，目前配置了DNSSEC签名的域名非常少，一般有些国外政府域名有，当然paypal也有，而国内几乎没有。

如果一个域名本身就没有配置DNSSEC签名，那么无论你是通过什么样的DNS服务器查询dnssec数据，结果都是一样的。

---

乌拉特前旗18340203023： 请问怎样才能知道DNS服务器地址是否可用?谢谢! - ？
敛翁保妇： 根据上面的图看来你的DNS服务器是可用的.如果显示如下图所示,证明是不可用的,如下图:

乌拉特前旗18340203023： DNS是否可用怎么检查?？
敛翁保妇： 开始,运行,CMD,在命令窗口输入NSLOOKUP 然后随便输入个网站比如www.baidu.com 看看能不能解析,就知道DNS能不能用了 前提是你要保证你能上外网

乌拉特前旗18340203023： 如何确定DNS是否能用 - ？
敛翁保妇： 如果是自己架设的dns服务器,要判断是否正常工作,可以通过nslookup来进行.或是通过winmdns智能解析软件程序,有一个专门测试域名解析是否正常的功能来进行.

乌拉特前旗18340203023： 如何验证DNS服务器是否支持DNSSEC - ？
敛翁保妇： dns攻击主要有以下这几种方式:DNS缓存感染 攻击者使用DNS请求,将数据放入一个具有漏洞的的DNS服务器的缓存当中.这些缓存信息会在客户进行DNS访问时返回给用户,从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓...

乌拉特前旗18340203023： 怎么验证DNS是否成功求大神帮助 - ？
敛翁保妇： 可以用nslookup命令 在ms-dos中,输入nslookup命令,然后输入域名,回车,如果解析成功,下面将会显示域名和相应的IP地址,这样就可以说是成功了~~ 使用DNSlint工具 详细的请见: http://bbs.winos.cn/viewthread.php?tid=254

乌拉特前旗18340203023： 计算机网络的一道大题 求 验证网络适配器是否工作正常 验证网络线路是否正确 验证DNS是否正确 验证网络网 - ？
敛翁保妇： 验证网络适配器是否工作正常 验证网络线路是否正确(ping 127.0.1 ping通代表正常工作) 验证DNS是否正确(ipconfig /all 查看DNS服务器是否是该网络运营商的DNS服务器IP地址) 验证网络网关是否正确(在浏览器地址栏输入网关地址,能正确访问就代表网关填写正确!)

乌拉特前旗18340203023： 怎么看dns是否被劫持? - ？
敛翁保妇： 1、在电脑桌面右下角的网络图标上点击鼠标右键,在弹出的选项中,点击“打开网络和共享中心” 2、在打开的网络和共享中心,点击已经连接的网络名称,之后会打开网络状态. 3、然后点击网络状态下面的“属性”,在弹出的网络属性对话框,先选中“Internet版本协议4(TCP/IPv4)”,然后再点击下方的“属性”. 4、最后就可以看到电脑设置的DNS地址了,如果自己之前没有设置过,默认是自动获取的,如果之前为设置过电脑DNS地址,但这里显示是手动设置的陌生DNS地址,则说明电脑DNS地址遭篡改. 如果确认电脑DNS地址遭到篡改,可以改成自动获取,然后点击底部的“确定”保存即可.

乌拉特前旗18340203023： 怎么确定DNS配置成功 - ？
敛翁保妇： DNS就是网络提供商的解析服务器IP地址,电脑上一般不需特别设置,通过猫猫进来的信号,通过设置自动获取就可以.如果通过路由器,路由器也会自动获取. 如果非要找到且设置,可以点击网络小图标,然后点支持,点详细情况,就可以看到DNS的IP地址,记下把它填到路由器的DNS一栏,如果没有连接路由器,可以填入电脑获取DNS的栏目里.点电脑小图标,弹出画面点属性,再点IP/TCP协议,点属性,就能看到设置了(目前填写意义不大).自动获取就可以了.除非是局域网.

乌拉特前旗18340203023： 如何使用nslookup命令检查DNS服务器 - ？
敛翁保妇： 如果要对DNS服务器排错,或者想要检查DNS服务器的信息,可以使用nslookup命令.在网络中的任何一台工作站上,运行nslookup命令,即可测试DNS工作是否正常,操作步骤如下: ①选择“开始”→“运行”命令,显示“运行”对话框,在文本框中,输入“cmd”,单...

乌拉特前旗18340203023： 如何检验主机的DNS是否设置正确? - ？
敛翁保妇： 因为DNS是用来解释你的IP的,你可能设为自动DNS,就是DNS哪里不要写,就说是DNS正确的.第二,如果不能上网,你可以试一下上网,如果你设的哪台机可以上网第一.第三,你要打电话问你的上网服务商,他们提供一个DNS给你的