저는 데스크탑용으로 Fedora를 사용하고 있습니다.
yum -y install caching-nameserver
service named restart
chkconfig --level 5 named on
그리고 네임서버를 127.0.0.1로 설정합니다. 만약 내가:
dig google.com | grep SERVER
;; SERVER: 127.0.0.1#53(127.0.0.1)
그러면 문제가 없을 것 같은데요... 아까 설치한 로컬 DNS 캐시 서버를 사용하고 있습니다! 환호! (내 ISP는 더 이상 형편없는 DNS를 제공하지 않습니다.)
그런 다음 시도했습니다 tcpdump
.
tcpdump -n -i eth0 dst port 53
내 로컬 DNS 서버가 확인을 위해 ISP의 DNS 서버를 사용하지 않고 루트 서버(IP 주소) DNS 서버를 사용하여 내 도메인 이름(웹 브라우저에 입력한 도메인 이름)을 확인하고 있음을 알 수 있습니다.
질문 1: 내 로컬 DNS 캐싱 서버가 진짜인가요?전용해결을 위한 루트 서버 DNS 서버?
질문 2: 사용하는 경우DNSSECDNS와 관련하여 더 많은 보안을 제공합니다. 그러면 DNSSEC만 사용하고 허용하도록 내 컴퓨터/로컬 DNS 캐시를 어떻게 설정합니까? 몇 년 전(?) 루트 DNS 서버에 DNSSEC가 배포된 것 같아요.
고쳐 쓰다: 뭔가 잘못 이해했습니다. 필요한 DNSSEC만 사용하려면: 액세스하는 도메인의 모든 NS는 DNSSEC를 사용하도록 구성해야 합니다. 이는 널리 사용되지 않으므로 DNSSEC만 사용할 수는 없습니다.
답변1
기본적으로 설정한 로컬 확인자는 ISP의 확인자를 전혀 사용하지 않습니다. 필요한 모든 답변을 루트에 직접 묻기 시작합니다. Root는 "어디로 가야할지 모르겠습니다
www.example.com
. 가서 이야기해야 합니다com
. 대화 방법에 대한 일련의 주소가 있습니다com
(그런 다음 대화를 시도하면 마지막com
으로 로 연결됩니다example.com
)"와 같은 답변을 반환합니다. 답변을 얻을 때까지 이 체인을 따르십시오ftp.example.com
. 로컬 확인자에는 서버로 직접 이동할 수 있는 "캐시"가 있거나example.com
원하는 경우 루트에 묻지 않고 서버foo.com
로 직접 전송됩니다com
.DNSSEC의 경우 전 세계 대부분이 위에서 아래로 배포했지만 하위 도메인은 그렇지 않았습니다. 루트 서명,
com
서명,net
서명 등 하지만facebook.com
아직은google.com
기다리지 마세요. 다행스럽게도 DNSSEC는 이를 염두에 두고 설계되었으며 DNS 레코드를 안전하게 따르려고 시도하는 소프트웨어는 결국 이름 서버(com
예:that says "I don't know where
www.facebook.comis and you should go talk to
facebook.com`, 그런데 아직 보호되지 않습니다." IE)에 도달하게 됩니다. , DNSSEC는 이라는 방법을 제공합니다.안전하지 않은 것으로 입증됨. 이를 통해 어느 영역의 상위 영역이 하위 영역이 서명되지 않았음을 의미하는지 정확하게 알 수 있습니다(간단히 설명하면 서명은 되었지만 아직 "연결"되지 않았을 수 있습니다).
DNSSEC는 기본적으로 활성화되어 있지 않으므로 바인딩 구성 파일에서 활성화해야 합니다. 이제 기본 fedora name.conf에 DNSSEC가 활성화되어 있다고 생각하지만 이를 확인해야 합니다. 명명된.conf 파일에서 신뢰할 수 있는 루트 키가 포함된 섹션을 찾을 수 있을 것입니다.
trusted-keys {
. 257 3 8 "AwEAAagAIKlVZr...";
}
DNSSEC 확인을 켜는 옵션 섹션은 다음과 같습니다.
options {
dnssec-enable yes;
dnssec-validation yes;
};
예를 들어 이 옵션을 활성화한 상태에서 을 실행하면 출력에 플래그가 반환되는 것을 볼 dig +dnssec www.dnssec-tools.org
수 있습니다 . AD
이 AD
플래그는 레코드가 DNSSEC 확인을 통과했음을 나타냅니다. 검색하면 www.facebook.com
이 플래그가 표시되지 않습니다.
# dig +dnssec www.dnssec-tools.org
...
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
^^
^^
답변2
forwarders
ISP 서버를 가리키도록 로컬 서버를 구성 해야 합니다 . 설정할 수도 있습니다 forward-only
.
#2에 대해서는 잘 모르겠습니다.