dnssec域名污染
DNSSEC(Domain Name System Security Extensions,域名系统安全扩展)是一种用于保护DNS(域名系统)安全的技术。它通过使用数字签名来验证DNS查询结果的真实性和完整性,从而防止DNS欺骗和DNS缓存污染等攻击。
基础概念
DNSSEC通过在DNS数据中添加数字签名,确保DNS查询结果没有被篡改。它主要包括以下几个组件:
- DNSKEY:包含公钥的记录,用于验证DNSSEC签名的有效性。
- RRSIG:资源记录签名,包含对特定DNS记录的数字签名。
- DS:委托签名者记录,用于在父域和子域之间传递信任链。
优势
- 数据完整性:确保DNS查询结果没有被篡改。
- 身份验证:验证DNS记录的真实来源,防止DNS欺骗。
- 防污染:防止DNS缓存污染攻击,确保用户访问的是正确的网站。
类型
DNSSEC主要分为两种类型:
- Zone Signing Key (ZSK):用于对特定区域的DNS记录进行签名。
- Key Signing Key (KSK):用于对ZSK进行签名,确保整个DNSSEC链的完整性。
应用场景
DNSSEC广泛应用于需要高安全性的网站和服务,例如:
- 政府机构:确保公众访问的政府网站没有被篡改。
- 金融机构:保护用户访问的银行网站和在线交易的安全。
- 电子商务网站:防止用户被重定向到假冒网站,保护用户信息和交易安全。
DNS污染问题
DNS污染是指攻击者通过篡改DNS查询结果,将用户引导到恶意网站。DNSSEC可以有效防止这种攻击,因为它通过数字签名验证了DNS查询结果的真实性和完整性。
原因
DNS污染通常由以下原因引起:
- 中间人攻击:攻击者在DNS查询过程中拦截并篡改DNS响应。
- DNS缓存污染:攻击者通过向DNS服务器发送伪造的DNS响应,污染DNS缓存。
解决方法
- 启用DNSSEC:在DNS服务器上启用DNSSEC,确保DNS查询结果的安全性。
- 使用可信的DNS服务:选择经过验证的DNS服务提供商,避免使用不安全的DNS服务器。
- 监控和日志分析:定期监控DNS查询和响应,分析日志以检测异常行为。
示例代码
以下是一个简单的Python示例,展示如何使用dnspython库进行DNS查询并验证DNSSEC签名:
import dns.resolver
import dns.dnssec
def query_dnssec(domain):
resolver = dns.resolver.Resolver()
resolver.timeout = 2
resolver.lifetime = 2
try:
response = resolver.resolve(domain, 'A', raise_on_no_answer=False)
if response.rrset is not None:
dns.dnssec.validate(response, response.response.answer[0])
print(f"{domain} is DNSSEC validated.")
else:
print(f"{domain} has no answer.")
except dns.resolver.NXDOMAIN:
print(f"{domain} does not exist.")
except dns.resolver.NoAnswer:
print(f"{domain} has no A records.")
except dns.dnssec.ValidationFailure:
print(f"{domain} failed DNSSEC validation.")
query_dnssec('example.com')参考链接
通过以上方法,可以有效防止DNS污染攻击,确保DNS查询结果的安全性和真实性。
相关·内容
3回答
型号:
我在提供商subreg.cz注册了我的域名,他有DNSSEC的能力。我使用AWS名称服务器将域指向AWS路由53。尝试在DNS记录上设置DNSSEC。百无所成。
我为什么要这么做?
我在AWS Cloudfront上有域名别名,提供证书。
我希望为这个别名启用DNSSEC,并且不知道什么是最好的方法,而不放松证书的可能性。
请您分享您的建议,我如何才能找到解决方案?
浏览 2提问于2018-10-18得票数 4
回答已采纳
2回答
我有一个.money域名,我想实现DNSSEC。我的注册人是GoDaddy,他们的DNSSEC管理系统不支持.money。
如何轻松地为我的域设置DNSSEC?
浏览 0提问于2016-03-04得票数 1
我的域名在Godaddy上,是Hostinger公司的主机。我把它联系起来了。
问题是,当我在Wifi网络Ipv4中选择DNS Server 8.8.8.8时,站点不加载。当我选择汽车网站工作。
你能告诉我有什么问题吗?这是网站的链接。
📷
浏览 0提问于2020-07-09得票数 0
更改最近获得的域的名称服务器后,我将收到在域名上运行dig的SERVFAIL错误。我购买域名的GoDaddy说,这不是他们的错,因为WHOIS记录更新。我点域公司(Amazon)也不承担任何责任。
->>HEADER<<- opcode: QUERY, status: SERVFAIL, id:
这是我的问题: SERVFAIL错误是否与更改名称服务器有关?(也就是说,这可能是Godaddy造成的问题,没有正确地更改名称服务器),还是SERVFAIL错误仅来自名称服务器现在指向的公司,而在更改名称服务器时发生的只是巧合?
浏览 0提问于2014-08-28得票数 -3
回答已采纳
在有两个域名的场景中
用DNSSEC保护的example.com
没有用DNSSEC保护的example.org
以及在smtp.example.org运行的邮件服务:
我想用TLSA/DANE来保证邮件服务的安全。这在某种程度上是可能的吗?我能期望这对大多数DANE感知的软件有效吗?
其想法是发布一个TLSA记录_25._tcp.smtp.example.com和一个指向smtp.example.org的CNAME记录smtp.example.com。来自org区域的响应不能被信任,因为它不是DNSSEC安全的,但是来自com的TLSA记录可以。这是一个合理的方式登记DANE的区域,但还没有
浏览 0提问于2018-04-03得票数 3
回答已采纳
我的任务是改善某一特定服务的安全性。在对需求进行了一些分析之后,我们得出结论,指定需求的某一方面只能通过使用DNSSEC才能满足。
我在信息安全和密码学方面有丰富的经验,我相信我理解DNSSEC中的一般原则。然而,我没有经验。
通常,这样的新技术首先部署到主域名的子域。但是DNSSEC似乎不可能采用这种方法,因为正确的部署需要从根服务器一直到子域签名。我们的域名目前没有DNSSEC,主机提供商不支持DNSSEC。
通过一个单独的托管提供商购买一个实验性域名可能是一种选择,但由于缺乏DNSSEC的经验,我不知道在这样一个托管提供商中寻找什么。
我还考虑过使用众多服务中的一个,其中一个可以使用动态
浏览 0提问于2015-02-04得票数 10
我正在使用一个域名的谷歌云DNS。但由于某些原因,它没有解决
root@ok:~# nslookup insurancegurukul.com
;; Got SERVFAIL reply from 1.1.1.1, trying next server
Server: 8.8.8.8
Address: 8.8.8.8#53
** server can't find insurancegurukul.com: SERVFAIL
root@ok:~#
用于该域的名称服务器为
root@ok:~# whois insurancegurukul.com -h whois.
浏览 2提问于2018-11-16得票数 2
1回答
我有一个工作的DNS在一个VM-env测试和学习的目的。它是一个来自根域和两个子域的完整服务器。
我增加了
dnssec-enable yes;
在named.conf中,还创建了ZSV-和KSK-键,并将它们附加到我的一个子域。
我试着走一条简单的路,只签一个域名。假设我有
home.garage.top
作为我的顶级和子域名,我想签回家,只有家。我使用
dnssec-signzone -o home.db -N increment -k Khome.garage.top.+005+46921 home.db Khome.garage.top.+005+36051
这应该会产生一个home.
浏览 0提问于2014-12-28得票数 2
回答已采纳
关于DNSSEC的问题。
我有一个内部私人的TLD。股份有限公司下面是多个子域,如。区域-a-公司,edge.region-a.corp
不管域名和子域名的数量-他们将是完全私有的,不需要互联网接入,因为这是一个安全的环境。我的问题是- DNSSEC会在这样的设置下工作吗?若否,原因为何?如果是的话,你如何建立信任链?
如果有帮助的话- DNS基础设施将在绑定上运行。
浏览 0提问于2023-03-14得票数 0
1回答
关于DNSSEC,我有一个初学者的问题。我在TLS和密码学方面有丰富的经验,我想尝试一下这种新技术。我在谷歌上搜索了很多这方面的信息,但我还没有找到有用的信息。我认为信息收集中的一个困惑是,"Debian howto DNSSEC安装“可能意味着”如何使用DNSSEC解决“或”如何使用DNSSEC保护您的域“。我在搜索第二个。
我正在运行一个具有根权限的Debian挤压服务器,该服务器的域名以".de“结尾(它已经由根区域签名)。此服务器上的网络接口使用网关IP (DNS解析器?)服务器正在运行的数据中心。
我的域托管在freedns.afraid.org,在那里我可以为我的域
浏览 0提问于2012-02-26得票数 6
回答已采纳
我想对.social的TLD施加压力,这样他们就可以实现DNSSec,但是我购买的域名只是一个转卖商(NameCheap)。
我不认为与他们开一张票就像联系TLD所有者一样有效。
我应该如何标识并要求给定的TLD所有者实现DNSSec?
我尝试过的步骤包括
向Internic查询,看看谁是注册人
如果你还没有从转售商那里拥有一个域名,就很难开一张票。
最好的方法是什么?
浏览 0提问于2016-12-07得票数 1
回答已采纳
1回答
我注册了mydomain.net (使用谷歌域名注册服务器)。在google控制面板上的DNS设置中,我认为mail.mydomain.net应该转到电子邮件云应用程序(在本例中是business.zoho.com,但这可能与此无关)。我在Google域名DNS面板中使用了CNAME记录。
mail CNAME 1h business.zoho.com
起初,它是无缝工作的,但在某个时候,我认为在启用DNSSEC之后,我开始得到一个证书错误,因为很明显,mail.mydomain.net与business.zoho.com不匹配。这一切都指向DNSSEC是罪魁祸首,但我不能肯定。这有意义吗?我
浏览 0提问于2019-11-18得票数 2
回答已采纳
7天前,我已经将我的域名从Google转移到了AWS。转移过程已在AWS中完成。我已在Router 53中创建了一个公共托管区域,并且Route 53中存在的NS记录与我的AWS中域的NS记录相匹配。还创建了指向应用程序负载均衡器的CNAME记录。 我可以在AWS工作空间内访问我的域,甚至可以在我的AWS工作空间中返回结果,但在AWS工作空间之外的一些计算机上无法工作,但当我使用负载均衡器url时,我可以访问应用程序,因此不存在安全组配置问题。 当使用此url https://toolbox.googleapps.com/apps/dig/时,也没有摘要结果 我是不是漏掉了什么?任何帮助都是
浏览 50提问于2021-08-28得票数 0
回答已采纳
我拥有一个域名通过Google domains和我的网站是作为一个共享帐户与Dream Host。我看到两者都提供了DNSSEC和旧的DNS。我在考虑让它成为可能。
但在此之前,我想知道为您的网站启用DNSSEC (如果有的话)有哪些缺点?
浏览 0提问于2019-12-25得票数 4
1回答
我想我需要两个DS记录存放在我的域名注册。但一家大型dns提供商刚刚给了我一张DS记录。Verisign调试器说,一切都是正确的。但是我很困惑,因为DNSSEC (DNSSEC密钥生成工具)总是给我两个DS记录。我有我的怀疑。
浏览 0提问于2013-01-02得票数 2
回答已采纳
这是我的第一个问题,希望我在正确的社区。我不久前买了一个gg域名,想要后来需要的DNSSEC。购买后,我遇到了问题,我不能激活DNSSEC基本上在任何注册/他们的名称服务器。他们说,这是不被支持的。
昨天我又看了一遍,发现有很多gg域,它们实际上有一个有效的DNSSEC签名。目前我不使用gg域,但如果我能为其激活DNSSEC,则可能会使用gg域。
我没有找到任何有用的信息为这个具体的案件。也许有人能给我一些。你知道有什么特别的原因吗?
提前感谢!
浏览 0提问于2023-05-26得票数 0
2回答
我已经与dnssec建立了一些域。我生成了密钥并使用dnssec-tools中的zonesigner对区域进行了签名。我知道我必须在30天内辞职。但是我存放在域名提供商那里的密钥怎么了?我也需要换钥匙吗?如果是,怎么做?在网站上找不到这方面的任何信息。
浏览 0提问于2012-05-02得票数 8
回答已采纳
3回答
我有一个隐藏的主DNS名称服务器通知和更新两个公共从DNS服务器:
我自己运行Debian/Bind9DNS的VPS
第三方辅助名称服务器提供者(afraid.org)
我终于让DNSSEC与隐藏的主服务器和我的公共从服务器(VPS)一起工作。
现在,我正在搜索一个也可以支持DNSSEC的次级名称服务器服务提供者。我找不到一个。我不明白为什么。
然后我在二级维基上看到了这条线索:
“您不能同时使用具有相同域名的DNSSEC和辅助DNS。”
为什么第三方不能提供带有DNSSEC的二次名称服务器?
浏览 0提问于2018-08-25得票数 1
回答已采纳
我试图将dns更改为ubuntu18。
首先,我尝试修改confg文件/etc/systemd/resolved.conf
# This file is part of systemd.
#
# systemd is free software; you can redistribute it and/or modify it
# under the terms of the GNU Lesser General Public License as published by
# the Free Software Foundation; either version 2.1 of th
浏览 2提问于2021-02-02得票数 0
2回答
我们正在努力决定使用哪种DNS主机解决方案。今天,我们使用Power,我们希望移动到托管的DNS解决方案。对我们来说最好的解决方案是使用亚马逊的53号公路。我们被授权使用DNSSEC作为我们的DNS解决方案,我一直在试图了解Amazon的DNS支持什么和它不支持什么。
亚马逊的网站说:
亚马逊路由53支持DNSSEC的域名注册,但不支持DNSSEC的DNS服务。如果要为已注册到Amazon 53的域配置DNSSEC,则必须使用另一个DNS服务提供程序。
有人能解释一下这意味着什么吗?特别是,什么是支持的,什么是不支持的,以及使用另一个DNS服务提供程序对注册到路由53的域意味着什么。
浏览 9提问于2017-04-10得票数 21
回答已采纳
根据这个文章,"ICANN要求在所有不安全域名上全面部署域名系统安全扩展(DNSSEC)“。作为一个运行我自己的电子商务服务器的人,我是否需要对我设置域名和为我的服务器配置DNS的方式做出任何改变,或者这是否只需要更高级别的人(例如我的网站托管提供商)的操作?
浏览 0提问于2019-02-24得票数 0
我想查询一个这样的域:
dns.resolver.resolve("dnssec-failed.org","A")
返回如下错误:
raise NoNameservers(request=self.request, errors=self.errors)
dns.resolver.NoNameservers: All nameservers failed to answer the query dnssec-failed.org. IN A: Server 127.0.0.1 UDP port 53 answered SERVFAIL
我希望能够在我的函数中捕
浏览 3提问于2021-03-21得票数 0
回答已采纳
我们目前托管一个域名在我们的DNS提供商,但域名是在其他地方注册。如果我们创建所需的DNSSEC记录,注册员将需要创建DS记录,对吗?
如果注册主任尚未输入这一所需的DS记录,这是否会导致任何停机时间?
浏览 0提问于2021-02-03得票数 1
回答已采纳
大约一周前,我在我的主域中启用了DNSSEC。这不是一个主要的网站或任何东西-只是我的个人域名,我使用的电子邮件和类似的(TLD:com;DNSSEC算法13;权威DNS提供者: Cloudflare)。
在过去的24小时里,域已经收到了15,605个查询。作为响应,它已经分发了15,601个NOERROR响应码和总共4个NXDOMAIN响应码。
NXDOMAIN的反应仍然可能吗?是什么产生了它们?
就我个人而言,无论我尝试什么查询,我都不能触发它,我的理解是,DNSSEC至少在理论上应该完全消除这个响应代码。
我错了吗?
浏览 0提问于2022-07-14得票数 13
回答已采纳
我想为处理我的电子邮件的域名设置DANE。我的域名在OVH注册,我正在使用他们的anycast DNS服务器。他们确实支持DNSSEC,但不支持TLSA记录。
有我可以使用的后备记录类型吗?(就像我可以使用TXT,如果服务器不支持SPF等)
浏览 0提问于2014-05-23得票数 5
回答已采纳
1回答
我正在尝试建立一个递归的DNS,它也有自己的区域使用绑定。
现在我想升级它以使用dnssec,但据我所知,如果我没有域名,我必须使用DLV。
然而,我能找到的少数指南说,您需要在dlv.isc.org中注册,这是不存在的。我读过的一本关于DNSSEC的书告诉我,DLV会遭到反对,这就是我想知道的原因。(如果你知道任何一步一步的设置指南,也将不胜感激)
浏览 0提问于2020-01-11得票数 4
回答已采纳
我们正在建立一个已建立的网络,运行一个BIND9服务器(以及许多其他服务)。我正在学习并尝试重新组织旧的配置文件,以适应当前的情况(许多死机、未使用的名称、反向映射等等)。
同时,我希望遵循最佳实践,并使用DNSSEC保护DNS。在检查配置时,我无意中发现我们使用的TLD没有DNSSEC的安全。
我的问题是:如果楼上(在超级域)没有人这样做,用DNSSEC保护我们的DNS有什么意义(我敢打赌)?
我们的区域/域空间位于我们的大学域名之下,直接位于ve.空间(委内瑞拉TLD)之下。也就是说,像example.university.ve.这样的东西,无论是ve还是我们学校的DNS都不安全。
如果我
浏览 0提问于2017-04-10得票数 3
回答已采纳
1回答
是否有一个工具允许我查看Bind 9中用于DNSSEC的现有私钥/公钥的参数?
我一直无法确定简单的事情,如到期日期,算法,密钥强度,区域名称的密钥,等等。
浏览 0提问于2013-09-04得票数 0
1回答
实现自定义域名
、、、
我目前正在制作一个个人网站。我创建了模板,我购买了一个谷歌.dev域名。我决定通过GitHub-pages托管它。我可以通过使用"username.github.io“来访问网站。当我添加自定义域名(myname.dev)时,无法单击“强制执行https”按钮。它还给出了错误,“无法检索域的DNS记录”。
在谷歌域名站点,我“使用谷歌域名服务器”,并启用了DNSSEC。但我不知道如何填写“注册主机”和“合成记录”。也许这就是我的问题?请让我知道!
浏览 1提问于2019-05-16得票数 1
1回答
DNSSEC使用NSEC (或NSEC3)记录来指示请求的域名不存在。NSEC因允许区域枚举而受到批评。
如果dnssec是在没有nsec记录的情况下实现的,那么,如果不存在域的身份验证,又会发生什么破坏呢?(如果存在域,则对响应进行身份验证,如果域不存在,则响应未经身份验证)
据我所知,DANE使用NSEC来抵御MITM,但不清楚到底是怎么回事。攻击者不会只是丢弃或破坏经过验证的NSEC响应吗?
可能无法知道DNS响应是否应该经过DNSSEC身份验证,还是(提议未实现) NSEC,随后攻击者将其修改为指向攻击者控制主机的未经身份验证的DNS响应。
我说得对吗?还有其他问题吗?
浏览 0提问于2016-11-16得票数 4
回答已采纳
1回答
systemd解析阻止域名
、、、、
使用systemd-resolved,我如何阻止、路由或解析一个域名到黑洞,或者一个无处地址。子域的加分也是如此。
我在/etc/hosts中尝试了一个域:
127.0.0.1 google.com
::1 google.com
我还尝试了/etc/systemd/network/100-blocked.network:
[Match]
Name=wlp113s0
[Network]
Description="Just block the domain, and sub domains"
DNS=127.0.0.255
DNS=::1
[Resolve]
Domains=g
浏览 0提问于2018-11-03得票数 6
基于DNS的实体认证(DANE)的目的是什么?它与域名系统安全扩展(DNSSEC)有什么关系?
第二,如何验证DANE的配置是否正确?使用本地工具或联机工具。是否有已知的Nmap NSE脚本执行此检查?
浏览 0提问于2016-06-30得票数 5
回答已采纳
2回答
使用DNSSEC,您可以确保对域拥有正确的IP,并使用由您信任的人签名的证书,您知道您拥有正确的IP。
这难道不足以知道这种联系是正确的吗?为什么服务器使用的证书中需要域名?
浏览 0提问于2019-06-06得票数 0
回答已采纳
我刚刚被介绍给域名系统安全扩展(DNSSEC),听起来非常类似于DNS over (DoH)和DNS over的概念:将隐私和安全性添加到DNS查找中。
这些协议的主要区别是什么?他们的竞争/服务目标相同吗?
浏览 4提问于2020-09-01得票数 0
回答已采纳
1回答
我听说过一个案例,第二个域名服务器的域名过期了,可以免费注册。
假设example.com有两个注册名称服务器:
example-ns1.com (初级)
example-ns2.com (二级)
域example-ns2.com已过期,可免费注册。如果“攻击者”声称第二个名称服务器的域名。
这只会在域名服务器(具有域example.com )脱机时影响example-ns1.com吗?
只有当DNSSEC在example-ns2.com过期之前没有(正确地)实现时,“攻击”才能工作吗?
浏览 0提问于2017-03-16得票数 1
回答已采纳
1回答
我一年前买了一个域名magicescape.es。问题是,这个域名有一个DS记录,但我没有添加它,不能删除或更改。对于DNSSEC域,.es不支持。我花了很多时间在Godaddy的支持下,最后的回答是“我们不能帮助你处理DS记录,因为我们看不到它。你应该要求旧网站主机删除所有与本网站内容相关的内容”。但是它如何影响具有不同NS记录的域名呢?我可以在这里看到DS记录,dns-analyzer。有没有办法从这个特定的DS记录中找到位置?
浏览 43提问于2020-07-18得票数 0
回答已采纳
我们公司用甘地注册了域名“C0”,它有一个“一键解决方案”,为我们域的区域启用DNSSEC。因此,我们启用了它,直到德涅斯检查工具向我们显示,我们的父区域(.eu)从Gandi那里得到了散列 public KSK,并且他们在DS记录中发布了它,该记录现在验证了我们的区域"example.eu")。
我们还期待着甘地给我们寄来private KSK,这样我们就可以继续建立信任链,但他们什么也没有发送。在他们的网站上也不可能添加任何类型的DNSSEC DNS记录,如TLSA,DS.
所以看起来他们支持DNSSEC但不支持DANE认证..。他们可能会失去一些信誉,因为丹恩与自签名证书
浏览 0提问于2020-12-04得票数 0
回答已采纳
在DNSSEC中,NSEC记录被用来证明不存在。麻烦的是,这些记录提供了指向现有域名(两个方向上最接近的已知域)的指针,构建了一个链,该链可以“遍历”,最终通过进一步的失败查询来泄露给定区域中的所有域名。
据我所知,该方法依赖于对没有相应记录的域进行查询。带有通配符DNS记录的区域是否仍然容易受到此攻击?
浏览 0提问于2012-07-03得票数 6
我整个上午都在研究和尝试一些东西,但我似乎不能把它当回事。请原谅我,万一我错过了一些最基本的东西。
场景:
我已经配置了与netplan (ubuntu服务器18.04)的接口,除了DNS部分之外,一切都很完美。当我做一个“name本地域名”时,我得到了8.8.8.8的答案,我想要一个答案,比如说10.12.101.101。
我的目标:
在查找本地域名时,让系统(即nslookup)使用我通过netplan配置文件配置的本地名称服务器。
当前配置:
对于特定的接口eth0,在查询本地IP/本地网络时,我已经配置了要使用的本地名称服务器。
entry包含8.8.8.8的名称服务器条目。
netp
浏览 0提问于2020-04-08得票数 1
回答已采纳
我有一个名为currykitchen.se的域名,它位于另一个提供商上。我转到GoDaddy,他们建立了所有的DNS记录,并说需要24到48小时。然而,我的网站仍然没有工作。我不知道这是什么错误。即使是GoDaddy的技术人员也没有任何解决方案。他们说这是我的ISP的问题。但这并不是因为我甚至试图用电话数据打开我手机上的网站,但问题是一样的。我甚至让我的朋友打开这个网站,他们的问题也是一样的。
域名是currykitchen.se。
Type Name Value TTL
A @
浏览 0提问于2020-11-22得票数 1
1回答
昨天,我尝试将一个节点项目部署到一个亚马逊EC2实例中,并将其与我自己的自定义域名相关联。
通过使用EC2提供的公共域名,该应用程序运行良好。我更新了域名的域名服务器,在路由53中添加了域名和公网IP地址。我在终端中尝试了dig invia.ca命令,但没有任何变化。
$ dig in-via.ca
Domain name: in-via.ca
Domain status: registered
Creation date: 2017/03/27
Expiry date: 2018/03/27
Updated date: 2017/04/28
DNSSEC: Unsigned
浏览 2提问于2017-04-29得票数 0
我正在做一个关于域名系统安全扩展(DNSSEC)的研究项目。
我有一个SOA、Stub解析器和一个客户端以及一台攻击机器。
我的问题是这个。在Linux客户端受到DNS中毒攻击后,是否有方法测试记录的有效性。此检查需要在命令行接口上完成。
我验证了DNSSEC记录是否已设置。
浏览 0提问于2012-09-24得票数 7
当我使用不支持DNSSEC的名称服务器时,由于父区域中存在DS记录,我的网站目前无法访问。有关更多上下文,请参见这个问题。
我使用亚马逊路由53作为我的注册,我看不出有什么办法删除DS记录使用接口。我尝试了以下步骤,但没有成功。
最初,我使用的是Amazon路由53名称服务器,它不支持DNSSEC。因此,在"DNSSEC状态“部分中,它说:”如果您使用的DNS服务提供者不是路由53,如果TLD注册中心支持DNSSEC,则可以添加和删除域的TLD注册表中的公钥。“
我把名字服务器改成了Cloudflare的。
我加了一个公钥
我把公钥拿走了。
我把名字服务器改回了亚马逊的
然而,这是行不
浏览 0提问于2020-01-08得票数 2
回答已采纳
2回答
我正在使用GCP,nginx和域名从"name.com“到我的网站。它可以在移动网络上达到,但不适用于wifi。
虽然在一些妻子,你可以到达我的网站约60%(从那些我有测试),你不能。
它可能必须对DNS / DNSSEC做些什么,但它的猜测,我是毫无头绪。
浏览 9提问于2020-02-06得票数 0
回答已采纳
2回答
我从OVH获得了一个很好的小型VPS和两个域名(我们称之为first.com和second.com)。由于OVH不支持DNSSEC和CAA记录,我被告知我可以设置自己的DNS服务器,通过将second.com定向到dns服务器来为second.com提供这些记录(到目前为止,我是对的)。
现在,我已经跟踪了本指南,基本上区域文件都很好,但是问题是,如何让OVH知道我希望使用该名称服务器,以及需要提供哪些数据(密钥)才能使DNSSEC正常工作?
很抱歉提出这个愚蠢的问题,如果有什么不清楚的地方请告诉我。
浏览 0提问于2017-05-01得票数 1
1回答
我正在努力为我的CS专业的最后一年的项目提出想法。一位讲师提出的他有兴趣监督的想法之一是探索在安全域名系统中的应用。根据我的初步研究,我倾向于一个项目,在这个项目中,我试图将DNSSEC与这种加密标准结合起来。
我的想法是,我也许能够使用BIND9的简单DNS级别,去掉DNSSEC,并在它们之上构建一个定制的类似于DNSSEC的方案。我可能还必须修改库的一部分,以便在我的新方案中使用RFC2535的特性,如密钥和SIG RRsets。或者也许最好的方法是编辑DNNSEC是如何在库中实现的,并尝试删除OpenSSL并将其替换为指向我自己的迷你加密库的钩子?有没有人有使用BIND库的经验,可以告诉
浏览 3提问于2010-10-06得票数 0
回答已采纳
1回答
我希望使用Un绑定作为缓存,并使用DNSSEC作为我的ns1.domain.com名称服务器。
我遇到了解绑定,这看起来很容易设置和使用。
未绑定-控制local_data "mywebsite.com A 11.22.3.44“
我在我的注册中心为我的域名和指向那个IP的ns1创建了一个NS条目。
希望我没有犯任何错误。
现在,我想在家里使用相同的名称服务器,因为我将在其中导入AdAway主机。是否有可能将解绑定分为两部分(某种程度),这样就有缓存部分和“我的网站”部分?
(作为一点补充,是否有建议的指南使之硬化/使用DNSSEC/DN氪(未绑定)?)
谢谢你的帮忙!
浏览 0提问于2017-09-25得票数 0
我一直在读到,一天前,由于亚马逊的域名服务遭到了破坏,mentioned钱包是如何被黑客入侵的,就像这里提到的,
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_高顶_在……上面_谷歌/
标题是错误的。是亚马逊的域名服务遭到了破坏。谷歌DNS服务器只需采取任何IP亚马逊域名服务告诉它,米夫的域名决心。https://doublepulsar.com/hijack-of-amazons-internet-domain-service-used-to-reroute-web-traffic-for
浏览 0提问于2018-04-26得票数 5
11回答
腾讯云上如何自建DNS?
、、、、
当前腾讯云私有域VPCDNS暂时还不支持背景下,怎么在腾讯云CVM环境下构建内网解析?
实现功能:
1.支持腾讯云云环境保留域名解析如:mirrors.tencentyun.com;
2.支持用户自有业务域名内部网解析如:you.aaa.com;
3.支持访问外网域名解析如:www.qq.com;
4.支持分域名转发到不同的DNS服务器;
基础环境:
CVM:标准型SA2(请根据自身业务情况,选择样本)
操作系统:CentOS Linux版本7.6.1810(核心)
绑定:bind-9.11.4-16.P
浏览 1529提问于2021-01-27
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
