Cómo verificar si un servidor DNS admite DNSSEC
Comprueba el RRSIG (Firma de Registro de Recursos) de un nombre de dominio con firma DNSSEC
Para ver los resultados más claramente, busca un nombre de dominio (paypal.com) configurado con DNSSEC firma Un servidor DNS que admite DNSSEC (4.2.2.4) y un servidor DNS que no admite DNSSEC (114.114.114.114)
Los resultados de la consulta utilizando 4.2.2.4 que admite DNSSEC son los siguientes: root@. OpenWrt:~#?dig ?paypal.com? dnssec?@4.2.2.4
;?lt;lt;gt;gt;?DiG?9.9.4?lt;lt;gt;gt;? paypal.com? dnssec? @4.2.2.4
;?global?options:?cmd
;;?Tienes?respuesta:
;;?- gt;gt;HEADERlt ;lt; - ?opcode: ?QUERY, ?status: ?NOERROR, ?id: ?48979
; ?qr?rd?ra; ?RESPUESTA: ? 3. ?AUTORIDAD: ?0, ?ADICIONAL: ?1
; ?OPT?PSEUDOSECCIÓN: ?EDNS: ?versión: ?0, ?flags: ?hacer; ?udp:?4096
;?PREGUNTA?SECCIÓN:
;paypal.com.IN?A
;;?RESPUESTA?SECCIÓN:
p>
paypal.com.?293?IN?A66.211.169.3
paypal.com.?293?IN?A66.211.169.66
paypal.com .?293?IN?RRSIGA?5?2?300?20140728175119?20140628172604?11811?paypal.com.?ka3J7csLBUiZIrh7YTKJ7eUBzpACe7jmr6M2wURsNCQ/dFjB9Jl018OZ?6i 3BzzSYqSS 2jw9TmVZMKxRLH3cmt5jc1BNI6Q9uB46DLpJJoAmXQ1rQ?ss37Mb4BlK8dD4rxLJmEJh19 Kg8xXxE8iGYwLM7tkyayIjVdxbt80TE?vgg=
;;?Tiempo?de?consulta: ?224?mseg
;;?SERVIDOR:?4.2.2.4#53(4.2.2.4)
;;?CUÁNDO:?Mar? Jul?15?21:49: 25?CST?2014
;;?MSG?SIZE?rcvd:?241
Los resultados de la consulta utilizan 114.114.114.114 que no admite DNSSEC son los siguientes: root@OpenWrt: ~#?dig ?paypal.com? dnssec?@114.114.114.114
;?lt;lt;gt;gt;?DiG?9.9.4?lt;lt ;gt;gt;?paypal.com? dnssec? @114.114.114.114
;?global?options:?cmd
;;?Tienes?respuesta:
p>
;?-gt;gt;HEADERlt;lt;-?opcode: ?QUERY, ?status: ?NOERROR, ?id: ?12717
; ?flags: ?qr? ra;?CONSULTA:?1,?RESPUESTA:?2,?AUTORIDAD:?0,?ADICIONAL:?0
;;?PREGUNTA?SECCIÓN:
;paypal .com .IN?A
;?RESPUESTA?SECCIÓN:
paypal.com.?300?IN?A66.211.169.3
paypal com.? 300?IN?A66.211.169.66
;;?Tiempo?de?consulta:?577?mseg
;;?SERVIDOR:?114.114.114.114#53(114.114 .114.114)
;;?CUÁNDO:?Martes?15 de julio?21:49:57?CST?2014
;;?MSG?SIZE?rcvd:?60
Como puede ver, los servidores que admiten DNSSEC devuelven una cadena muy larga de RRSIG (Firma de registro de recursos), que es una firma de datos muy importante en DNSSEC.
Los servidores que no admiten DNSSEC no devuelven esta información en absoluto, por lo que es fácil distinguir si un servidor DNS admite DNSSEC.
Sin embargo, actualmente hay muy pocos nombres de dominio configurados con firmas DNSSEC. Generalmente, algunos nombres de dominio de gobiernos extranjeros las tienen, y por supuesto Paypal también las tiene, pero casi no hay ninguna en China.
Si un nombre de dominio en sí no está configurado con la firma DNSSEC, no importa qué servidor DNS utilice para consultar los datos dnssec, el resultado será el mismo.