コマンドラインインターフェイスからDNSSECの有効性をテストする方法
ドメインネームシステムのセキュリティ拡張に関する研究プロジェクトをやっています( [〜#〜] dnssec [〜#〜] )。
SOA、スタブリゾルバ、クライアント、および攻撃マシンがあります。
私の質問はこれです。 Linuxクライアントに対するDNSポイズニング攻撃の後で、レコードの有効性をテストする方法はありますか?このチェックは、コマンドラインインターフェイスから実行する必要があります。
DNSSECレコードが設定されていることを確認しました。
http://backreference.org/2010/11/17/dnssec-verification-with-Dig/ によると:
ルートキーを取得します。 unpoisonedマシンでDigを使用してこれを行うことができます:
Dig . DNSKEY | grep -Ev '^($|;)' > root.keys
ターゲットDNSレコードを確認します。
Dig +sigchase +trusted-key=./root.keys www.eurid.eu. A | cat -n
もう1つの方法は、unboundなどの検証DNSリゾルバーを設定することです。デスクトップマシンにDNSSECセキュリティを提供するために使用しています。 Fedora 17 で簡単に入手できます。または Debian 7.0のBIND 。 unbindを設定するdebianパッケージがあるかどうかは忘れますが、手動で行うのも難しくありません。
次に、安全なリゾルバーに対してDigを実行します。無効な結果がある場合は、フラットエラー(SERVFAILと思います)が表示されます。 unboundを構成して、検証の失敗ごとに詳細をログに記録することもできます。