DNSSEC Testdomain "dnssec.works"
Dies ist die DNSSEC Test-Domain dnssec.works
. Diese Domain und
weitere Sub-Domains können benutzt werden, um die Funktion von
DNSSEC-Resolvern und anderer DNS(SEC)-Software zu testen.
1 Tests
1.1 Basistest DNSSEC
Abfrage, ob ein DNS-Resolver (Caching DNS-Server) DNSSEC-Validierung
bietet. Erwartete Ausgabe des Befehls dig dnssec.works +dnssec +multi
:
; <<>> DiG 9.10.6 <<>> dnssec.works +dnssec +multi ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4242 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;dnssec.works. IN A ;; ANSWER SECTION: dnssec.works. 3600 IN A 5.45.107.88 dnssec.works. 3600 IN RRSIG A 8 2 3600 ( 20190311134335 20190209124335 63306 dnssec.works. LdkU8iUYBmooBH6Q5WC6I7BJ5duvNNrL6PRUDJKNR0dg +KdT0Bu+apANXtKMNYFTmceTdadDEYr453bDBprXUqEG 3CLu/3TuCKBRa5zHCa0K0JE1RoFYgyZX45MpMi4YQ5D3 Wqd9nxwq+c95Reuy1+iJlZ0RHtdt0o4Oad+i9yfMfznD 0i9KY4BHMNjMNPQjcCc6SSrtlEixGoqGaee5DBazn1XZ gjHrrLEcLbRSYpe8IobP/VvxRjKbZ9p6Ye9f ) ;; AUTHORITY SECTION: dnssec.works. 1800 IN NS ns5.myinfrastructure.org. dnssec.works. 1800 IN NS ns3.myinfrastructure.org. dnssec.works. 1800 IN RRSIG NS 8 2 1800 ( 20190309141247 20190207134322 63306 dnssec.works. KV8zn+VZgUAcfCfXiXEVataP02kOVUVyU8zpNnKIsUcz Q8QNwqErejm0zi1MY8O29y25gIJa2uTkUGwuBPOIasTc 6ybZk0UUgAIvj5oJDCP4xiSHgmoKeeMweTX6j8zTE3wx IF9rg2nD9OgeCix408XchGFbpXOb234n/cFw0L+F0ueh JflLJ3qXEu5tgzOK79DHEhdGaC7k0SI69UWQg6Wiv89/ 3SxgFC742Wi2VwRv4Hn6u/G1KSQxXEeIrg43 ) ;; Query time: 194 msec ;; SERVER: 192.0.2.1#53(192.0.2.1) ;; WHEN: Sat Feb 09 19:58:33 CET 2019 ;; MSG SIZE rcvd: 585
1.2 Negativ-Tests
Die Subdomains fail01.dnssec.works
, fail02.dnssec.works
,
fail03.dnssec.works
und fail04.dnssec.works
haben verschiedene
DNSSEC Fehler und dürfen daher nicht validieren. Ein DNSSEC-Resolver
sollte für alle diese Sub-Domains die Fehlermeldung SERVFAIL
zurückliefern. Ein Abruf dieser Domains mit dem CD
Flag (CD
=
Checking Disabled) sollte die DNS-Daten zurückliefern. Erwartete
Ausgabe des Befehls dig fail01.dnssec.works +dnssec +multi
; <<>> DiG 9.10.6 <<>> fail01.dnssec.works +dnssec +multi ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63497 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;fail01.dnssec.works. IN A ;; Query time: 1726 msec ;; SERVER: 192.0.2.1#53(192.0.2.1) ;; WHEN: Sat Feb 09 20:04:30 CET 2019 ;; MSG SIZE rcvd: 37
Test mit Checking-Disabled, Befehl dig fail01.dnssec.works +dnssec +multi +cd
:
; <<>> DiG 9.10.6 <<>> fail01.dnssec.works +dnssec +multi +cd ; (3 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26791 ;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;fail01.dnssec.works. IN A ;; ANSWER SECTION: fail01.dnssec.works. 3600 IN A 5.45.109.212 ;; Query time: 60 msec ;; SERVER: 192.0.2.11#53(192.0.2.1) ;; WHEN: Sat Feb 09 20:09:45 CET 2019 ;; MSG SIZE rcvd: 64
2 Artikel
Weitere Einzelheiten zu diesen DNSSEC-Test Methoden und konkrete Anleitungen finden Sie im kostenpflichtigen c't-Artikel "TÜV-Werkzeugkasten, Prüfmethoden für die Sicherheitstechnik DNSSEC" (http://heise.de/-2841942).
3 Webdienste
- DNSSEC Debugger DNSViz: https://dnsviz.net
- DNS-Bajaj (DNS Delegation Debugger): http://www.zonecut.net/dns/
- Zonemaster (DNS Fehlerpüfung): https://zonemaster.net
- Webbasiertes
dig
: https://networking.ringofsaturn.com/Tools/dig.php - DNS Abfrage mit GEO-IP Daten: https://www.whatsmydns.net/
- DNS Abfrage bei Google: https://toolbox.googleapps.com/apps/dig/
- DNS Abfrage mit Whois: http://digdns.com