DNSSEC Testdomain "dnssec.works"

Dies ist die DNSSEC Test-Domain dnssec.works. Diese Domain und weitere Sub-Domains können benutzt werden, um die Funktion von DNSSEC-Resolvern und anderer DNS(SEC)-Software zu testen.

1 Tests

1.1 Basistest DNSSEC

Abfrage, ob ein DNS-Resolver (Caching DNS-Server) DNSSEC-Validierung bietet. Erwartete Ausgabe des Befehls dig dnssec.works +dnssec +multi:

; <<>> DiG 9.10.6 <<>> dnssec.works +dnssec +multi
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4242
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;dnssec.works.          IN A

;; ANSWER SECTION:
dnssec.works.           3600 IN A 5.45.107.88
dnssec.works.           3600 IN RRSIG A 8 2 3600 (
                                20190311134335 20190209124335 63306 dnssec.works.
                                LdkU8iUYBmooBH6Q5WC6I7BJ5duvNNrL6PRUDJKNR0dg
                                +KdT0Bu+apANXtKMNYFTmceTdadDEYr453bDBprXUqEG
                                3CLu/3TuCKBRa5zHCa0K0JE1RoFYgyZX45MpMi4YQ5D3
                                Wqd9nxwq+c95Reuy1+iJlZ0RHtdt0o4Oad+i9yfMfznD
                                0i9KY4BHMNjMNPQjcCc6SSrtlEixGoqGaee5DBazn1XZ
                                gjHrrLEcLbRSYpe8IobP/VvxRjKbZ9p6Ye9f )

;; AUTHORITY SECTION:
dnssec.works.           1800 IN NS ns5.myinfrastructure.org.
dnssec.works.           1800 IN NS ns3.myinfrastructure.org.
dnssec.works.           1800 IN RRSIG NS 8 2 1800 (
                                20190309141247 20190207134322 63306 dnssec.works.
                                KV8zn+VZgUAcfCfXiXEVataP02kOVUVyU8zpNnKIsUcz
                                Q8QNwqErejm0zi1MY8O29y25gIJa2uTkUGwuBPOIasTc
                                6ybZk0UUgAIvj5oJDCP4xiSHgmoKeeMweTX6j8zTE3wx
                                IF9rg2nD9OgeCix408XchGFbpXOb234n/cFw0L+F0ueh
                                JflLJ3qXEu5tgzOK79DHEhdGaC7k0SI69UWQg6Wiv89/
                                3SxgFC742Wi2VwRv4Hn6u/G1KSQxXEeIrg43 )

;; Query time: 194 msec
;; SERVER: 192.0.2.1#53(192.0.2.1)
;; WHEN: Sat Feb 09 19:58:33 CET 2019
;; MSG SIZE  rcvd: 585

1.2 Negativ-Tests

Die Subdomains fail01.dnssec.works, fail02.dnssec.works, fail03.dnssec.works und fail04.dnssec.works haben verschiedene DNSSEC Fehler und dürfen daher nicht validieren. Ein DNSSEC-Resolver sollte für alle diese Sub-Domains die Fehlermeldung SERVFAIL zurückliefern. Ein Abruf dieser Domains mit dem CD Flag (CD = Checking Disabled) sollte die DNS-Daten zurückliefern. Erwartete Ausgabe des Befehls dig fail01.dnssec.works +dnssec +multi

; <<>> DiG 9.10.6 <<>> fail01.dnssec.works +dnssec +multi
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63497
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;fail01.dnssec.works.   IN A

;; Query time: 1726 msec
;; SERVER: 192.0.2.1#53(192.0.2.1)
;; WHEN: Sat Feb 09 20:04:30 CET 2019
;; MSG SIZE  rcvd: 37

Test mit Checking-Disabled, Befehl dig fail01.dnssec.works +dnssec +multi +cd:

; <<>> DiG 9.10.6 <<>> fail01.dnssec.works +dnssec +multi +cd
; (3 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26791
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;fail01.dnssec.works.   IN A

;; ANSWER SECTION:
fail01.dnssec.works.    3600 IN A 5.45.109.212

;; Query time: 60 msec
;; SERVER: 192.0.2.11#53(192.0.2.1)
;; WHEN: Sat Feb 09 20:09:45 CET 2019
;; MSG SIZE  rcvd: 64

2 Artikel

Weitere Einzelheiten zu diesen DNSSEC-Test Methoden und konkrete Anleitungen finden Sie im kostenpflichtigen c't-Artikel "TÜV-Werkzeugkasten, Prüfmethoden für die Sicherheitstechnik DNSSEC" (http://heise.de/-2841942).

3 Webdienste