DNSSEC Testdomain "dnssec.works"
Dies ist die DNSSEC Test-Domain dnssec.works. Diese Domain und
weitere Sub-Domains können benutzt werden, um die Funktion von
DNSSEC-Resolvern und anderer DNS(SEC)-Software zu testen.
1 Tests
1.1 Basistest DNSSEC
Abfrage, ob ein DNS-Resolver (Caching DNS-Server) DNSSEC-Validierung
bietet. Erwartete Ausgabe des Befehls dig dnssec.works +dnssec +multi:
; <<>> DiG 9.10.6 <<>> dnssec.works +dnssec +multi
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4242
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;dnssec.works. IN A
;; ANSWER SECTION:
dnssec.works. 3600 IN A 5.45.107.88
dnssec.works. 3600 IN RRSIG A 8 2 3600 (
20190311134335 20190209124335 63306 dnssec.works.
LdkU8iUYBmooBH6Q5WC6I7BJ5duvNNrL6PRUDJKNR0dg
+KdT0Bu+apANXtKMNYFTmceTdadDEYr453bDBprXUqEG
3CLu/3TuCKBRa5zHCa0K0JE1RoFYgyZX45MpMi4YQ5D3
Wqd9nxwq+c95Reuy1+iJlZ0RHtdt0o4Oad+i9yfMfznD
0i9KY4BHMNjMNPQjcCc6SSrtlEixGoqGaee5DBazn1XZ
gjHrrLEcLbRSYpe8IobP/VvxRjKbZ9p6Ye9f )
;; AUTHORITY SECTION:
dnssec.works. 1800 IN NS ns5.myinfrastructure.org.
dnssec.works. 1800 IN NS ns3.myinfrastructure.org.
dnssec.works. 1800 IN RRSIG NS 8 2 1800 (
20190309141247 20190207134322 63306 dnssec.works.
KV8zn+VZgUAcfCfXiXEVataP02kOVUVyU8zpNnKIsUcz
Q8QNwqErejm0zi1MY8O29y25gIJa2uTkUGwuBPOIasTc
6ybZk0UUgAIvj5oJDCP4xiSHgmoKeeMweTX6j8zTE3wx
IF9rg2nD9OgeCix408XchGFbpXOb234n/cFw0L+F0ueh
JflLJ3qXEu5tgzOK79DHEhdGaC7k0SI69UWQg6Wiv89/
3SxgFC742Wi2VwRv4Hn6u/G1KSQxXEeIrg43 )
;; Query time: 194 msec
;; SERVER: 192.0.2.1#53(192.0.2.1)
;; WHEN: Sat Feb 09 19:58:33 CET 2019
;; MSG SIZE rcvd: 585
1.2 Negativ-Tests
Die Subdomains fail01.dnssec.works, fail02.dnssec.works,
fail03.dnssec.works und fail04.dnssec.works haben verschiedene
DNSSEC Fehler und dürfen daher nicht validieren. Ein DNSSEC-Resolver
sollte für alle diese Sub-Domains die Fehlermeldung SERVFAIL
zurückliefern. Ein Abruf dieser Domains mit dem CD Flag (CD =
Checking Disabled) sollte die DNS-Daten zurückliefern. Erwartete
Ausgabe des Befehls dig fail01.dnssec.works +dnssec +multi
; <<>> DiG 9.10.6 <<>> fail01.dnssec.works +dnssec +multi ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63497 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;fail01.dnssec.works. IN A ;; Query time: 1726 msec ;; SERVER: 192.0.2.1#53(192.0.2.1) ;; WHEN: Sat Feb 09 20:04:30 CET 2019 ;; MSG SIZE rcvd: 37
Test mit Checking-Disabled, Befehl dig fail01.dnssec.works +dnssec +multi +cd:
; <<>> DiG 9.10.6 <<>> fail01.dnssec.works +dnssec +multi +cd ; (3 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26791 ;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;fail01.dnssec.works. IN A ;; ANSWER SECTION: fail01.dnssec.works. 3600 IN A 5.45.109.212 ;; Query time: 60 msec ;; SERVER: 192.0.2.11#53(192.0.2.1) ;; WHEN: Sat Feb 09 20:09:45 CET 2019 ;; MSG SIZE rcvd: 64
2 Artikel
Weitere Einzelheiten zu diesen DNSSEC-Test Methoden und konkrete Anleitungen finden Sie im kostenpflichtigen c't-Artikel "TÜV-Werkzeugkasten, Prüfmethoden für die Sicherheitstechnik DNSSEC" (http://heise.de/-2841942).
3 Webdienste
- DNSSEC Debugger DNSViz: https://dnsviz.net
- DNS-Bajaj (DNS Delegation Debugger): http://www.zonecut.net/dns/
- Zonemaster (DNS Fehlerpüfung): https://zonemaster.net
- Webbasiertes
dig: https://networking.ringofsaturn.com/Tools/dig.php - DNS Abfrage mit GEO-IP Daten: https://www.whatsmydns.net/
- DNS Abfrage bei Google: https://toolbox.googleapps.com/apps/dig/
- DNS Abfrage mit Whois: http://digdns.com