dwt's life - dnssec https://dwt.life/tag/dnssec/ zh-CN Tue, 14 Jun 2022 16:43:00 +0800 Tue, 14 Jun 2022 16:43:00 +0800 Windows下dnssec检测流程 https://dwt.life/archives/251/ https://dwt.life/archives/251/ Tue, 14 Jun 2022 16:43:00 +0800 Ricky 如果没有经过递归服的查询是无法获取到dnssec do的bit位的,所以只能手动指定dnssec ok
Microsoft doc给出了比较全面的文档,本文仅做部分指令的记录,且需要在powershell下执行。

普通dns查询

Resolve-DnsName 主机名 –type A -server 127.0.0.1

设置DO为1

resolve-dnsname -name 主机名 -type A -server 127.0.0.1 -dnssecok

获取dnssec key记录

resolve-dnsname -name 主机名 -type dnskey -server 127.0.0.1 -dnssecok

其他检测工具

versign lab:https://dnssec-analyzer.verisignlabs.com/
https://dnsviz.net/

239.png

从图中可以看出来,..net都是有dnssec签名保护的,包括我们的二级域也是被保护的(绿色框框),至于红色警告,是国内机器屏蔽了海外UDP导致的。

[1] https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj200221(v=ws.11)

]]> 0 https://dwt.life/archives/251/#comments https://dwt.life/feed/tag/dnssec/