DNSSEC и Google Public DNS

Многие знают, что у Google есть полезный DNS-сервис – открытый резолвер, воспользоваться которым может каждый, Google Publi. Буквально на днях, судя по ответам серверов, Google Public DNS стал проводить валидацию DNSSEC. То есть, подписанные домены теперь проверяются. Раньше такой функции не было.

Дальше немного технической части.

Убедиться в поддержке DNSSEC можно следующим образом (8.8.8.8 – один из адресов резолвера Google):

$ dig @8.8.8.8 -t A +dnssec dxdt.ru

; <<>> DiG 9.8.1-P1 <<>> @8.8.8.8 -t A +dnssec dxdt.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45823 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

– наблюдаем установленный бит AD в ответе (зона dxdt.ru – подписана, это факт).

$ dig @8.8.8.8 -t A +dnssec broken.nox.su

; <<>> DiG 9.8.1-P1 <<>> @8.8.8.8 -t A +dnssec broken.nox.su
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 52027

– наблюдаем SERVFAIL, это правильно, потому что broken.nox.su – специально сломана, чтобы можно было протестировать поддержку DNSSEC; если резолвер не проводит валидацию, то в ответе будет IP-адрес (для broken.nox.su это, обычно, 0.0.0.0).

Ещё пример, используем добротно сломанный dotsu.su:

$ dig @8.8.8.8 -t A +dnssec dotsu.su

– ответом должен быть SERVFAIL, и оно так и есть, по крайней мере, на моей стороне.

(Вообще, пока официального объявления нет, нужно полагать, что эта новая функция работает не для всех узлов, то есть, результаты могут отличаться.)

Этот шаг Google может неплохо помочь в продвижении DNSSEC, а заодно повысит популярность их DNS-резолверов.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 5

  • 1. 30th January 2013, 07:46 // Читатель shaplov.livejournal.com написал:

    Ну гугловый DNS вообще странный.

    Во-первых когда я его щупал, там поддержки DNSSEC таки не было, может быть недавно появилась. Уже не помню в чем это выражалось.

    А во-вторых уже недавно, я выяснил, что если к нему послать NS запрос с просьбой возвращать только авторетативный ответ, если есть, то оный гугл-ДНС эту опцию радосnно проигнорирует и вернет неавторететный ответ в режиме резолвера.

  • 2. 30th January 2013, 16:30 // Читатель jno написал:

    ну, как-то так, да (с пчелиного IP):

    jno@blackbox:~$ dig @8.8.8.8 -t A +dnssec dxdt.ru
    ;; ->>HEADER<>HEADER<>HEADER<>HEADER<>HEADER<>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 8585
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

  • 3. 30th January 2013, 16:31 // Читатель jno написал:

    глюки. репост.

    ну, как-то так, да (с пчелиного IP):

    jno@blackbox:~$ dig @8.8.8.8 -t A +dnssec dxdt.ru
    ;; ->>HEADER<>HEADER<>HEADER<>HEADER<>HEADER<>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 8585
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

  • 4. 30th January 2013, 16:32 // Читатель jno написал:

    ооо! МНОГО ГЛЮКОВ!

    репост без галочек

    ну, как-то так, да (с пчелиного IP):

    jno@blackbox:~$ dig @8.8.8.8 -t A +dnssec dxdt.ru
    ;; -HEADER- opcode: QUERY, status: NOERROR, id: 53022
    ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

    jno@blackbox:~$ dig @8.8.8.8 -t A +dnssec broken.nox.su
    ;; -HEADER- opcode: QUERY, status: SERVFAIL, id: 55273
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

    jno@blackbox:~$ dig @8.8.8.8 -t A +dnssec dotsu.su
    ;; -HEADER- opcode: QUERY, status: SERVFAIL, id: 26159
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

    c “британского” IP:

    jno@XXX$ dig @8.8.8.8 -t A +dnssec dxdt.ru
    ;; -HEADER- opcode: QUERY, status: NOERROR, id: 7696
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

    jno@XXX$ dig @8.8.8.8 -t A +dnssec broken.nox.su
    ;; -HEADER- opcode: QUERY, status: SERVFAIL, id: 53821
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

    jno@XXX$ dig @8.8.8.8 -t A +dnssec dotsu.su
    ;; -HEADER- opcode: QUERY, status: SERVFAIL, id: 8585
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

  • 5. 30th January 2013, 19:20 // Александр Венедюхин ответил:

    То есть, ещё не полностью развернули они поддержку. Ждём.