檢查壹個有DNSSEC簽名的域名的RRSIG(Resource Record Signature)
為了讓結果看得更清楚,找壹個配置了DNSSEC簽名的域名(paypal.com),壹個支持DNSSEC的DNS服務器(4.2.2.4),和壹個不支持DNSSEC的DNS服務器(114.114.114.114)
使用支持DNSSEC的4.2.2.4查詢結果如下
root@OpenWrt:~#?dig?paypal.com?+dnssec?@4.2.2.4;?<<>>?DiG?9.9.4?<<>>?paypal.com?+dnssec?@4.2.2.4
;;?global?options:?+cmd
;;?Got?answer:
;;?->>HEADER<<-?opcode:?QUERY,?status:?NOERROR,?id:?48979
;;?flags:?qr?rd?ra;?QUERY:?1,?ANSWER:?3,?AUTHORITY:?0,?ADDITIONAL:?1
;;?OPT?PSEUDOSECTION:
;?EDNS:?version:?0,?flags:?do;?udp:?4096
;;?QUESTION?SECTION:
;paypal.com.IN?A
;;?ANSWER?SECTION:
paypal.com.?293?IN?A66.211.169.3
paypal.com.?293?IN?A66.211.169.66
paypal.com.?293?IN?RRSIGA?5?2?300?20140728175119?20140628172604?11811?paypal.com.?ka3J7csLBUiZIrh7YTKJ7eUBzpACe7jmr6M2wURsNCQ/dFjB9Jl018OZ?6i3BzzSYqSS2jw9TmVZMKxRLH3cmt5jc1BNI6Q9uB46DLpJJoAmXQ1rQ?ss37Mb4BlK8dD4rxLJmEJh19+Kg8xXxE8iGYwLM7tkyayIjVdxbt80TE?vgg=
;;?Query?time:?224?msec
;;?SERVER:?4.2.2.4#53(4.2.2.4)
;;?WHEN:?Tue?Jul?15?21:49:25?CST?2014
;;?MSG?SIZE?rcvd:?241
使用不支持DNSSEC的114.114.114.114查詢結果如下:
root@OpenWrt:~#?dig?paypal.com?+dnssec?@114.114.114.114;?<<>>?DiG?9.9.4?<<>>?paypal.com?+dnssec?@114.114.114.114
;;?global?options:?+cmd
;;?Got?answer:
;;?->>HEADER<<-?opcode:?QUERY,?status:?NOERROR,?id:?12717
;;?flags:?qr?rd?ra;?QUERY:?1,?ANSWER:?2,?AUTHORITY:?0,?ADDITIONAL:?0
;;?QUESTION?SECTION:
;paypal.com.IN?A
;;?ANSWER?SECTION:
paypal.com.?300?IN?A66.211.169.3
paypal.com.?300?IN?A66.211.169.66
;;?Query?time:?577?msec
;;?SERVER:?114.114.114.114#53(114.114.114.114)
;;?WHEN:?Tue?Jul?15?21:49:57?CST?2014
;;?MSG?SIZE?rcvd:?60
可以看到,支持DNSSEC的服務器多返回了壹串非常長的RRSIG(Resource Record Signature),這就是DNSSEC中非常重要的數據簽名。
而不支持DNSSEC的服務器就完全沒有返回這些信息了,由此可以很容易區分壹臺DNS服務器是否支持DNSSEC。
不過,目前配置了DNSSEC簽名的域名非常少,壹般有些國外政府域名有,當然paypal也有,而國內幾乎沒有。
如果壹個域名本身就沒有配置DNSSEC簽名,那麽無論妳是通過什麽樣的DNS服務器查詢dnssec數據,結果都是壹樣的。