Estoy realizando un proyecto de investigación sobre las Extensiones de Seguridad del Sistema de Nombres de Dominio ( DNSSEC ).
Tengo un SOA, Stub resolver y un cliente, así como una máquina de ataque.
Mi pregunta es la siguiente. ¿Hay una manera de probar la validez del registro, después de un ataque de envenenamiento de DNS en un cliente de Linux? Esta comprobación debe realizarse desde una interfaz de línea de comandos.
Verifiqué que los registros DNSSEC están configurados.
Según enlace :
Obtener claves de raíz. Puede hacer esto con la excavación en una máquina sin envenenar :
dig . DNSKEY | grep -Ev '^($|;)' > root.keys
Verifique su registro dns de destino:
dig +sigchase +trusted-key=./root.keys www.eurid.eu. A | cat -n
La otra alternativa es configurar un sistema de resolución de DNS de validación sin enlazar. Lo uso para proporcionar seguridad DNSSEC en máquinas de escritorio. Está fácilmente disponible en Fedora 17 . O BIND en Debian 7.0 . Olvidé si hay paquetes debian que configuren sin consolidar para usted, pero tampoco es difícil hacerlo manualmente.
Luego ejecute dig contra su resolución segura, y mostrará un error plano (SERVFAIL, creo) si hay resultados no válidos. También puede configurar los datos no vinculados para registrar sobre cada error de validación.