Como validar o DNSSEC com script personalizado

Se você precisar configurar o monitoramento DNS e verificar a autenticidade das respostas do DNS, você pode configurar o dispositivo de monitoramento do Script Personalizado e usar o script DnsSecTest.cs.

O script DnsSecTest.cs permite validação de DNSSEC para a procuração de DNS.

O que é validação do DNSSEC?

O DNSSEC é um conjunto de extensões que melhoram a segurança do Sistema de Nomes de Domínio (DNS), verificando se os resultados do DNS não foram adulterados. As empresas podem usar o DNSSEC para evitar uma série de ataques relacionados à falsificação de DNS, envenenamento por cache DNS, etc.

A segurança não era uma prioridade máxima durante o desenvolvimento do DNS. Portanto, ao enviar uma solicitação a um servidor DNS autoritário, o resolve não pode verificar a autenticidade da resposta, enviada por servidores de nome aos clientes. O resolver só pode verificar se a resposta vem do mesmo endereço IP para o qual a solicitação original foi enviada.

O DNSSEC ajuda a verificar a autenticidade das respostas do DNS usando assinaturas digitais para registros de DNS.

Configurando o DnsSecTest.cs

Arquivo de script personalizado	Argumentos
DnsSecTest.cs	<Registro de domínio/hostnameType > < > < DnsServersUsage>

DnsSecTest.cs parâmetros disponíveis:

< Domínio/hostname > – Nome de domínio ou host para resolver.
< registroType > – Tipo de registro NS para consulta. Valores disponíveis: Any, Uri, A, Ns, CName, Soa, Wks, Ptr, HInfo, Mx, Txt, Rp, Afsdb, X25, Isdn, Rt, Nsap, Sig, Key, Px, GPos, Aaaa, Loc, Srv, Naptr, Kx, Cert, DName, Opt, Apl, Ds, SshFp, Ipseckey, RrSig, NSec, Dnskey, Dhcid, NSec3, NSec3Param, TIsa, Hip, CDs, CDnskey, OpenPGPKey, CSync, NId, L32, L64, LP, Eui48, Eui64, TKey, TSig, Ixfr, Axfr, MailB, CAA.
< DnsServersUsage > – Opcional: Tipo de Servidor DNS para usar. Valores disponíveis: Auto, IPv4Only, IPv6Priority.

Exemplos

Detalhes de resposta do exemplo

1.   2021-10-19 04:18:10.071 DOTCOM-MONITOR STEP. Is IPv6 enabled for DNS servers: False
2.   2021-10-19 04:18:10.075 DOTCOM-MONITOR STEP. Request to 192.36.148.17 : Dns request #48085
 Question: [ microsoft.com. Ds INet ]
Flags: [IsRecursionDesired: False, IsCheckingDisabled: True, IsDnsSecOk: True ] 

3.   2021-10-19 04:18:10.102 DOTCOM-MONITOR STEP. Response from 192.36.148.17: Dns response #48085 RCode: NoError
 Question: [ microsoft.com. Ds INet ]
Flags: [IsAuthenticData: False, IsAuthoritiveAnswer: False, IsCheckingDisabled: True, IsDnsSecOk: True, IsEDnsEnabled: True, IsRecursionAllowed: False, IsRecursionDesired: False ] 
Answer records:
Additional records:
m.gtld-servers.net. 172800 IN A 192.55.83.30
l.gtld-servers.net. 172800 IN A 192.41.162.30
k.gtld-servers.net. 172800 IN A 192.52.178.30
j.gtld-servers.net. 172800 IN A 192.48.79.30
i.gtld-servers.net. 172800 IN A 192.43.172.30
h.gtld-servers.net. 172800 IN A 192.54.112.30
g.gtld-servers.net. 172800 IN A 192.42.93.30
f.gtld-servers.net. 172800 IN A 192.35.51.30
e.gtld-servers.net. 172800 IN A 192.12.94.30
d.gtld-servers.net. 172800 IN A 192.31.80.30
c.gtld-servers.net. 172800 IN A 192.26.92.30
b.gtld-servers.net. 172800 IN A 192.33.14.30
a.gtld-servers.net. 172800 IN A 192.5.6.30
m.gtld-servers.net. 172800 IN AAAA 2001:501:b1f9::30
l.gtld-servers.net. 172800 IN AAAA 2001:500:d937::30
k.gtld-servers.net. 172800 IN AAAA 2001:503:d2d::30
j.gtld-servers.net. 172800 IN AAAA 2001:502:7094::30
i.gtld-servers.net. 172800 IN AAAA 2001:503:39c1::30
h.gtld-servers.net. 172800 IN AAAA 2001:502:8cc::30
g.gtld-servers.net. 172800 IN AAAA 2001:503:eea3::30
f.gtld-servers.net. 172800 IN AAAA 2001:503:d414::30
e.gtld-servers.net. 172800 IN AAAA 2001:502:1ca1::30
d.gtld-servers.net. 172800 IN AAAA 2001:500:856e::30
c.gtld-servers.net. 172800 IN AAAA 2001:503:83eb::30
b.gtld-servers.net. 172800 IN AAAA 2001:503:231d::2:30
a.gtld-servers.net. 172800 IN AAAA 2001:503:a83e::2:30
; EDNS version: 0; flags: DO; udp: 4096
Authority records:
com. 172800 IN NS b.gtld-servers.net.
com. 172800 IN NS c.gtld-servers.net.
com. 172800 IN NS f.gtld-servers.net.
com. 172800 IN NS k.gtld-servers.net.
com. 172800 IN NS l.gtld-servers.net.
com. 172800 IN NS g.gtld-servers.net.
com. 172800 IN NS m.gtld-servers.net.
com. 172800 IN NS i.gtld-servers.net.
com. 172800 IN NS d.gtld-servers.net.
com. 172800 IN NS h.gtld-servers.net.
com. 172800 IN NS e.gtld-servers.net.
com. 172800 IN NS a.gtld-servers.net.
com. 172800 IN NS j.gtld-servers.net.
com. 86400 IN DS 30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CFC41A5766
com. 86400 IN RRSIG DS 8 1 86400 20211101050000 20211019040000 14748 . UfGIF9LAypJoSmK9wAphO+ve/I8iQqQkjmNsxCha6UdKX3O+oPTxDU32wEuajMlf873yjZ+FkBxKH+Crl2MLBTkcbmYV7E3rIZdmGeqKkPnOq/R0JkuQdk4BbxRvyJhf+OKW+PrlX6gP2r8Q387eGTxQPuxPMblLELlto5NTnqaXYME4QD63W/UrSqNDWWL1/UYmJ+UaJhn/Dp0d+QT6wooM0yPJaRMo5xd476vPXg5aXAcJhp/3g4jEB0CovicJfqyxBWOKcscYPNiq1z1EXiRtXsrWoy46uWhPaJqCpkHHmpus6XM8M4Ojuk1lxFnkBUARk0Co6MHRH/Evsxr9dQ==

4.   2021-10-19 04:18:10.102 DOTCOM-MONITOR STEP. Request to 192.55.83.30 : Dns request #7170
 Question: [ microsoft.com. Ds INet ]
Flags: [IsRecursionDesired: False, IsCheckingDisabled: True, IsDnsSecOk: True ] 

5.   2021-10-19 04:18:10.147 DOTCOM-MONITOR STEP. Response from 192.55.83.30: Dns response #7170 RCode: NoError
 Question: [ microsoft.com. Ds INet ]
Flags: [IsAuthenticData: False, IsAuthoritiveAnswer: True, IsCheckingDisabled: True, IsDnsSecOk: True, IsEDnsEnabled: True, IsRecursionAllowed: False, IsRecursionDesired: False ] 
Answer records:
Additional records:
; EDNS version: 0; flags: DO; udp: 4096
Authority records:
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0Q1GIN43N1ARRC9OSM6QPQR81H5M9A NS SOA RRSIG DNSKEY NSEC3PARAM
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN RRSIG NSEC3 8 2 86400 20211023042336 20211016031336 15549 com. Gw3gWAHJ0mo6ongxQgBkfV4GtTMyIgXoPv6oZsKbRBJsIMXSlICn5/sU7TlEUdMfmzV+crrVV5VRlFZYgIQn8T5Nk/eDH8nxREYJNBsZ3JU6AEJzNVH70wWpmyIUtMlGV9ZiFx83tuaa+d
...
...
...