DNS Security Reference
Référence complète du DNSSEC et des meilleures pratiques de sécurité DNS, y compris les types d'enregistrements, les attaques et la comparaison DoH vs DoT.
DnsSecurityReference.dnssecTitle
DnsSecurityReference.dnssecDesc
DNSKEYContains the public key used to verify signatures in the zone.
RRSIGResource Record Signature — cryptographic signature over a DNS record set.
DSDelegation Signer — links a child zone's DNSKEY to the parent zone.
NSECNext Secure — proves non-existence of a DNS record (authenticated denial).
NSEC3Hashed version of NSEC — prevents zone walking by hashing owner names.
CDSChild DS — child zone signals key changes to parent for automated rollover.
À propos de cet outil
DNS (Système de Noms de Domaine) est le carnet d'adresses d'internet, traduisant les noms de domaine lisibles par l'homme en adresses IP—mais le DNS traditionnel fonctionne sans chiffrement, ce qui le rend vulnérable aux usurpations, empoisonnements de cache et attaques de l'homme du milieu qui peuvent vous rediriger vers des sites web malveillants. DNSSEC (Extensions de Sécurité DNS) résout ce problème en ajoutant l'authentification cryptographique aux réponses DNS, garantissant que les enregistrements n'ont pas été altérés, tandis que DNS over HTTPS (DoH) et DNS over TLS (DoT) chiffrent vos requêtes pour prévenir l'espionnage et le suivi. Comprendre ces technologies est essentiel pour les administrateurs système, les développeurs, les professionnels de la sécurité et toute personne soucieuse de protéger son trafic DNS contre la surveillance ou les attaques.
Cet outil de Référence de Sécurité DNS fournit une documentation complète des types d'enregistrements DNSSEC (DNSKEY, RRSIG, DS, NSEC/NSEC3), des attaques DNS courantes (usurpation, amplification DDoS, détournement, attaques NXDOMAIN) et des comparaisons détaillées entre les protocoles de chiffrement DNS—particulièrement les différences de confidentialité et d'implémentation entre DoH (port 443, indiscernable du trafic web) et DoT (port 853, plus facile à surveiller sur les réseaux d'entreprise). Que vous configuriez DNSSEC pour votre domaine, choisissiez entre DoH et DoT pour votre organisation ou appreniez les meilleures pratiques de sécurité DNS, cet outil consolide des connaissances dispersées en une référence unique et interrogeable.
L'outil est idéal pour les administrateurs de domaine activant DNSSEC (nécessite la prise en charge du fournisseur DNS et la configuration de l'enregistrement DS chez votre registrar), les ingénieurs réseau concevant des solutions DNS chiffrées pour leur infrastructure, les professionnels de la sécurité auditant les politiques DNS et les développeurs construisant des applications conscientes de DNSSEC ou des clients DNS sécurisés. Pour la protection des données à long terme, les références basées sur navigateur comme celle-ci sont les plus utiles en combinaison avec des tests pratiques via des outils comme dnsviz.net ou l'utilitaire de ligne de commande dig.
Questions Fréquentes
Implémentation du Code
import subprocess
# Query DNSSEC records using dig
def check_dnssec(domain: str) -> None:
print(f"Checking DNSSEC for: {domain}")
# Check DNSKEY record
result = subprocess.run(
["dig", "+dnssec", "DNSKEY", domain],
capture_output=True, text=True
)
if "DNSKEY" in result.stdout:
print(f" ✓ DNSKEY record found")
else:
print(f" ✗ No DNSKEY record")
# Check DS record at parent
result = subprocess.run(
["dig", "+dnssec", "DS", domain],
capture_output=True, text=True
)
if "DS" in result.stdout:
print(f" ✓ DS record found (DNSSEC enabled)")
else:
print(f" ✗ No DS record (DNSSEC not fully configured)")
# Check RRSIG
result = subprocess.run(
["dig", "+dnssec", "A", domain],
capture_output=True, text=True
)
if "RRSIG" in result.stdout:
print(f" ✓ RRSIG present (records are signed)")
else:
print(f" ✗ No RRSIG (records not signed)")
check_dnssec("cloudflare.com")Comments & Feedback
Comments are powered by Giscus. Sign in with GitHub to leave a comment.