Lewati ke konten
🛠️ToolsShed

DNS Security Reference

Referensi DNSSEC dan praktik terbaik keamanan DNS komprehensif termasuk jenis record, serangan, dan perbandingan DoH vs DoT.

DnsSecurityReference.dnssecTitle

DnsSecurityReference.dnssecDesc

DNSKEY

Contains the public key used to verify signatures in the zone.

RRSIG

Resource Record Signature — cryptographic signature over a DNS record set.

DS

Delegation Signer — links a child zone's DNSKEY to the parent zone.

NSEC

Next Secure — proves non-existence of a DNS record (authenticated denial).

NSEC3

Hashed version of NSEC — prevents zone walking by hashing owner names.

CDS

Child DS — child zone signals key changes to parent for automated rollover.

Tentang alat ini

DNS (Sistem Nama Domain) adalah buku alamat internet, menerjemahkan nama domain yang dapat dibaca manusia menjadi alamat IP—tetapi DNS tradisional beroperasi tanpa enkripsi, membuatnya rentan terhadap spoofing, keracunan cache, dan serangan man-in-the-middle yang dapat mengarahkan ulang Anda ke situs web berbahaya. DNSSEC (Ekstensi Keamanan DNS) mengatasi ini dengan menambahkan autentikasi kriptografi ke respons DNS, memastikan bahwa catatan tidak telah dirusak, sementara DNS over HTTPS (DoH) dan DNS over TLS (DoT) mengenkripsi kueri Anda untuk mencegah penyadapan dan pelacakan. Memahami teknologi ini sangat penting bagi administrator sistem, pengembang, profesional keamanan, dan siapa pun yang khawatir melindungi lalu lintas DNS mereka dari pengawasan atau serangan.

Alat Referensi Keamanan DNS ini menyediakan dokumentasi komprehensif tentang jenis record DNSSEC (DNSKEY, RRSIG, DS, NSEC/NSEC3), serangan DNS umum (spoofing, amplifikasi DDoS, perampasan, serangan NXDOMAIN), dan perbandingan rinci antara protokol enkripsi DNS—khususnya perbedaan privasi dan implementasi antara DoH (port 443, tidak dapat dibedakan dari lalu lintas web) dan DoT (port 853, lebih mudah dipantau di jaringan perusahaan). Baik Anda mengonfigurasi DNSSEC untuk domain Anda, memilih antara DoH dan DoT untuk organisasi Anda, atau mempelajari praktik terbaik keamanan DNS, alat ini mengkonsolidasikan pengetahuan yang tersebar dalam satu referensi yang dapat dicari.

Alat ini ideal untuk administrator domain yang mengaktifkan DNSSEC (memerlukan dukungan penyedia DNS dan konfigurasi record DS di registrar), insinyur jaringan yang merancang solusi DNS terenkripsi untuk infrastruktur mereka, profesional keamanan yang mengaudit kebijakan DNS, dan pengembang yang membangun aplikasi yang menyadari DNSSEC atau klien DNS aman. Untuk perlindungan data jangka panjang, referensi berbasis browser seperti ini paling berguna bila dikombinasikan dengan pengujian praktis menggunakan alat seperti dnsviz.net atau utilitas baris perintah dig.

Pertanyaan yang Sering Diajukan

Implementasi Kode

import subprocess

# Query DNSSEC records using dig
def check_dnssec(domain: str) -> None:
    print(f"Checking DNSSEC for: {domain}")

    # Check DNSKEY record
    result = subprocess.run(
        ["dig", "+dnssec", "DNSKEY", domain],
        capture_output=True, text=True
    )
    if "DNSKEY" in result.stdout:
        print(f"  ✓ DNSKEY record found")
    else:
        print(f"  ✗ No DNSKEY record")

    # Check DS record at parent
    result = subprocess.run(
        ["dig", "+dnssec", "DS", domain],
        capture_output=True, text=True
    )
    if "DS" in result.stdout:
        print(f"  ✓ DS record found (DNSSEC enabled)")
    else:
        print(f"  ✗ No DS record (DNSSEC not fully configured)")

    # Check RRSIG
    result = subprocess.run(
        ["dig", "+dnssec", "A", domain],
        capture_output=True, text=True
    )
    if "RRSIG" in result.stdout:
        print(f"  ✓ RRSIG present (records are signed)")
    else:
        print(f"  ✗ No RRSIG (records not signed)")

check_dnssec("cloudflare.com")

Comments & Feedback

Comments are powered by Giscus. Sign in with GitHub to leave a comment.