Vai al contenuto
🛠️ToolsShed

DNS Security Reference

Riferimento completo delle best practice di sicurezza DNSSEC e DNS inclusi tipi di record, attacchi e confronto DoH vs DoT.

DnsSecurityReference.dnssecTitle

DnsSecurityReference.dnssecDesc

DNSKEY

Contains the public key used to verify signatures in the zone.

RRSIG

Resource Record Signature — cryptographic signature over a DNS record set.

DS

Delegation Signer — links a child zone's DNSKEY to the parent zone.

NSEC

Next Secure — proves non-existence of a DNS record (authenticated denial).

NSEC3

Hashed version of NSEC — prevents zone walking by hashing owner names.

CDS

Child DS — child zone signals key changes to parent for automated rollover.

Informazioni sullo strumento

DNS (Domain Name System) è la rubrica di internet, traducendo i nomi di dominio leggibili dall'uomo in indirizzi IP—ma il DNS tradizionale funziona senza crittografia, rendendolo vulnerabile al spoofing, all'avvelenamento della cache e agli attacchi man-in-the-middle che possono reindirizzarti verso siti web malevoli. DNSSEC (Estensioni di Sicurezza DNS) risolve questo aggiungendo autenticazione crittografica alle risposte DNS, garantendo che i record non siano stati alterati, mentre DNS su HTTPS (DoH) e DNS su TLS (DoT) crittografano le tue query per prevenire intercettazioni e tracciamento. Comprendere queste tecnologie è critico per amministratori di sistema, sviluppatori, professionisti della sicurezza e chiunque sia preoccupato di proteggere il suo traffico DNS da sorveglianza o attacchi.

Questo strumento di Riferimento di Sicurezza DNS fornisce documentazione completa sui tipi di record DNSSEC (DNSKEY, RRSIG, DS, NSEC/NSEC3), gli attacchi DNS comuni (spoofing, amplificazione DDoS, dirottamento, attacchi NXDOMAIN) e confronti dettagliati tra i protocolli di crittografia DNS—in particolare le differenze di privacy e implementazione tra DoH (porta 443, indistinguibile dal traffico web) e DoT (porta 853, più facile da monitorare su reti aziendali). Che tu stia configurando DNSSEC per il tuo dominio, scegliendo tra DoH e DoT per la tua organizzazione o imparando le migliori pratiche di sicurezza DNS, questo strumento consolida conoscenze frammentarie in un unico riferimento ricercabile.

Lo strumento è ideale per gli amministratori di dominio che abilitano DNSSEC (richiedono il supporto del provider DNS e la configurazione del record DS presso il registrar), gli ingegneri di rete che progettano soluzioni DNS crittografate per la loro infrastruttura, i professionisti della sicurezza che controllano le politiche DNS e gli sviluppatori che costruiscono applicazioni consapevoli di DNSSEC o client DNS sicuri. Per la protezione dei dati a lungo termine, i riferimenti basati su browser come questo sono più utili in combinazione con test pratici tramite strumenti come dnsviz.net o l'utilità di linea di comando dig.

Domande Frequenti

Implementazione del Codice

import subprocess

# Query DNSSEC records using dig
def check_dnssec(domain: str) -> None:
    print(f"Checking DNSSEC for: {domain}")

    # Check DNSKEY record
    result = subprocess.run(
        ["dig", "+dnssec", "DNSKEY", domain],
        capture_output=True, text=True
    )
    if "DNSKEY" in result.stdout:
        print(f"  ✓ DNSKEY record found")
    else:
        print(f"  ✗ No DNSKEY record")

    # Check DS record at parent
    result = subprocess.run(
        ["dig", "+dnssec", "DS", domain],
        capture_output=True, text=True
    )
    if "DS" in result.stdout:
        print(f"  ✓ DS record found (DNSSEC enabled)")
    else:
        print(f"  ✗ No DS record (DNSSEC not fully configured)")

    # Check RRSIG
    result = subprocess.run(
        ["dig", "+dnssec", "A", domain],
        capture_output=True, text=True
    )
    if "RRSIG" in result.stdout:
        print(f"  ✓ RRSIG present (records are signed)")
    else:
        print(f"  ✗ No RRSIG (records not signed)")

check_dnssec("cloudflare.com")

Comments & Feedback

Comments are powered by Giscus. Sign in with GitHub to leave a comment.