Pular para o conteúdo
🛠️ToolsShed

DNS Security Reference

Referência abrangente de DNSSEC e melhores práticas de segurança DNS incluindo tipos de registro, ataques e comparação DoH vs DoT.

DnsSecurityReference.dnssecTitle

DnsSecurityReference.dnssecDesc

DNSKEY

Contains the public key used to verify signatures in the zone.

RRSIG

Resource Record Signature — cryptographic signature over a DNS record set.

DS

Delegation Signer — links a child zone's DNSKEY to the parent zone.

NSEC

Next Secure — proves non-existence of a DNS record (authenticated denial).

NSEC3

Hashed version of NSEC — prevents zone walking by hashing owner names.

CDS

Child DS — child zone signals key changes to parent for automated rollover.

Sobre esta ferramenta

DNS (Sistema de Nomes de Domínio) é o livro de endereços da internet, traduzindo nomes de domínio legíveis por humanos em endereços IP—mas DNS tradicional opera sem criptografia, o que o torna vulnerável a falsificação, envenenamento de cache e ataques de intermediário que podem redirecionar você para sites maliciosos. DNSSEC (Extensões de Segurança DNS) resolve isso adicionando autenticação criptográfica às respostas DNS, garantindo que os registros não foram alterados, enquanto DNS sobre HTTPS (DoH) e DNS sobre TLS (DoT) criptografam suas consultas para evitar espionagem e rastreamento. Entender essas tecnologias é crítico para administradores de sistemas, desenvolvedores, profissionais de segurança e qualquer pessoa preocupada em proteger seu tráfego DNS de vigilância ou ataques.

Esta ferramenta de Referência de Segurança DNS fornece documentação abrangente de tipos de registros DNSSEC (DNSKEY, RRSIG, DS, NSEC/NSEC3), ataques DNS comuns (falsificação, amplificação DDoS, sequestro, ataques NXDOMAIN) e comparações detalhadas entre protocolos de criptografia DNS—particularmente as diferenças de privacidade e implementação entre DoH (porta 443, indistinguível do tráfego da web) e DoT (porta 853, mais fácil de monitorar em redes corporativas). Se você está configurando DNSSEC para seu domínio, escolhendo entre DoH e DoT para sua organização ou aprendendo as melhores práticas de segurança DNS, esta ferramenta consolida conhecimento disperso em uma referência única e pesquisável.

A ferramenta é ideal para administradores de domínio habilitando DNSSEC (requer suporte do provedor DNS e configuração de registro DS no registrador), engenheiros de rede projetando soluções DNS criptografadas para sua infraestrutura, profissionais de segurança auditando políticas DNS e desenvolvedores construindo aplicações conscientes de DNSSEC ou clientes DNS seguros. Para proteção de dados de longo prazo, referências baseadas em navegador como esta são mais úteis em combinação com testes práticos usando ferramentas como dnsviz.net ou o utilitário de linha de comando dig.

Perguntas Frequentes

Implementação de Código

import subprocess

# Query DNSSEC records using dig
def check_dnssec(domain: str) -> None:
    print(f"Checking DNSSEC for: {domain}")

    # Check DNSKEY record
    result = subprocess.run(
        ["dig", "+dnssec", "DNSKEY", domain],
        capture_output=True, text=True
    )
    if "DNSKEY" in result.stdout:
        print(f"  ✓ DNSKEY record found")
    else:
        print(f"  ✗ No DNSKEY record")

    # Check DS record at parent
    result = subprocess.run(
        ["dig", "+dnssec", "DS", domain],
        capture_output=True, text=True
    )
    if "DS" in result.stdout:
        print(f"  ✓ DS record found (DNSSEC enabled)")
    else:
        print(f"  ✗ No DS record (DNSSEC not fully configured)")

    # Check RRSIG
    result = subprocess.run(
        ["dig", "+dnssec", "A", domain],
        capture_output=True, text=True
    )
    if "RRSIG" in result.stdout:
        print(f"  ✓ RRSIG present (records are signed)")
    else:
        print(f"  ✗ No RRSIG (records not signed)")

check_dnssec("cloudflare.com")

Comments & Feedback

Comments are powered by Giscus. Sign in with GitHub to leave a comment.