Перейти к содержимому
🛠️ToolsShed

DNS Security Reference

Полный справочник DNSSEC и лучших практик безопасности DNS, включая типы записей, атаки и сравнение DoH и DoT.

DnsSecurityReference.dnssecTitle

DnsSecurityReference.dnssecDesc

DNSKEY

Contains the public key used to verify signatures in the zone.

RRSIG

Resource Record Signature — cryptographic signature over a DNS record set.

DS

Delegation Signer — links a child zone's DNSKEY to the parent zone.

NSEC

Next Secure — proves non-existence of a DNS record (authenticated denial).

NSEC3

Hashed version of NSEC — prevents zone walking by hashing owner names.

CDS

Child DS — child zone signals key changes to parent for automated rollover.

Об этом инструменте

DNS (система доменных имён) — это адресная книга интернета, переводящая удобочитаемые доменные имена в IP-адреса—однако традиционный DNS работает в незашифрованном виде, что делает его уязвимым для спуфинга, отравления кэша и атак посредника, которые могут перенаправить вас на вредоносные веб-сайты. DNSSEC (расширения безопасности DNS) решает эту проблему, добавляя криптографическую аутентификацию к DNS-ответам и гарантируя, что записи не были подделаны, а DNS over HTTPS (DoH) и DNS over TLS (DoT) шифруют ваши запросы, чтобы предотвратить прослушивание и отслеживание. Понимание этих технологий критически важно для системных администраторов, разработчиков, специалистов по безопасности и всех, кто обеспокоен защитой своего DNS-трафика от наблюдения или атак.

Этот справочник по безопасности DNS предоставляет полную документацию о типах записей DNSSEC (DNSKEY, RRSIG, DS, NSEC/NSEC3), распространённых DNS-атаках (спуфинг, DDoS-амплификация, перехват, NXDOMAIN-атаки) и подробных сравнениях между протоколами шифрования DNS—особенно различиями в конфиденциальности и реализации между DoH (порт 443, неотличим от веб-трафика) и DoT (порт 853, проще отслеживать в корпоративных сетях). Независимо от того, настраиваете ли вы DNSSEC для своего домена, выбираете между DoH и DoT для вашей организации или изучаете лучшие практики безопасности DNS, этот инструмент объединяет разрозненные знания в одну удобную для поиска справку.

Инструмент идеален для администраторов доменов, включающих DNSSEC (требуется поддержка поставщика DNS и конфигурация записи DS у регистратора), сетевых инженеров, проектирующих решения шифрованного DNS для своей инфраструктуры, специалистов по безопасности, проверяющих политики DNS, и разработчиков, создающих приложения, осведомлённые о DNSSEC, или безопасные DNS-клиенты. Для долгосрочной защиты данных справочники на основе браузера, подобные этому, наиболее полезны в сочетании с практическими испытаниями с использованием инструментов типа dnsviz.net или командной утилиты dig.

Часто задаваемые вопросы

Реализация кода

import subprocess

# Query DNSSEC records using dig
def check_dnssec(domain: str) -> None:
    print(f"Checking DNSSEC for: {domain}")

    # Check DNSKEY record
    result = subprocess.run(
        ["dig", "+dnssec", "DNSKEY", domain],
        capture_output=True, text=True
    )
    if "DNSKEY" in result.stdout:
        print(f"  ✓ DNSKEY record found")
    else:
        print(f"  ✗ No DNSKEY record")

    # Check DS record at parent
    result = subprocess.run(
        ["dig", "+dnssec", "DS", domain],
        capture_output=True, text=True
    )
    if "DS" in result.stdout:
        print(f"  ✓ DS record found (DNSSEC enabled)")
    else:
        print(f"  ✗ No DS record (DNSSEC not fully configured)")

    # Check RRSIG
    result = subprocess.run(
        ["dig", "+dnssec", "A", domain],
        capture_output=True, text=True
    )
    if "RRSIG" in result.stdout:
        print(f"  ✓ RRSIG present (records are signed)")
    else:
        print(f"  ✗ No RRSIG (records not signed)")

check_dnssec("cloudflare.com")

Comments & Feedback

Comments are powered by Giscus. Sign in with GitHub to leave a comment.