Praktikumsversuch DNS

Ziel

Sie vertiefen und erweitern Ihr Wissen über DNS an praktischen Versuchen.

Übersicht

Es werden im Wesentlichen frei verfügbare Kommandozeilen-Tools verwendet. Voraussetzung ist ein freier Internetzugang auf Port 53. Themen:

• DNS-Komponenten/Struktur im engen und erweiterten Sinn
• Stub- und Full-Resolver
• Kanonischer Name
• Vorwärts- und Rückwärtsauflösung
• DNS-Abfragen mittels UDP
• DNS-Abfragen mittels DoT und DoH
• DNSSEC

Resource Records (RR)

• A
• AAAA
• MX
• TXT
• SPF
• HTTPS

DNS-Protokoll

• mögliche Antworten: NOERROR, NXDOMAIN, REFUSED, SERVFAIL
• Flags:
  • aa - Authoritative Answer
  • qr - Question 0 /Response 1
  • rd - Recursion Desired
  • ra - Recursion Available
  • ad - Authenticated Data
  • cd - Checking Disabled
  • do - DNSSEC OK

Programm dig

• kann Full-REsolver mittels Option +trace arbeiten
• zeigt DNSSEC an mit Option +dnssec

DNS-Abfragen

Nutzen Sie für alle Versuche das Konsolenprogramm dig zur Namensauflösung. Wenn nicht anders gefordert, ist der A-RR der Domäne www.htw-dresden.de gesucht.

1. Machen Sie sich mit der generellen Syntax von dig vertraut.
2. Ermitteln Sie den A-RR der o.g. Domäne ohne Nutzung eines Cache-Nameservers. Gehen Sie für die Abfrage schrittweise vor, indem Sie für jeden Abfrageschritt den entsprechenden Nameserver direkt angeben (Syntax: dig @nameserver domäne). Starten Sie mit dem Rootserver a.root-servers.net.
3. Nutzen Sie die Option +trace um die obigen Abfragen automatisch durchzuführen.
4. Der Server, welcher www.htw-dresden.de betreibt, heißt nicht wirklich www. Wie lautet der korrekte Name?
5. Wie lang ist die Gültigkeitsdauer des obigen A-RR?
6. Existiert ein AAAA-Record?
7. Existiert die Domaine: abcdefghijk.de ?
8. Ermitteln Sie die Adresse des E-Mail-Servers für die Domänen htw-dresden.de und google.com.
9. Lösen Sie die Domäne google.com mehrfach hintereinander auf! Was stellen Sie fest? Wozu dient das festgestellte Verhalten?
10. Lösen Sie cloudflare.com nach RR HTTPS auf! Was bedeutet der Eintrag?

Rückwärtsauflösung

1. Ermitteln Sie zu der erhaltenen IP-Adresse per schrittweiser Abfrage des PTR-RR den zugehörigen Domännamen (Rückwärtsauflösung). Starten Sie wieder mit dem Rootserver.
2. Nutzen Sie die Option +trace um die obigen Abfragen automatisch durchzuführen.
3. Ermitteln Sie die Option für dig um die Rückwärtsauflösung zu vereinfachen.

DNS-Analyse mittels Wireshark

1. Prüfung der Konfiguration von Firefox (Standard-DNS-Resolver)
   • Einstellungen - DatenSchutz & Sicherheit - DNS über HTTPS -> ggf. ausschalten
2. Rufen Sie die Seite www.htw-dresden.de in einem Browser auf und schneiden Sie die Kommunikation mit. Setzen Sie hierzu sinnvollerweise einen Filter auf die eigene IP-Adresse und eventuell auf den UDP-Port für DNS. Aufgaben:
3. Finden Sie die DNS-Anfragen und Antworten (UDP oder TCP, Ports)
4. Ermitteln Sie die Anzahl der DNS-Abfragen bezüglich dieser Website
5. Die Website beinhaltet Bilder. Erfolgen DNS-Anfragen vor dem Abruf der Bilder?
6. Gibt es Unterschiede bei der DNS-Abfrage bei verschiedenen Browsern (Chrome, Firefox)?

DNS over HTTPS bzw. TLS

1. Testen Sie DoH mittels dig (Resolver Cloudflare: 1.1.1.1 oder Telekom dns.telekom.de 217.0.43.50 und Parameter: +https bzw. +tls)
2. Aktivieren Sie DoH in Firefox (maximaler Schutz) und wiederholen Sie den Mitschnitt!

Anmerkungen:

• Firefox nutzt u.U. einen eigenen DNS-Cache. Diesen können Sie über die Konfiguration: about:config und dem Parameter: network.dnsCacheExpiration 0 deaktivieren.
• Eventuell müssen Sie die Proxy-Einstellungen in Firefox deaktivieren.

DNSSEC-RR

1. Beschaffen Sie sich einen Überblick über DNSSSEC.
2. Wodurch wird dem Server ein gesicherter Abfragewunsch mitgeteilt?
3. Woran erkennen Sie eine gesicherte Antwort des Servers?
4. Holen Sie sich gesicherte Informationen über die A-Records folgender Seiten (www.htw-dresden.de, postbank.de, sparkasse.de, heise.de, denic.de). U.U. müssen Sie einen geeigneten Nameserver für die Abfragen wählen.
5. Welche Abfragen konnten gesichert durchgeführt werden?
6. Ermitteln Sie die Signatur des A-RR der Domäne denic.de!
7. Ermitteln Sie den öffentlichen Schlüssel von obiger Domäne für die Schlüsselsignatur und den für die RR-Signatur!
8. Führen Sie die Vertrauenskette weiter bis zum Root-Server.
9. Was ergibt die Prüfung von dnssec-failed.org?
10. Ist eine DNSSEC-Verifikation Botton-up der Top-down möglich?

Anmerkung: Z.Z. unterstützt der Proxy-Nameserver der HTW-Dresden kein DNSSEC. Ein Proxy-Nameserver mit DNSSEC-Unterstützung ist z. B. Google mit den IP 8.8.8.8 und 8.8.4.4.

DNSSEC-Prüfung

1. Nutzen Sie zur Namensauflösung statt dig das Programm delv. (bessere DNSSEC-Unterstützung)
   • Option: +rtrace
   • Achtung: delv fragt nur den angegebenen Nameserver ab, ein autoritativer Server erlaubt keine Rekursion. [7]

Fakultativ

DNS-Laborversuch NETKIT

Nutzen Sie den DNS-Versuch, welcher von Netkit bereitgestellt wird [1].

JAVA-Client

Nutzen Sie den dig-Clone aus [2] und experimentieren Sie mit einigen Abfragen.

Literatur/Links

1. Kathara DNS-Lab
2. DNS mittels Java: http://www.dnsjava.org/
3. Pi-hole
4. Dns-Test
5. DNSVIZ
6. Verisign - Labs
7. DNSSEC mit delv

---

Letzte Änderung: 19. May 2025 12:29