Praktikumsversuch DNS

Ziel

Sie vertiefen und erweitern Ihr Wissen über DNS an praktischen Versuchen.

Übersicht

Es werden im Wesentlichen frei verfügbare Kommandozeilen-Tools verwendet. Voraussetzung ist ein freier Internetzugang auf Port 53. Themen:

• RR für DNSSEC
• Ablauf der Abfrage
• praktische Tests

DNS-Protokoll

• mögliche Antworten: NOERROR, NXDOMAIN, REFUSED, SERVFAIL
• Flags:
  • aa - Authoritative Answer
  • qr - Question 0 /Response 1
  • rd - Recursion Desired
  • ra - Recursion Available
  • ad - Authenticated Data
  • cd - Checking Disabled
  • do - DNSSEC OK

Programme

• dig: kann Full-Resolver mittels Option +trace arbeiten, zeigt DNSSEC an mit Option +dnssec
• delv: bessere Integration von DNSSEC

DNSSEC-RR

1. Beschaffen Sie sich einen Überblick über DNSSSEC.
2. Wodurch wird dem Server ein gesicherter Abfragewunsch mitgeteilt?
3. Woran erkennen Sie eine gesicherte Antwort des Servers?
4. Holen Sie sich gesicherte Informationen über die A-Records folgender Seiten (www.htw-dresden.de, postbank.de, sparkasse.de, heise.de, denic.de). U.U. müssen Sie einen geeigneten Nameserver für die Abfragen wählen.
5. Welche Abfragen konnten gesichert durchgeführt werden?
6. Ermitteln Sie die Signatur des A-RR der Domäne denic.de!
7. Ermitteln Sie den öffentlichen Schlüssel von obiger Domäne für die Schlüsselsignatur und den für die RR-Signatur!
8. Führen Sie die Vertrauenskette weiter bis zum Root-Server.
9. Was ergibt die Prüfung von dnssec-failed.org?
10. Ist eine DNSSEC-Verifikation Botton-up der Top-down möglich?

Anmerkung: Z.Z. unterstützt der Proxy-Nameserver der HTW-Dresden kein DNSSEC. Ein Proxy-Nameserver mit DNSSEC-Unterstützung ist z. B. Google mit den IP 8.8.8.8 und 8.8.4.4.

DNSSEC-Prüfung

1. Nutzen Sie zur Namensauflösung statt dig das Programm delv. (bessere DNSSEC-Unterstützung)
   • Option: +rtrace
   • Achtung: delv fragt nur den angegebenen Nameserver ab, ein autoritativer Server erlaubt keine Rekursion. [7]

Literatur/Links

1. DNSSEC mit delv