Wenn Sie die DNS-Überwachung einrichten und die Authentizität der DNS-Antworten überprüfen müssen, können Sie das Überwachungsgerät für benutzerdefinierte Skripts konfigurieren und das Skript DnsSecTest.cs verwenden.
Das Skript DnsSecTest.cs aktiviert die DNSSEC-Validierung für die DNS-Suche.
Was ist DNSSEC-Validierung?
DNSSEC ist eine Suite von Erweiterungen, die die DNS-Sicherheit (Domain Name System) verbessern, indem überprüft wird, ob dns-Ergebnisse nicht manipuliert wurden. Unternehmen können DNSSEC verwenden, um eine Reihe von Angriffen im Zusammenhang mit DNS-Spoofing, DNS-Cache-Poisoning usw. zu verhindern.
Sicherheit hatte bei der Entwicklung des DNS nicht oberste Priorität. Daher kann der Resolver beim Senden einer Anforderung an einen autorisierenden DNS-Server die Authentizität der Antwort, die von Namenservern an Clients gesendet wird, nicht überprüfen. Der Resolver kann nur überprüfen, ob die Antwort von derselben IP-Adresse stammt, an die die ursprüngliche Anforderung gesendet wurde.
DNSSEC hilft bei der Überprüfung der Authentizität von DNS-Antworten, indem digitale Signaturen für DNS-Einträge verwendet werden.
Konfigurieren von DnsSecTest.cs
Benutzerdefinierte Skriptdatei | Argumente |
DnsSecTest.cs | <Domänen-/Hostname, > < EintragTyp > < DnsServersUsage> |
DnsSecTest.cs verfügbare Parameter:
- < Domäne/Hostname > – Domäne oder Hostname, die aufgelöst werden sollen.
- < recordType > – Abzufragenden NS-Datensatztyp. Verfügbare Werte: Any, Uri, A, Ns, CName, Soa, Wks, Ptr, HInfo, Mx, Txt, Rp, Afsdb, X25, Isdn, Rt, Nsap, Sig, Key, Px, GPos, Aaaa, Loc, Srv, Naptr, Kx, Cert, DName, Opt, Apl, Ds, SshFp, Ipseckey, RrSig, NSec, Dnskey, Dhcid, NSec3, NSec3Param, TIsa, Hip, CDskey, OpenPGPKey, CSync, NId, L32, L64, LP, Eui48, Eui64, TKey, TSig, Ixfr, Axfr, MailB, CAA, Dlv.
- < DnsServersUsage > – Optional: Typ des zu verwendenden DNS-Servers. Verfügbare Werte: Auto, IPv4Only, IPv6Priority.