Det finnes en mengde forskjellige programmer og hjelpemidler for å slå opp DNS- og DNSSEC-data for et domenenavn. Her beskrives de som antas å være mest nyttige for bruk i forbindelse med drift og feilsøk. Alle verktøy her er gratis og åpent tilgjengelige.
Kommandolinjebaserte verktøy (dig, drill, whois)
Dette er verktøy som kan installeres lokalt der du behøver dem slik at de kan benyttes både for interne og eksterne nett.
dig
Funksjonalitet
Slå opp DNS- og DNSSEC-data for domenenavn og soner. Et fleksibelt verktøy med mye funksjonalitet som er mye brukt til feilsøking rundt DNS-problemer.
Dokumentasjon
- Kjør dig -h og man dig
- http://linux.die.net/man/1/dig
- http://en.wikipedia.org/wiki/Dig_(command)
Installasjon
- *nix-versjon: Fra distribusjonens apt-arkiv, eller last ned Bind-pakken
- Mac/IOS-versjon: Som for *nix.
- Windows-versjon: dig.exe er inkludert i Windows-versjon av Bind-pakken.
drill
Funksjonalitet
Slå opp DNS- og DNSSEC-data for domenenavn og soner. Verktøyet er laget spesielt for DNSSEC-bruk.
Dokumentasjon
- Kjør drill -h, og man drill
- https://linux.die.net/man/1/drill
Installasjon
- *nix-versjon: Installer pakken ldnsutils fra distribusjonens apt-arkiv, eller last ned ldns-pakken
- Mac/IOS-versjon: Som for *nix.
- Windows-versjon: Ikke funnet
- Web-versjon: Ikke funnet
whois
Funksjonalitet
Slå opp whois-informasjon (mot Norids whois-tjeneste). Kombiner bruk av dig og drill med data fra whois, da whois også kan brukes for å slå opp DNSSEC-informasjonen som er registrert på et domenenavn i Norids database.
Dokumentasjon
Kjør whois –help, og man whois
Se whois.
Installasjon
- *nix-versjon: Installer pakken whois fra distribusjonens apt-arkiv
- Mac/IOS-versjon: Som for *nix.
- Windows-versjon: Lastes ned her.
Webbaserte tjenester (Zonemaster, DNSViz, dig og flere)
Rene webbaserte tjenester er enkle i bruk og kan gi en bra statuspresentasjonen. Ulempen med disse er at de ligger på weben og dermed bare kan aksessere og analysere de åpne delene av nettene/DNS. De er dermed ikke uten videre egnet for lab-oppsett. Bruken av dem er relativt selvforklarende, men det det kan være greit å øve seg på noen oppslag slik at du blir fortrolig med dem.
DNS-sjekk fra Norid
Funksjonalitet
Kan brukes for å sjekke om et domenenavn er satt opp korrekt i DNS, inkludert DNSSEC.
Tjenesten kan benyttes for alle som vil sjekke DNS-oppsettet for sine soner.
Domeneforhandlere bør teste navnetjeneroppsett før innsending av endringer over EPP-snittet mot registreringssystemet for no. Hvis sjekken gir en feil, vil sannsynligvis også EPP-operasjonen feile, derfor er dette en grei sjekk å ta i forkant av EPP-endringer som berører navnetjeneroppsett.
Zonemaster fra .SE
Se FAQ-side.
Domeneoppslagstjenesten fra Norid
Gå til domeneoppslagstjenesten
Dette er en webtjeneste som kan brukes for å slå opp data om et domenenavn eller en organisasjon og som presenterer resultatet på en brukervennlig måte. Hvilke data som vises er begrenset av personvernlovgivningen.
DNSViz
Slår opp, analyserer og viser DNS- og DNSSEC-informasjon på en brukervennlig måte.
For DNSSEC viser og verifiserer verktøyet DNSSEC chain of trust på en brukervennlig måte via en grafisk tegning.
DNSSEC Analyzer
Verktøyet er laget kun for å sjekke DNSSEC-status.
Slår opp, analyserer og viser DNSSEC-status på en brukervennlig måte.
Viser og verifiserer DNSSEC chain of trust.
Klikk på more(+)- og less(-)-lenkene for å zoome inn ut og inn i detaljnivåer.
Web-basert-dig
Funksjonalitet er akkurat som kommandolinjebasert dig, men denne gjør dig tilgjengelig for alle, også de som ikke kan installere dig selv.
DNSSEC Validator-tillegg for Firefox
Gå til DNSSEC Validator-tillegg for Firefox
Et tillegg (plugin, add-on) til Firefox. Den legger til et statusikon for DNSSEC i adresselinja i nettleseren.
DNSSEC-ikonet viser DNS i grønn farge hvis domenenavnet er sikret med DNSSEC og i rød farge hvis det ikke er sikret.
Se Norids nettsider for eksempel på webside som har DNSSEC og som skal ha grønn farge på DNS.
Eksempler på bruk av verktøy
Her vises eksempler på praktisk bruk av noen av verktøyene.
Hvordan sjekke om en sone er sikret med DNSSEC
Hvordan sjekker du om en sone eller et domene er sikret med DNSSEC, dvs. verifisere chain of trust? Dette varierer fra verktøy til verktøy. Eksemplene under viser norid.no som testsone, siden den nå er sikret. Først brukes dig til å lage en trusted-key fil, deretter kjøres selve oppslaget.
dig
- dig produserer mye output og kun noe av denne er vist under:
% dig +dnssec +multiline SOA norid.no +sigchase
% No trusted keys present
Her må trusted key for root lagres til lokal fil først:
% dig DNSKEY .|grep 257 > ./trusted-key.key
<br>% dig +dnssec +multiline SOA norid.no +sigchase
;; RRset to chase:
norid.no. 3428 IN SOA ns.uninett.no. hostmaster.uninett.no. (
2014112501 ; serial
14400 ; refresh (4 hours)
3600 ; retry (1 hour)
1814400 ; expire (3 weeks)
900 ; minimum (15 minutes)
)
;; RRSIG of the RRset to chase:
norid.no. 3428 IN RRSIG SOA 8 2 3600 20141216043352 (
20141125070437 31923 norid.no.
YPfPCb26i1hu0vuiR6vTdKjRtgHGch+HH1A6UgXmeKtf
tyd+K1jmtGDk8R/uAKPozpK6nnKFIiE7QQIqN4ED4YQW
HsXQ5PZVpErZwX2ka9FMIUT2UnNAynGWgidjDJjXh2kO
56xX9uhNqlCLE8Dryo+2GX1wGN96bXMc8Dm6IzA= )
Launch a query to find a RRset of type DNSKEY for zone: norid.no.
:
:
...masse oppslag og data er fjernet her...
:
:
;; Ok this DNSKEY is a Trusted Key, DNSSEC validation is ok: SUCCESS
Sonen er sikret hvis den siste linja viser …ok: SUCCESS. En feilmelding gis hvis den ikke er sikret eller sikringen ikke er fullgod.
drill
Her må du også ha laget en trusted-key fil først, se dig over for hvordan det kan gjøres.
% drill -S SOA norid.no -k ./trusted-key.key
;; Number of trusted keys: 1
;; Chasing: norid.no. SOA
DNSSEC Trust tree:
norid.no. (SOA)
|---norid.no. (DNSKEY keytag: 31923 alg: 8 flags: 256)
|---norid.no. (DNSKEY keytag: 62984 alg: 8 flags: 257)
|---norid.no. (DS keytag: 62984 digest type: 2)
|---no. (DNSKEY keytag: 60990 alg: 8 flags: 256)
|---no. (DNSKEY keytag: 29471 alg: 8 flags: 257)
|---no. (DS keytag: 29471 digest type: 2)
|---. (DNSKEY keytag: 22603 alg: 8 flags: 256)
|---. (DNSKEY keytag: 19036 alg: 8 flags: 257)
;; Chase successful
Sonen er sikret hvis den siste linja viser Chase successful. En feilmelding gis hvis den ikke er sikret eller sikringen ikke er fullgod.
DNSviz
Kjør sjekken i verktøyet, det grafiske svaret kan inspiseres på skjerm. Man kan også laste ned en png-fil med resultatet. Direktelink til kjøring: http://dnsviz.net/d/norid.no/dnssec/ Når DNSSEC-statusen er OK, vises resultatet gjennomgående med grønn farge. Dersom noe er galt, vil andre farger og linjetyper benyttes, se full legend for beskrivelse av hvordan feilsituasjoner markeres.
DNSSEC Analyzer
Kjør sjekken i verktøyet, det grafiske svaret kan inspiseres på skjerm. Link til direkte kjøring: https://dnssec-analyzer.verisignlabs.com/norid.no Lenkene more(+) og less(-) kan benyttes for å zoome inn og ut i detaljer, noe som er nyttig ved eventuelle feil. Når DNSSEC-statusen er OK, er svaret (ikonene) i grønne farger. Dersom noe er galt, vil ikonene være gule eller røde, og du kan holde musa over ikonene for å få en forklaring på problemet.
Andre hjelpeverktøy til testing og feilsøk
Eksempler på domenenavn med mangler eller feil
Det finnes noen testdomener som er fast konfigurert i DNS, og som har faste og kjente mangler eller feil. Disse er nyttige for å trene på bruk av verktøyene for forskjellige feiltilfeller. Noen slike domener er:
- dnssec-or-not.org (DNSViz) http://dnssec-or-not.org dnssec-or-not.net (DNSViz) http://dnssec-or-not.net Disse har forskjellige varianter av mangler.
- dnssec-failed.org (DNSViz) rhybar.cz (DNSViz) dnssec.fail (DNSViz) Disse domenene er bevisst satt opp med diverse feil, blant annet feil eller utgått DNSSEC-signatur. DNSViz viser de forskjellige feilmeldingene og detaljer om disse. Drill viser mye data, blant annet meldingen Bogus DNSSEC signature. Merk at websidene for disse verken skal finnes eller bli lastet i en nettleser fordi DNS-oppslaget skal feile. Hvis du likevel klarer å få opp websider på noen av disse domenenavnene, så er DNSSEC enten avskrudd eller feilkonfigurert, og du bør kontakte din internettleverandør og be dem skru på DNSSEC-validering. Alternativt kan du bruke Googles navnetjenere i stedet. Se under for mer informasjon.
Hvordan sjekke om soner med wildcard-poster validerer korrekt
Bind er en mye brukt navnetjenerprogramvare. Noen eldre Bind-versjoner, versjon 9.7.4 og 9.8.1, har en alvorlig feil som gjør at de ikke klarer å validere wildcard-poster som er signert med NSEC3. Feilen er fikset i versjonene 9.7.5, 9.8.2 og 9.9.x. Det er dessverre noen norske ISP-er som fremdeles bruker disse gamle versjonene og som har skrudd på DNSSEC-validering, og hvor validering dermed vil feile. For å teste om du benytter en resolver som har denne wildcard-feilen, kan du besøke følgende webside: http://0skar.cz/dns/en. Hvis testen rapporterer at det er en feil på resolveren du bruker, kan du bytte til å bruke andre resolverende navnetjenere. Se neste tips for hvordan det kan gjøres.
Får du ikke validert et domenenavn som skal være sikret?
Hvis du opplever at du ikke får validert et domenenavn som du vet skal være sikret, eller det motsatte: at du får tilgang til en webside som du vet har en feil i sin DNSSEC-konfigurasjon, kan årsaken være at navnetjenerne du bruker ikke har aktivert DNSSEC-validering. Du kan da be leverandøren din om å aktivere valideringen. Alternativt kan du bytte til en annen leverandør som tilbyr korrekt validerende navnetjenere, som for eksempel Googles gratistjeneste Google Public DNS.
Statistikk over DNSSEC-validerende navnetjenere
For at DNSSEC skal fungere, må de resolverende navnetjenerne i DNS være konfigurert til å validere DNSSEC. Det finnes mange navnetjenere i verden hvor dette ennå ikke er skrudd på, og det er viktig at dette blir gjort. Dette er noe som må gjøres av dem som driver navnetjenesten. Dette finnes en interessant webside hos APNIC som viser kart og diverse statistikk over utviklingen i utbredelsen av DNSSEC-validerende navnetjenere i verden, inkludert status for Norge. Hovedsiden finnes her. Mindre regioner eller enkeltland kan velges via lenker lenger nede på siden.