2015年11月,
CloudFlareDNS推出DNSSEC功能,
用来验证网域跟IP之间的正确性,
解决域名容易受到DNS污染的问题,
一方面也能降低域名被用来DNS放大攻击的可能性。

 

CloudFlare DNSSEC官网 https://www.cloudflare.com/dnssec/

dnssec

设定CloudFlareDNS的DNSSEC,请先点选CloudFlare面板上的DNS功能选单

dnssec1

页面下方会看到DNSSEC选项,请点选”Enable DNSSEC”开始配置

dnssec2

此时会出现DNSSEC的DS纪录与其他相关数据,请提交到网域注册商进行设定

dnssec3

以下是目前提供DNSSEC设定的注册商列表,并提供相关配置说明

网域注册商配置列表 https://support.cloudflare.com/hc/en-us/articles/209114378

dnssec4

部分注册商已经提供自动化的方式配置DNSSEC,但笔者的注册商NameCheap则需要联络即时客服人员请他们开工单设定DNSSEC。

以下是CloudFlareDNS的DNSSEC配置成功的状态

dnssec5

此时可以透过第三方检测工具测试DNSSEC状态

ViewDNS Tools http://viewdns.info/dnssec/

dnssec6

此时,可以检测常见Public DNS的DNSSEC生效状态,在Linux有很好用的dig工具,如果是Windows用户可以安装套件也能使用dig工具。

BIND下载官网 http://www.bind9.net/download

dnssec7

可以看到官网上面有很多镜像载点,但是大多已经失效,以下整理还可以用的载点

日本 ftp://ftp.iij.ad.jp/pub/network/isc/bind9/
美国 ftp://ftp.nominum.com/pub/isc/bind9/
美国 ftp://ftp.isc.org/isc/bind9/

请点选最新版本号,目前最新正式版为9.9.8

dnssec8

请依照Windows系统下在x86或x64,这里以x86示范

dnssec9

下载时可能会被Chrome认为是罕见档案需手动解除封锁,并请解压缩档案

dnssec10

请先安装资料夹中”vcredist_x86.exe”(这是x86版本的)

并将资料夹中的.dll应用程式扩充档与dig.exe全部复制

dnssec11

打开Windows的System32资料夹贴上.dll应用程式扩充档与dig.exe

dnssec12

上述步骤操作完后,开启cmd(Win+R执行cmd或搜寻cmd开启)

键入dig 网域名称 +dnssec @要测试的PublicDNS的IP

范例 dig paypal.com +dnssec @1.2.4.8

可以查询到CNNIC SDNS上PayPal域名的RRSIG纪录表示支援DNSSEC并且生效

目前测试Google PublicDNS、Hinet PublicDNS、CNNIC SDNS、百度 BaiduDNS均支持DNSSEC,这对于DNS安全有很大的帮助。

dnssec13

 

CloudFlare DNSSEC功能配置
标签: