| 1 | Labo DNS : dig, partie 1 |
|---|
| 2 | |
|---|
| 3 | Dans les laboratoires qui suivent, nous allons utiliser "auth1" |
|---|
| 4 | comme machine de travail. En réalité, ce n'est pas trÚs important, |
|---|
| 5 | car nous allons seulement utiliser la commande 'dig'. |
|---|
| 6 | |
|---|
| 7 | DIG |
|---|
| 8 | --- |
|---|
| 9 | |
|---|
| 10 | 1. émettre des requêtes DNS à l'aide de 'dig': |
|---|
| 11 | |
|---|
| 12 | Remarque: assurez-vous que vous spécifiez explicitement le serveur de noms à |
|---|
| 13 | interroger à l'aide de la syntaxe "@" de dig: |
|---|
| 14 | |
|---|
| 15 | $ dig @ip_serveur ... |
|---|
| 16 | |
|---|
| 17 | Si vous ne spécifiez pas l'ip du serveur avec @, dig utilisera alors le serveur |
|---|
| 18 | de noms(s) listés dans /etc/resolv.conf |
|---|
| 19 | |
|---|
| 20 | 1a. Exécutez chaque commande, cherchez la section réponse et notez le résultat. |
|---|
| 21 | Notez le TTL ainsi. |
|---|
| 22 | |
|---|
| 23 | Répétez la commande. Est-ce que la durée de vie est la même ? Les réponses sont |
|---|
| 24 | -elles autoritaires? |
|---|
| 25 | |
|---|
| 26 | Résultat 1 Résultat 2 |
|---|
| 27 | ----------- ---------- |
|---|
| 28 | $ dig @10.10.0.254 votre-domaine-prefere a |
|---|
| 29 | $ dig @10.10.0.254 www.google.com. a |
|---|
| 30 | $ dig @10.10.0.254 afnog.org. mx |
|---|
| 31 | $ dig @10.10.0.254 NonExistentDomain.sometld any |
|---|
| 32 | $ dig @10.10.0.254 tiscali.co.uk. txt |
|---|
| 33 | $ dig @10.10.0.254 www.afrinic.net aaaa |
|---|
| 34 | $ dig @10.10.0.254 ipv6.google.com aaaa |
|---|
| 35 | |
|---|
| 36 | 1b. Maintenant, envoyer des requêtes vers un autre serveur de cache. |
|---|
| 37 | |
|---|
| 38 | (Lancer chacune des commandes suivantes deux fois, et noter le temps en ms |
|---|
| 39 | pour chaque tentative) |
|---|
| 40 | |
|---|
| 41 | Résultat 1 Résultat 2 |
|---|
| 42 | ---------- ---------- |
|---|
| 43 | dig @8.8.8.8 $ news.bbc.co.uk. a |
|---|
| 44 | dig @208.67.222.222 $ yahoo.com. a |
|---|
| 45 | $ dig @<a serveur de votre choix> <domain de votre choix> a |
|---|
| 46 | |
|---|
| 47 | Combien de temps a-t-il fallu avant que chaque réponse soit reçue? |
|---|
| 48 | (Sur la premiÚre, et sur la seconde recherche) |
|---|
| 49 | |
|---|
| 50 | 2. Les recherches DNS inverses |
|---|
| 51 | |
|---|
| 52 | Maintenant, essayez quelques recherches DNS inversées - notons ici que nous |
|---|
| 53 | ne spécifions pas explicitement les serveurs de noms que dig doit |
|---|
| 54 | interroger. Quelle serveur de noms sera utilisé? |
|---|
| 55 | |
|---|
| 56 | $ dig -x 10.10.X.1 |
|---|
| 57 | $ dig -x 10.10.X.2 |
|---|
| 58 | $ dig -x 10.10.X.3 |
|---|
| 59 | |
|---|
| 60 | ... où X est une adresse IP dans la plage 1-25 |
|---|
| 61 | |
|---|
| 62 | Répétez l'opération pour une adresse IP de votre choix, sur l'Internet. |
|---|
| 63 | Rappelez-vous, vous aurez à utiliser 10.10.0.254 pour être en mesure |
|---|
| 64 | d'effectuer des requêtes DNS sur Internet ... |
|---|
| 65 | |
|---|
| 66 | Maintenant, essayez de rechercher: |
|---|
| 67 | |
|---|
| 68 | $ dig 1.X.%REVERSE%.in-addr.arpa. PTR |
|---|
| 69 | |
|---|
| 70 | ... où X est dans la gamme de 1 à 25. |
|---|
| 71 | |
|---|
| 72 | Que remarquez-vous? |
|---|
| 73 | |
|---|
| 74 | Essayons maintenant IPv6: |
|---|
| 75 | |
|---|
| 76 | $ dig -x 2001:42d0::200:2:1 |
|---|
| 77 | |
|---|
| 78 | Quelles sont les différences que vous pouvez observer dans les résultats, |
|---|
| 79 | entre les inverses DNS pour IPv6 et les adresses IPv4? |
|---|
| 80 | |
|---|
| 81 | Remarque: Vous n'obtiendres peut-être pas de réponse pour l'adresse v6 - |
|---|
| 82 | mais comparer la section question de la requête pour les adresses IPv4 |
|---|
| 83 | et IPv6 inverses. |
|---|
| 84 | |
|---|
| 85 | 3. DNSSEC et EDNS0 |
|---|
| 86 | |
|---|
| 87 | Essayez quelques-unes des questions ci-dessus, mais cette fois ajouter |
|---|
| 88 | l'option "+edns=0". |
|---|
| 89 | |
|---|
| 90 | Par exemple: |
|---|
| 91 | |
|---|
| 92 | $ dig @10.10.0.254 www.icann.org +edns=0 |
|---|
| 93 | |
|---|
| 94 | (Vous pouvez utiliser "more" pour limiter la sortie de la commande à |
|---|
| 95 | un écran à la fois) |
|---|
| 96 | |
|---|
| 97 | $ dig @10.10.0.254 www.icann.org +edns=0 | more |
|---|
| 98 | |
|---|
| 99 | Remarquez le PSEUDOSECTION de l'OPT, en début de la réponse ? |
|---|
| 100 | |
|---|
| 101 | Que remarquez-vous dans la section flags: dans la section OPT? |
|---|
| 102 | |
|---|
| 103 | Nous allons activer explicitement l'option BUFSIZE, mais pas EDNS0: |
|---|
| 104 | |
|---|
| 105 | $ dig @10.10.0.254 www.icann.org +bufsize=1024 | more |
|---|
| 106 | |
|---|
| 107 | Notez que EDNS est activé automatiquement, et vous verrez la taille de |
|---|
| 108 | la section udp: dans le pseudosection OPT (en haut) |
|---|
| 109 | |
|---|
| 110 | Maintenant, nous allons essayer de récupérer des enregistrements DNSSEC: |
|---|
| 111 | |
|---|
| 112 | $ dig @10.10.0.254 isoc.org DNSKEY | more |
|---|
| 113 | $ dig @10.10.0.254 www.isoc.org RRSIG | more |
|---|
| 114 | |
|---|
| 115 | Et enfin, nous allons dire à notre serveur DNS que nous supportons DNSSEC: |
|---|
| 116 | |
|---|
| 117 | $ dig @10.10.0.254 www.isoc.org A +dnssec |
|---|
| 118 | $ dig @10.10.0.254 isoc.org NS +dnssec |
|---|
| 119 | |
|---|
| 120 | Avez-vous remarqué un nouveau champ dans les "flags:" de la réponse? |
|---|
| 121 | |
|---|
| 122 | $ dig @10.10.0.254 www.isoc.org A |
|---|
| 123 | $ dig @10.10.0.254 isoc.org NS |
|---|
| 124 | |
|---|
| 125 | Comparer avec dig faire sans l'option +dnssec: |
|---|
| 126 | |
|---|
| 127 | Si votre machine locale fait déjà tourner un serveur de noms, qu'advient-il |
|---|
| 128 | si vous lui envoyez des requêtes +dnssec: |
|---|
| 129 | |
|---|
| 130 | $ dig @127.0.0.1 noc.dns.nsrc.org A +dnssec |
|---|
| 131 | $ dig @127.0.0.1 dns.nsrc.org NS +dnssec |
|---|