1 | Labo DNS : dig, partie 1 |
---|
2 | |
---|
3 | Dans les laboratoires qui suivent, nous allons utiliser "auth1" |
---|
4 | comme machine de travail. En réalité, ce n'est pas trÚs important, |
---|
5 | car nous allons seulement utiliser la commande 'dig'. |
---|
6 | |
---|
7 | DIG |
---|
8 | --- |
---|
9 | |
---|
10 | 1. émettre des requêtes DNS à l'aide de 'dig': |
---|
11 | |
---|
12 | Remarque: assurez-vous que vous spécifiez explicitement le serveur de noms à |
---|
13 | interroger à l'aide de la syntaxe "@" de dig: |
---|
14 | |
---|
15 | $ dig @ip_serveur ... |
---|
16 | |
---|
17 | Si vous ne spécifiez pas l'ip du serveur avec @, dig utilisera alors le serveur |
---|
18 | de noms(s) listés dans /etc/resolv.conf |
---|
19 | |
---|
20 | 1a. Exécutez chaque commande, cherchez la section réponse et notez le résultat. |
---|
21 | Notez le TTL ainsi. |
---|
22 | |
---|
23 | Répétez la commande. Est-ce que la durée de vie est la même ? Les réponses sont |
---|
24 | -elles autoritaires? |
---|
25 | |
---|
26 | Résultat 1 Résultat 2 |
---|
27 | ----------- ---------- |
---|
28 | $ dig @10.10.0.254 votre-domaine-prefere a |
---|
29 | $ dig @10.10.0.254 www.google.com. a |
---|
30 | $ dig @10.10.0.254 afnog.org. mx |
---|
31 | $ dig @10.10.0.254 NonExistentDomain.sometld any |
---|
32 | $ dig @10.10.0.254 tiscali.co.uk. txt |
---|
33 | $ dig @10.10.0.254 www.afrinic.net aaaa |
---|
34 | $ dig @10.10.0.254 ipv6.google.com aaaa |
---|
35 | |
---|
36 | 1b. Maintenant, envoyer des requêtes vers un autre serveur de cache. |
---|
37 | |
---|
38 | (Lancer chacune des commandes suivantes deux fois, et noter le temps en ms |
---|
39 | pour chaque tentative) |
---|
40 | |
---|
41 | Résultat 1 Résultat 2 |
---|
42 | ---------- ---------- |
---|
43 | dig @8.8.8.8 $ news.bbc.co.uk. a |
---|
44 | dig @208.67.222.222 $ yahoo.com. a |
---|
45 | $ dig @<a serveur de votre choix> <domain de votre choix> a |
---|
46 | |
---|
47 | Combien de temps a-t-il fallu avant que chaque réponse soit reçue? |
---|
48 | (Sur la premiÚre, et sur la seconde recherche) |
---|
49 | |
---|
50 | 2. Les recherches DNS inverses |
---|
51 | |
---|
52 | Maintenant, essayez quelques recherches DNS inversées - notons ici que nous |
---|
53 | ne spécifions pas explicitement les serveurs de noms que dig doit |
---|
54 | interroger. Quelle serveur de noms sera utilisé? |
---|
55 | |
---|
56 | $ dig -x 10.10.X.1 |
---|
57 | $ dig -x 10.10.X.2 |
---|
58 | $ dig -x 10.10.X.3 |
---|
59 | |
---|
60 | ... où X est une adresse IP dans la plage 1-25 |
---|
61 | |
---|
62 | Répétez l'opération pour une adresse IP de votre choix, sur l'Internet. |
---|
63 | Rappelez-vous, vous aurez à utiliser 10.10.0.254 pour être en mesure |
---|
64 | d'effectuer des requêtes DNS sur Internet ... |
---|
65 | |
---|
66 | Maintenant, essayez de rechercher: |
---|
67 | |
---|
68 | $ dig 1.X.%REVERSE%.in-addr.arpa. PTR |
---|
69 | |
---|
70 | ... où X est dans la gamme de 1 à 25. |
---|
71 | |
---|
72 | Que remarquez-vous? |
---|
73 | |
---|
74 | Essayons maintenant IPv6: |
---|
75 | |
---|
76 | $ dig -x 2001:42d0::200:2:1 |
---|
77 | |
---|
78 | Quelles sont les différences que vous pouvez observer dans les résultats, |
---|
79 | entre les inverses DNS pour IPv6 et les adresses IPv4? |
---|
80 | |
---|
81 | Remarque: Vous n'obtiendres peut-être pas de réponse pour l'adresse v6 - |
---|
82 | mais comparer la section question de la requête pour les adresses IPv4 |
---|
83 | et IPv6 inverses. |
---|
84 | |
---|
85 | 3. DNSSEC et EDNS0 |
---|
86 | |
---|
87 | Essayez quelques-unes des questions ci-dessus, mais cette fois ajouter |
---|
88 | l'option "+edns=0". |
---|
89 | |
---|
90 | Par exemple: |
---|
91 | |
---|
92 | $ dig @10.10.0.254 www.icann.org +edns=0 |
---|
93 | |
---|
94 | (Vous pouvez utiliser "more" pour limiter la sortie de la commande à |
---|
95 | un écran à la fois) |
---|
96 | |
---|
97 | $ dig @10.10.0.254 www.icann.org +edns=0 | more |
---|
98 | |
---|
99 | Remarquez le PSEUDOSECTION de l'OPT, en début de la réponse ? |
---|
100 | |
---|
101 | Que remarquez-vous dans la section flags: dans la section OPT? |
---|
102 | |
---|
103 | Nous allons activer explicitement l'option BUFSIZE, mais pas EDNS0: |
---|
104 | |
---|
105 | $ dig @10.10.0.254 www.icann.org +bufsize=1024 | more |
---|
106 | |
---|
107 | Notez que EDNS est activé automatiquement, et vous verrez la taille de |
---|
108 | la section udp: dans le pseudosection OPT (en haut) |
---|
109 | |
---|
110 | Maintenant, nous allons essayer de récupérer des enregistrements DNSSEC: |
---|
111 | |
---|
112 | $ dig @10.10.0.254 isoc.org DNSKEY | more |
---|
113 | $ dig @10.10.0.254 www.isoc.org RRSIG | more |
---|
114 | |
---|
115 | Et enfin, nous allons dire à notre serveur DNS que nous supportons DNSSEC: |
---|
116 | |
---|
117 | $ dig @10.10.0.254 www.isoc.org A +dnssec |
---|
118 | $ dig @10.10.0.254 isoc.org NS +dnssec |
---|
119 | |
---|
120 | Avez-vous remarqué un nouveau champ dans les "flags:" de la réponse? |
---|
121 | |
---|
122 | $ dig @10.10.0.254 www.isoc.org A |
---|
123 | $ dig @10.10.0.254 isoc.org NS |
---|
124 | |
---|
125 | Comparer avec dig faire sans l'option +dnssec: |
---|
126 | |
---|
127 | Si votre machine locale fait déjà tourner un serveur de noms, qu'advient-il |
---|
128 | si vous lui envoyez des requêtes +dnssec: |
---|
129 | |
---|
130 | $ dig @127.0.0.1 noc.dns.nsrc.org A +dnssec |
---|
131 | $ dig @127.0.0.1 dns.nsrc.org NS +dnssec |
---|