1 | DNS - лабораторная работа: dig, часть 1 |
---|
2 | |
---|
3 | В следующих лабораторных работах, мы будем использовать "auth1" в качестве |
---|
4 | вашей рабочей станции. На самом деле, это не очень важно, потому что |
---|
5 | мы будем использовать только лишь команду 'dig'. |
---|
6 | |
---|
7 | DIG |
---|
8 | --- |
---|
9 | |
---|
10 | 1. Выполните DNS-запросы с помощью 'dig': |
---|
11 | |
---|
12 | Замечание: убедитесь, что вы явным образом указываете запрашиваемый |
---|
13 | DNS-сервер используя "@": |
---|
14 | |
---|
15 | $ dig @server_ip ... |
---|
16 | |
---|
17 | Если вы опустите @server_ip, dig будет использовать DNS-сервер(ы), указанные |
---|
18 | в /etc/resolv.conf |
---|
19 | |
---|
20 | 1a. Выполните каждую команду; смотрите в раздел ответов (ANSWER) и запишите |
---|
21 | результат. Также обратите внимание на значение TTL. |
---|
22 | |
---|
23 | Повторите команду. Изменился ли TTL? Являются ли ответы авторитетными? |
---|
24 | |
---|
25 | РЕЗУЛЬТАТ 1 РЕЗУЛЬТАТ 2 |
---|
26 | ----------- ----------- |
---|
27 | $ dig @10.20.0.254 your-favorite-domain a |
---|
28 | $ dig @10.20.0.254 www.google.com. a |
---|
29 | $ dig @10.20.0.254 afnog.org. mx |
---|
30 | $ dig @10.20.0.254 NonExistentDomain.sometld any |
---|
31 | $ dig @10.20.0.254 tiscali.co.uk. txt |
---|
32 | $ dig @10.20.0.254 www.afrinic.net aaaa |
---|
33 | $ dig @10.20.0.254 ipv6.google.com aaaa |
---|
34 | |
---|
35 | 1b. Теперь, отправьте запросы другому кэширующему серверу. |
---|
36 | |
---|
37 | (Выполните каждую из последующих команд дважды, и сравните время выполнения |
---|
38 | (в миллисекундах) каждой попытки) |
---|
39 | |
---|
40 | РЕЗУЛЬТАТ 1 РЕЗУЛЬТАТ 2 |
---|
41 | ----------- ----------- |
---|
42 | $ dig @8.8.8.8 news.bbc.co.uk. a |
---|
43 | $ dig @208.67.222.222 yahoo.com. a |
---|
44 | $ dig @<a server of your choice> <domain of your choice> a |
---|
45 | |
---|
46 | Как долго выполнялись запросы? (В первый раз, и во второй раз) |
---|
47 | |
---|
48 | 2. Обратный поиск (по IP) |
---|
49 | |
---|
50 | Теперь сделайте несколько "обратных" запросов - обратите внимание, что |
---|
51 | мы не указываем явным образом, какой DNS-сервер dig должен запрашивать. |
---|
52 | Какой DNS-сервер будет использован? |
---|
53 | |
---|
54 | $ dig -x 10.20.X.1 |
---|
55 | $ dig -x 10.20.X.2 |
---|
56 | $ dig -x 10.20.X.3 |
---|
57 | |
---|
58 | ... где X в диапазоне от 1 до 25 |
---|
59 | |
---|
60 | Повторите для любого выбранного вами IP-адреса, в сети Интернет. Помните, |
---|
61 | что вы должны указывать @10.20.0.254 для того, чтобы осуществлять запросы |
---|
62 | в Интернет... |
---|
63 | |
---|
64 | Теперь попробуйте запрос: |
---|
65 | |
---|
66 | $ dig 1.X.20.10.in-addr.arpa. PTR |
---|
67 | |
---|
68 | ... ги X в диапазоне от 1 до 25. |
---|
69 | |
---|
70 | На что вы обратили внимание? |
---|
71 | |
---|
72 | Теперь давайте попробуем IPv6: |
---|
73 | |
---|
74 | $ dig -x 2001:42d0::200:2:1 |
---|
75 | |
---|
76 | Какие различия вы наблюдаете между результатами обратных запросов для IPv6 |
---|
77 | и IPv4-адресов? |
---|
78 | |
---|
79 | Замечание: возможно, вы не получите ответа для IPv6-адреса - тогда сравните |
---|
80 | раздел запроса для IPv4 и для IPv6. |
---|
81 | |
---|
82 | 3. DNSSEC & EDNS0 |
---|
83 | |
---|
84 | Попытайтесь выполнить некоторые из предыдущих запросов, добавив |
---|
85 | опцию "+edns=0". |
---|
86 | |
---|
87 | Например: |
---|
88 | |
---|
89 | $ dig @10.20.0.254 www.icann.org +edns=0 |
---|
90 | |
---|
91 | (возможно, есть смысл использовать команду "more" для ограничения количества |
---|
92 | выводимой командой информации поэкранно) |
---|
93 | |
---|
94 | $ dig @10.20.0.254 www.icann.org +edns=0 | more |
---|
95 | |
---|
96 | Обратили внимание на OPT PSEUDOSECTION в начале вывода? |
---|
97 | |
---|
98 | Что интересного вы заметили о подразделе flags: в разделе OPT? |
---|
99 | |
---|
100 | Давайте явным образом включим опцию BUFSIZE, но не EDNS0: |
---|
101 | |
---|
102 | $ dig @10.20.0.254 www.icann.org +bufsize=1024 | more |
---|
103 | |
---|
104 | Обратите внимание, что EDNS установлен автоматически, и обратите |
---|
105 | внимание на подраздел udp: size в псевдоразделе OPT. |
---|
106 | |
---|
107 | Теперь, давайте попробуем получить DNSSEC-ответы: |
---|
108 | |
---|
109 | $ dig @10.20.0.254 isoc.org DNSKEY | more |
---|
110 | $ dig @10.20.0.254 www.isoc.org RRSIG | more |
---|
111 | |
---|
112 | Наконец, дадим знать нашему DSN-серверу, что мы поддерживаем DNSSEC: |
---|
113 | |
---|
114 | $ dig @10.20.0.254 www.isoc.org A +dnssec |
---|
115 | $ dig @10.20.0.254 isoc.org NS +dnssec |
---|
116 | |
---|
117 | Обратили ли вы внимание на новое поле в разделе "flags:" ответа? |
---|
118 | |
---|
119 | $ dig @10.20.0.254 www.isoc.org A |
---|
120 | $ dig @10.20.0.254 isoc.org NS |
---|
121 | |
---|
122 | Сравните это с выводом dig БЕЗ опции +dnssec: |
---|
123 | |
---|
124 | Если ваша группа уже запустила DNS-сервер, что получится |
---|
125 | если вы сделаете DNSSEC-запрос к нему? |
---|
126 | |
---|
127 | $ dig @10.20.XXX.3 noc.dns.nsrc.org A +dnssec |
---|
128 | $ dig @10.20.XXX.3 dns.nsrc.org NS +dnssec |
---|
129 | |
---|
130 | ... где XXX - номер вашей группы, и .3 - ваш кэширующий сервер |
---|
131 | (но он может быть еще не запущен!) |
---|