| 1 | DNS - лабораторная работа: dig, часть 1 |
|---|
| 2 | |
|---|
| 3 | В следующих лабораторных работах, мы будем использовать "auth1" в качестве |
|---|
| 4 | вашей рабочей станции. На самом деле, это не очень важно, потому что |
|---|
| 5 | мы будем использовать только лишь команду 'dig'. |
|---|
| 6 | |
|---|
| 7 | DIG |
|---|
| 8 | --- |
|---|
| 9 | |
|---|
| 10 | 1. Выполните DNS-запросы с помощью 'dig': |
|---|
| 11 | |
|---|
| 12 | Замечание: убедитесь, что вы явным образом указываете запрашиваемый |
|---|
| 13 | DNS-сервер используя "@": |
|---|
| 14 | |
|---|
| 15 | $ dig @server_ip ... |
|---|
| 16 | |
|---|
| 17 | Если вы опустите @server_ip, dig будет использовать DNS-сервер(ы), указанные |
|---|
| 18 | в /etc/resolv.conf |
|---|
| 19 | |
|---|
| 20 | 1a. Выполните каждую команду; смотрите в раздел ответов (ANSWER) и запишите |
|---|
| 21 | результат. Также обратите внимание на значение TTL. |
|---|
| 22 | |
|---|
| 23 | Повторите команду. Изменился ли TTL? Являются ли ответы авторитетными? |
|---|
| 24 | |
|---|
| 25 | РЕЗУЛЬТАТ 1 РЕЗУЛЬТАТ 2 |
|---|
| 26 | ----------- ----------- |
|---|
| 27 | $ dig @10.20.0.254 your-favorite-domain a |
|---|
| 28 | $ dig @10.20.0.254 www.google.com. a |
|---|
| 29 | $ dig @10.20.0.254 afnog.org. mx |
|---|
| 30 | $ dig @10.20.0.254 NonExistentDomain.sometld any |
|---|
| 31 | $ dig @10.20.0.254 tiscali.co.uk. txt |
|---|
| 32 | $ dig @10.20.0.254 www.afrinic.net aaaa |
|---|
| 33 | $ dig @10.20.0.254 ipv6.google.com aaaa |
|---|
| 34 | |
|---|
| 35 | 1b. Теперь, отправьте запросы другому кэширующему серверу. |
|---|
| 36 | |
|---|
| 37 | (Выполните каждую из последующих команд дважды, и сравните время выполнения |
|---|
| 38 | (в миллисекундах) каждой попытки) |
|---|
| 39 | |
|---|
| 40 | РЕЗУЛЬТАТ 1 РЕЗУЛЬТАТ 2 |
|---|
| 41 | ----------- ----------- |
|---|
| 42 | $ dig @8.8.8.8 news.bbc.co.uk. a |
|---|
| 43 | $ dig @208.67.222.222 yahoo.com. a |
|---|
| 44 | $ dig @<a server of your choice> <domain of your choice> a |
|---|
| 45 | |
|---|
| 46 | Как долго выполнялись запросы? (В первый раз, и во второй раз) |
|---|
| 47 | |
|---|
| 48 | 2. Обратный поиск (по IP) |
|---|
| 49 | |
|---|
| 50 | Теперь сделайте несколько "обратных" запросов - обратите внимание, что |
|---|
| 51 | мы не указываем явным образом, какой DNS-сервер dig должен запрашивать. |
|---|
| 52 | Какой DNS-сервер будет использован? |
|---|
| 53 | |
|---|
| 54 | $ dig -x 10.20.X.1 |
|---|
| 55 | $ dig -x 10.20.X.2 |
|---|
| 56 | $ dig -x 10.20.X.3 |
|---|
| 57 | |
|---|
| 58 | ... где X в диапазоне от 1 до 25 |
|---|
| 59 | |
|---|
| 60 | Повторите для любого выбранного вами IP-адреса, в сети Интернет. Помните, |
|---|
| 61 | что вы должны указывать @10.20.0.254 для того, чтобы осуществлять запросы |
|---|
| 62 | в Интернет... |
|---|
| 63 | |
|---|
| 64 | Теперь попробуйте запрос: |
|---|
| 65 | |
|---|
| 66 | $ dig 1.X.20.10.in-addr.arpa. PTR |
|---|
| 67 | |
|---|
| 68 | ... ги X в диапазоне от 1 до 25. |
|---|
| 69 | |
|---|
| 70 | На что вы обратили внимание? |
|---|
| 71 | |
|---|
| 72 | Теперь давайте попробуем IPv6: |
|---|
| 73 | |
|---|
| 74 | $ dig -x 2001:42d0::200:2:1 |
|---|
| 75 | |
|---|
| 76 | Какие различия вы наблюдаете между результатами обратных запросов для IPv6 |
|---|
| 77 | и IPv4-адресов? |
|---|
| 78 | |
|---|
| 79 | Замечание: возможно, вы не получите ответа для IPv6-адреса - тогда сравните |
|---|
| 80 | раздел запроса для IPv4 и для IPv6. |
|---|
| 81 | |
|---|
| 82 | 3. DNSSEC & EDNS0 |
|---|
| 83 | |
|---|
| 84 | Попытайтесь выполнить некоторые из предыдущих запросов, добавив |
|---|
| 85 | опцию "+edns=0". |
|---|
| 86 | |
|---|
| 87 | Например: |
|---|
| 88 | |
|---|
| 89 | $ dig @10.20.0.254 www.icann.org +edns=0 |
|---|
| 90 | |
|---|
| 91 | (возможно, есть смысл использовать команду "more" для ограничения количества |
|---|
| 92 | выводимой командой информации поэкранно) |
|---|
| 93 | |
|---|
| 94 | $ dig @10.20.0.254 www.icann.org +edns=0 | more |
|---|
| 95 | |
|---|
| 96 | Обратили внимание на OPT PSEUDOSECTION в начале вывода? |
|---|
| 97 | |
|---|
| 98 | Что интересного вы заметили о подразделе flags: в разделе OPT? |
|---|
| 99 | |
|---|
| 100 | Давайте явным образом включим опцию BUFSIZE, но не EDNS0: |
|---|
| 101 | |
|---|
| 102 | $ dig @10.20.0.254 www.icann.org +bufsize=1024 | more |
|---|
| 103 | |
|---|
| 104 | Обратите внимание, что EDNS установлен автоматически, и обратите |
|---|
| 105 | внимание на подраздел udp: size в псевдоразделе OPT. |
|---|
| 106 | |
|---|
| 107 | Теперь, давайте попробуем получить DNSSEC-ответы: |
|---|
| 108 | |
|---|
| 109 | $ dig @10.20.0.254 isoc.org DNSKEY | more |
|---|
| 110 | $ dig @10.20.0.254 www.isoc.org RRSIG | more |
|---|
| 111 | |
|---|
| 112 | Наконец, дадим знать нашему DSN-серверу, что мы поддерживаем DNSSEC: |
|---|
| 113 | |
|---|
| 114 | $ dig @10.20.0.254 www.isoc.org A +dnssec |
|---|
| 115 | $ dig @10.20.0.254 isoc.org NS +dnssec |
|---|
| 116 | |
|---|
| 117 | Обратили ли вы внимание на новое поле в разделе "flags:" ответа? |
|---|
| 118 | |
|---|
| 119 | $ dig @10.20.0.254 www.isoc.org A |
|---|
| 120 | $ dig @10.20.0.254 isoc.org NS |
|---|
| 121 | |
|---|
| 122 | Сравните это с выводом dig БЕЗ опции +dnssec: |
|---|
| 123 | |
|---|
| 124 | Если ваша группа уже запустила DNS-сервер, что получится |
|---|
| 125 | если вы сделаете DNSSEC-запрос к нему? |
|---|
| 126 | |
|---|
| 127 | $ dig @10.20.XXX.3 noc.dns.nsrc.org A +dnssec |
|---|
| 128 | $ dig @10.20.XXX.3 dns.nsrc.org NS +dnssec |
|---|
| 129 | |
|---|
| 130 | ... где XXX - номер вашей группы, и .3 - ваш кэширующий сервер |
|---|
| 131 | (но он может быть еще не запущен!) |
|---|