Agenda: dns-dig-hands-on-vRU.txt

File dns-dig-hands-on-vRU.txt, 5.9 KB (added by trac, 5 years ago)
Line 
1DNS - лабораторная работа: dig, часть 1
2
3В следующих лабораторных работах, мы будем использовать "auth1" в качестве
4вашей рабочей станции.  На самом деле, это не очень важно, потому что
5мы будем использовать только лишь команду 'dig'.
6
7DIG
8---
9
101. Выполните DNS-запросы с помощью 'dig':
11
12Замечание: убедитесь, что вы явным образом указываете запрашиваемый
13DNS-сервер используя "@":
14
15    $ dig @server_ip ...
16
17Если вы опустите @server_ip, dig будет использовать DNS-сервер(ы), указанные
18в /etc/resolv.conf
19
201a. Выполните каждую команду; смотрите в раздел ответов (ANSWER) и запишите
21    результат.  Также обратите внимание на значение TTL.
22
23Повторите команду.  Изменился ли TTL?  Являются ли ответы авторитетными?
24
25                                                      РЕЗУЛЬТАТ 1     РЕЗУЛЬТАТ 2
26                                                      -----------     -----------
27    $ dig @10.20.0.254  your-favorite-domain a
28    $ dig @10.20.0.254  www.google.com. a
29    $ dig @10.20.0.254  afnog.org. mx
30    $ dig @10.20.0.254  NonExistentDomain.sometld any
31    $ dig @10.20.0.254  tiscali.co.uk. txt
32    $ dig @10.20.0.254  www.afrinic.net aaaa
33    $ dig @10.20.0.254  ipv6.google.com aaaa
34
351b. Теперь, отправьте запросы другому кэширующему серверу.
36
37    (Выполните каждую из последующих команд дважды, и сравните время выполнения
38     (в миллисекундах) каждой попытки)
39
40                                                      РЕЗУЛЬТАТ 1     РЕЗУЛЬТАТ 2
41                                                      -----------     -----------
42    $ dig @8.8.8.8 news.bbc.co.uk. a
43    $ dig @208.67.222.222 yahoo.com. a
44    $ dig @<a server of your choice> <domain of your choice> a
45
46    Как долго выполнялись запросы?  (В первый раз, и во второй раз)
47
482. Обратный поиск (по IP)
49
50    Теперь сделайте несколько "обратных" запросов - обратите внимание, что
51    мы не указываем явным образом, какой DNS-сервер dig должен запрашивать.
52    Какой DNS-сервер будет использован?
53
54    $ dig -x 10.20.X.1
55    $ dig -x 10.20.X.2
56    $ dig -x 10.20.X.3
57
58    ... где X в диапазоне от 1 до 25
59
60    Повторите для любого выбранного вами IP-адреса, в сети Интернет.  Помните,
61    что вы должны указывать @10.20.0.254 для того, чтобы осуществлять запросы
62    в Интернет...
63
64    Теперь попробуйте запрос:
65
66    $ dig 1.X.20.10.in-addr.arpa. PTR
67
68    ... ги X в диапазоне от 1 до 25.
69
70    На что вы обратили внимание?
71
72    Теперь давайте попробуем IPv6:
73
74    $ dig -x 2001:42d0::200:2:1
75
76    Какие различия вы наблюдаете между результатами обратных запросов для IPv6
77    и IPv4-адресов?
78
79    Замечание: возможно, вы не получите ответа для IPv6-адреса - тогда сравните
80    раздел запроса для IPv4 и для IPv6.
81
823. DNSSEC & EDNS0
83
84    Попытайтесь выполнить некоторые из предыдущих запросов, добавив
85    опцию "+edns=0".
86
87        Например:
88
89        $ dig @10.20.0.254 www.icann.org +edns=0
90
91        (возможно, есть смысл использовать команду "more" для ограничения количества
92    выводимой командой информации поэкранно)
93
94        $ dig @10.20.0.254 www.icann.org +edns=0 | more
95
96        Обратили внимание на OPT PSEUDOSECTION в начале вывода?
97
98    Что интересного вы заметили о подразделе flags: в разделе OPT?
99
100    Давайте явным образом включим опцию BUFSIZE, но не EDNS0:
101
102        $ dig @10.20.0.254 www.icann.org +bufsize=1024 | more
103
104    Обратите внимание, что EDNS установлен автоматически, и обратите
105    внимание на подраздел udp: size в псевдоразделе OPT.
106
107    Теперь, давайте попробуем получить DNSSEC-ответы:
108
109        $ dig @10.20.0.254 isoc.org DNSKEY | more
110        $ dig @10.20.0.254 www.isoc.org RRSIG | more
111
112    Наконец, дадим знать нашему DSN-серверу, что мы поддерживаем DNSSEC:
113
114        $ dig @10.20.0.254 www.isoc.org A +dnssec
115        $ dig @10.20.0.254 isoc.org NS +dnssec
116
117    Обратили ли вы внимание на новое поле в разделе "flags:" ответа?
118
119        $ dig @10.20.0.254 www.isoc.org A
120        $ dig @10.20.0.254 isoc.org NS
121
122    Сравните это с выводом dig БЕЗ опции +dnssec:
123
124    Если ваша группа уже запустила DNS-сервер, что получится
125    если вы сделаете DNSSEC-запрос к нему?
126
127    $ dig @10.20.XXX.3 noc.dns.nsrc.org A +dnssec
128    $ dig @10.20.XXX.3 dns.nsrc.org NS +dnssec
129
130    ... где XXX - номер вашей группы, и .3 - ваш кэширующий сервер
131    (но он может быть еще не запущен!)