Projet

Général

Profil

DNS » Historique » Version 15

Laurent GUERBY, 28/07/2012 11:56

1 11 Laurent GUERBY
{{>toc}}
2 11 Laurent GUERBY
3 1 Laurent GUERBY
h1. DNS
4 1 Laurent GUERBY
5 15 Laurent GUERBY
Voir aussi [[DNSSEC]] et [[Bind]]
6 1 Laurent GUERBY
7 14 Laurent GUERBY
h2. Liens
8 14 Laurent GUERBY
9 14 Laurent GUERBY
Bonne présentation au dernier RIPE sur les outils de déboguage DNS. Même les gens expérimentés y trouveront au moins un truc qu'ils ne connaissaient pas.
10 14 Laurent GUERBY
11 14 Laurent GUERBY
https://ripe64.ripe.net/presentations/33-DNS_debug+monitor.pdf
12 14 Laurent GUERBY
13 14 Laurent GUERBY
Principaux manques : dans la partie validation d'un fichier de zone, validns, et dans celle de l'analyse des données, DNSwitness.
14 14 Laurent GUERBY
15 14 Laurent GUERBY
h2. Sujets
16 14 Laurent GUERBY
17 14 Laurent GUERBY
18 14 Laurent GUERBY
19 3 Laurent GUERBY
* Alternatives a bind9 ?
20 3 Laurent GUERBY
* Comment migrer ces zones ? 
21 3 Laurent GUERBY
* Peut-on utiliser plusieurs implémentations DNS de manière synchronisée en même temps ?
22 3 Laurent GUERBY
* Comment faire de l'anycast ?
23 3 Laurent GUERBY
* Partager ces services avec d'autres structures ?
24 4 Laurent GUERBY
25 4 Laurent GUERBY
h2. Astuces
26 4 Laurent GUERBY
27 4 Laurent GUERBY
sileht: dig sur bind permets de recuperer le vrai hostname de la machine interrogée :
28 4 Laurent GUERBY
dig @sileht.net hostname.bind txt ch
29 4 Laurent GUERBY
pour detecter DNS load balancé: for j in $(seq 0 20) ; do dig @a.dns.gandi.net hostname.bind txt ch +short ; done
30 5 Laurent GUERBY
31 7 Laurent GUERBY
https://lists.dns-oarc.net/pipermail/dns-operations/2011-December/007857.html
32 7 Laurent GUERBY
<pre>
33 7 Laurent GUERBY
FYI: here's a pcap filter that will match only UDP DNS ANY queries:
34 7 Laurent GUERBY
35 7 Laurent GUERBY
udp and dst port 53 and udp[10]&0xf8=0 and udp[12:4]=65536 and udp[16:4]=0 and udp[udp[4:2]-3]=255
36 7 Laurent GUERBY
37 7 Laurent GUERBY
It only works for IPv4 (that's a pcap limitation).
38 7 Laurent GUERBY
</pre>
39 7 Laurent GUERBY
40 5 Laurent GUERBY
h2. Misc
41 5 Laurent GUERBY
42 5 Laurent GUERBY
43 5 Laurent GUERBY
* root zone http://www.internic.net/zones/named.root
44 6 Laurent GUERBY
* dig @dns.example.com example.com -t AXFR
45 8 Laurent GUERBY
* https://www.dns-oarc.net/wiki/mitigating-dns-denial-of-service-attacks
46 8 Laurent GUERBY
* 
47 9 Mehdi Abaakouk
48 9 Mehdi Abaakouk
h2. Délégation de zone
49 9 Mehdi Abaakouk
50 9 Mehdi Abaakouk
Exemple de délégation du domaine toto.tetaneutral.net à la machine 91.224.149.XX (peut importe sont vrai nom)
51 9 Mehdi Abaakouk
52 9 Mehdi Abaakouk
<pre>
53 9 Mehdi Abaakouk
$ORIGIN toto.tetaneutral.net.
54 10 Mehdi Abaakouk
@                      IN  NS    ns.toto.tetaneutral.net.
55 9 Mehdi Abaakouk
ns                     IN  A      91.224.149.XX
56 9 Mehdi Abaakouk
ns                     IN  AAAA   2a01:6600:8081:XX00::1
57 11 Laurent GUERBY
</pre>
58 11 Laurent GUERBY
59 11 Laurent GUERBY
h2. recursion 
60 11 Laurent GUERBY
61 11 Laurent GUERBY
Pour limiter les requêtes recursives aux IP tetaneutral.net dans /etc/bind/named.conf.options :
62 11 Laurent GUERBY
63 11 Laurent GUERBY
<pre>
64 11 Laurent GUERBY
allow-recursion { 91.224.148.0/23; 2a01:6600:8000::/40; };
65 9 Mehdi Abaakouk
</pre>
66 13 Laurent GUERBY
67 13 Laurent GUERBY
h2. Transferts
68 13 Laurent GUERBY
69 13 Laurent GUERBY
http://www.mail-archive.com/frnog@frnog.org/msg18590.html
70 13 Laurent GUERBY
http://www.icann.org/en/resources/registrars/transfers
71 13 Laurent GUERBY
http://www.icann.org/en/resources/registrars/transfers/policy