DNS » Historique » Version 20
Version 19 (Laurent GUERBY, 12/03/2013 14:52) → Version 20/53 (Laurent GUERBY, 12/03/2013 20:52)
{{>toc}}
h1. DNS
Voir aussi [[DNSSEC]] et [[Bind]]
h2. Liens
Bonne présentation au dernier RIPE sur les outils de déboguage DNS. Même les gens expérimentés y trouveront au moins un truc qu'ils ne connaissaient pas.
https://ripe64.ripe.net/presentations/33-DNS_debug+monitor.pdf
Principaux manques : dans la partie validation d'un fichier de zone, validns, et dans celle de l'analyse des données, DNSwitness.
https://wiki.auto-hebergement.fr/coop%C3%A9ration/serveur_de_noms_secondaire
Un très bon rapport d'étudiants (c'est sympa, de faire bosser des
étudiants sur des problèmes intéressants et utiles) : « Defending
against DNS reflection amplification attacks »
http://www.nlnetlabs.nl/downloads/publications/report-rrl-dekoning-rozekrans.pdf
Résolution de noms : les programmeurs vont-ils avoir de meilleures interfaces ? http://www.bortzmeyer.org/resolution-noms-api.html
h2. Sujets
* Alternatives a bind9 ?
* Comment migrer ces zones ?
* Peut-on utiliser plusieurs implémentations DNS de manière synchronisée en même temps ?
* Comment faire de l'anycast ?
* Partager ces services avec d'autres structures ?
h2. Astuces
sileht: dig sur bind permets de recuperer le vrai hostname de la machine interrogée :
dig @sileht.net hostname.bind txt ch
pour detecter DNS load balancé: for j in $(seq 0 20) ; do dig @a.dns.gandi.net hostname.bind txt ch +short ; done
https://lists.dns-oarc.net/pipermail/dns-operations/2011-December/007857.html
<pre>
FYI: here's a pcap filter that will match only UDP DNS ANY queries:
udp and dst port 53 and udp[10]&0xf8=0 and udp[12:4]=65536 and udp[16:4]=0 and udp[udp[4:2]-3]=255
It only works for IPv4 (that's a pcap limitation).
</pre>
http://whatsmydns.net is an online service that allows you to instantly perform a DNS lookup to check a hostnames current IP Address and other DNS information against a selection of random name servers around the world.
Il y a aussi : http://viewdns.info/propagation/ - http://dnschk.com/ - : http://www.preshweb.co.uk/cgi-bin/dns-propagation-tracker.pl
h2. Misc
* root zone http://www.internic.net/zones/named.root
* dig @dns.example.com example.com -t AXFR
* https://www.dns-oarc.net/wiki/mitigating-dns-denial-of-service-attacks
*
h2. Délégation de zone
Exemple de délégation du domaine toto.tetaneutral.net à la machine 91.224.149.XX (peut importe sont vrai nom)
<pre>
$ORIGIN toto.tetaneutral.net.
@ IN NS ns.toto.tetaneutral.net.
ns IN A 91.224.149.XX
ns IN AAAA 2a01:6600:8081:XX00::1
</pre>
h2. recursion
Pour limiter les requêtes recursives aux IP tetaneutral.net dans /etc/bind/named.conf.options :
<pre>
allow-recursion { 91.224.148.0/23; 2a01:6600:8000::/40; };
</pre>
h2. Transferts
http://www.mail-archive.com/frnog@frnog.org/msg18590.html
http://www.icann.org/en/resources/registrars/transfers
http://www.icann.org/en/resources/registrars/transfers/policy
h1. DNS
Voir aussi [[DNSSEC]] et [[Bind]]
h2. Liens
Bonne présentation au dernier RIPE sur les outils de déboguage DNS. Même les gens expérimentés y trouveront au moins un truc qu'ils ne connaissaient pas.
https://ripe64.ripe.net/presentations/33-DNS_debug+monitor.pdf
Principaux manques : dans la partie validation d'un fichier de zone, validns, et dans celle de l'analyse des données, DNSwitness.
https://wiki.auto-hebergement.fr/coop%C3%A9ration/serveur_de_noms_secondaire
Un très bon rapport d'étudiants (c'est sympa, de faire bosser des
étudiants sur des problèmes intéressants et utiles) : « Defending
against DNS reflection amplification attacks »
http://www.nlnetlabs.nl/downloads/publications/report-rrl-dekoning-rozekrans.pdf
Résolution de noms : les programmeurs vont-ils avoir de meilleures interfaces ? http://www.bortzmeyer.org/resolution-noms-api.html
h2. Sujets
* Alternatives a bind9 ?
* Comment migrer ces zones ?
* Peut-on utiliser plusieurs implémentations DNS de manière synchronisée en même temps ?
* Comment faire de l'anycast ?
* Partager ces services avec d'autres structures ?
h2. Astuces
sileht: dig sur bind permets de recuperer le vrai hostname de la machine interrogée :
dig @sileht.net hostname.bind txt ch
pour detecter DNS load balancé: for j in $(seq 0 20) ; do dig @a.dns.gandi.net hostname.bind txt ch +short ; done
https://lists.dns-oarc.net/pipermail/dns-operations/2011-December/007857.html
<pre>
FYI: here's a pcap filter that will match only UDP DNS ANY queries:
udp and dst port 53 and udp[10]&0xf8=0 and udp[12:4]=65536 and udp[16:4]=0 and udp[udp[4:2]-3]=255
It only works for IPv4 (that's a pcap limitation).
</pre>
http://whatsmydns.net is an online service that allows you to instantly perform a DNS lookup to check a hostnames current IP Address and other DNS information against a selection of random name servers around the world.
Il y a aussi : http://viewdns.info/propagation/ - http://dnschk.com/ - : http://www.preshweb.co.uk/cgi-bin/dns-propagation-tracker.pl
h2. Misc
* root zone http://www.internic.net/zones/named.root
* dig @dns.example.com example.com -t AXFR
* https://www.dns-oarc.net/wiki/mitigating-dns-denial-of-service-attacks
*
h2. Délégation de zone
Exemple de délégation du domaine toto.tetaneutral.net à la machine 91.224.149.XX (peut importe sont vrai nom)
<pre>
$ORIGIN toto.tetaneutral.net.
@ IN NS ns.toto.tetaneutral.net.
ns IN A 91.224.149.XX
ns IN AAAA 2a01:6600:8081:XX00::1
</pre>
h2. recursion
Pour limiter les requêtes recursives aux IP tetaneutral.net dans /etc/bind/named.conf.options :
<pre>
allow-recursion { 91.224.148.0/23; 2a01:6600:8000::/40; };
</pre>
h2. Transferts
http://www.mail-archive.com/frnog@frnog.org/msg18590.html
http://www.icann.org/en/resources/registrars/transfers
http://www.icann.org/en/resources/registrars/transfers/policy