Projet

Général

Profil

DNS » Historique » Version 15

« Précédent - Version 15/53 (diff) - Suivant » - Version actuelle
Laurent GUERBY, 28/07/2012 11:56


DNS

Voir aussi DNSSEC et Bind

Liens

Bonne présentation au dernier RIPE sur les outils de déboguage DNS. Même les gens expérimentés y trouveront au moins un truc qu'ils ne connaissaient pas.

https://ripe64.ripe.net/presentations/33-DNS_debug+monitor.pdf

Principaux manques : dans la partie validation d'un fichier de zone, validns, et dans celle de l'analyse des données, DNSwitness.

Sujets

  • Alternatives a bind9 ?
  • Comment migrer ces zones ?
  • Peut-on utiliser plusieurs implémentations DNS de manière synchronisée en même temps ?
  • Comment faire de l'anycast ?
  • Partager ces services avec d'autres structures ?

Astuces

sileht: dig sur bind permets de recuperer le vrai hostname de la machine interrogée :
dig @sileht.net hostname.bind txt ch
pour detecter DNS load balancé: for j in $(seq 0 20) ; do dig @a.dns.gandi.net hostname.bind txt ch +short ; done

https://lists.dns-oarc.net/pipermail/dns-operations/2011-December/007857.html

FYI: here's a pcap filter that will match only UDP DNS ANY queries:

udp and dst port 53 and udp[10]&0xf8=0 and udp[12:4]=65536 and udp[16:4]=0 and udp[udp[4:2]-3]=255

It only works for IPv4 (that's a pcap limitation).

Misc

Délégation de zone

Exemple de délégation du domaine toto.tetaneutral.net à la machine 91.224.149.XX (peut importe sont vrai nom)

$ORIGIN toto.tetaneutral.net.
@                      IN  NS    ns.toto.tetaneutral.net.
ns                     IN  A      91.224.149.XX
ns                     IN  AAAA   2a01:6600:8081:XX00::1

recursion

Pour limiter les requêtes recursives aux IP tetaneutral.net dans /etc/bind/named.conf.options :

allow-recursion { 91.224.148.0/23; 2a01:6600:8000::/40; };

Transferts

http://www.mail-archive.com/frnog@frnog.org/msg18590.html
http://www.icann.org/en/resources/registrars/transfers
http://www.icann.org/en/resources/registrars/transfers/policy