Projet

Général

Profil

DNS » Historique » Version 16

Laurent GUERBY, 27/08/2012 14:09

1 11 Laurent GUERBY
{{>toc}}
2 11 Laurent GUERBY
3 1 Laurent GUERBY
h1. DNS
4 1 Laurent GUERBY
5 15 Laurent GUERBY
Voir aussi [[DNSSEC]] et [[Bind]]
6 1 Laurent GUERBY
7 14 Laurent GUERBY
h2. Liens
8 14 Laurent GUERBY
9 14 Laurent GUERBY
Bonne présentation au dernier RIPE sur les outils de déboguage DNS. Même les gens expérimentés y trouveront au moins un truc qu'ils ne connaissaient pas.
10 14 Laurent GUERBY
11 14 Laurent GUERBY
https://ripe64.ripe.net/presentations/33-DNS_debug+monitor.pdf
12 14 Laurent GUERBY
13 14 Laurent GUERBY
Principaux manques : dans la partie validation d'un fichier de zone, validns, et dans celle de l'analyse des données, DNSwitness.
14 14 Laurent GUERBY
15 16 Laurent GUERBY
https://wiki.auto-hebergement.fr/coop%C3%A9ration/serveur_de_noms_secondaire
16 16 Laurent GUERBY
17 14 Laurent GUERBY
h2. Sujets
18 14 Laurent GUERBY
19 14 Laurent GUERBY
20 14 Laurent GUERBY
21 3 Laurent GUERBY
* Alternatives a bind9 ?
22 3 Laurent GUERBY
* Comment migrer ces zones ? 
23 3 Laurent GUERBY
* Peut-on utiliser plusieurs implémentations DNS de manière synchronisée en même temps ?
24 3 Laurent GUERBY
* Comment faire de l'anycast ?
25 3 Laurent GUERBY
* Partager ces services avec d'autres structures ?
26 4 Laurent GUERBY
27 4 Laurent GUERBY
h2. Astuces
28 4 Laurent GUERBY
29 4 Laurent GUERBY
sileht: dig sur bind permets de recuperer le vrai hostname de la machine interrogée :
30 4 Laurent GUERBY
dig @sileht.net hostname.bind txt ch
31 4 Laurent GUERBY
pour detecter DNS load balancé: for j in $(seq 0 20) ; do dig @a.dns.gandi.net hostname.bind txt ch +short ; done
32 5 Laurent GUERBY
33 7 Laurent GUERBY
https://lists.dns-oarc.net/pipermail/dns-operations/2011-December/007857.html
34 7 Laurent GUERBY
<pre>
35 7 Laurent GUERBY
FYI: here's a pcap filter that will match only UDP DNS ANY queries:
36 7 Laurent GUERBY
37 7 Laurent GUERBY
udp and dst port 53 and udp[10]&0xf8=0 and udp[12:4]=65536 and udp[16:4]=0 and udp[udp[4:2]-3]=255
38 7 Laurent GUERBY
39 7 Laurent GUERBY
It only works for IPv4 (that's a pcap limitation).
40 7 Laurent GUERBY
</pre>
41 7 Laurent GUERBY
42 5 Laurent GUERBY
h2. Misc
43 5 Laurent GUERBY
44 5 Laurent GUERBY
45 5 Laurent GUERBY
* root zone http://www.internic.net/zones/named.root
46 6 Laurent GUERBY
* dig @dns.example.com example.com -t AXFR
47 8 Laurent GUERBY
* https://www.dns-oarc.net/wiki/mitigating-dns-denial-of-service-attacks
48 8 Laurent GUERBY
* 
49 9 Mehdi Abaakouk
50 9 Mehdi Abaakouk
h2. Délégation de zone
51 9 Mehdi Abaakouk
52 9 Mehdi Abaakouk
Exemple de délégation du domaine toto.tetaneutral.net à la machine 91.224.149.XX (peut importe sont vrai nom)
53 9 Mehdi Abaakouk
54 9 Mehdi Abaakouk
<pre>
55 9 Mehdi Abaakouk
$ORIGIN toto.tetaneutral.net.
56 10 Mehdi Abaakouk
@                      IN  NS    ns.toto.tetaneutral.net.
57 9 Mehdi Abaakouk
ns                     IN  A      91.224.149.XX
58 9 Mehdi Abaakouk
ns                     IN  AAAA   2a01:6600:8081:XX00::1
59 11 Laurent GUERBY
</pre>
60 11 Laurent GUERBY
61 11 Laurent GUERBY
h2. recursion 
62 11 Laurent GUERBY
63 11 Laurent GUERBY
Pour limiter les requêtes recursives aux IP tetaneutral.net dans /etc/bind/named.conf.options :
64 11 Laurent GUERBY
65 11 Laurent GUERBY
<pre>
66 11 Laurent GUERBY
allow-recursion { 91.224.148.0/23; 2a01:6600:8000::/40; };
67 9 Mehdi Abaakouk
</pre>
68 13 Laurent GUERBY
69 13 Laurent GUERBY
h2. Transferts
70 13 Laurent GUERBY
71 13 Laurent GUERBY
http://www.mail-archive.com/frnog@frnog.org/msg18590.html
72 13 Laurent GUERBY
http://www.icann.org/en/resources/registrars/transfers
73 13 Laurent GUERBY
http://www.icann.org/en/resources/registrars/transfers/policy