Михаил Кириченко Posted November 20, 2024 Posted November 20, 2024 Здравствуйте! Стокнулся с тем что на keenetic kn-1811 c прошивкой 4.2.1 DNS-резолвер не обращает внимания на недействительные подписи DNSSEC. dig +dnssec sigfail.verteiltesysteme.net @192.168.1.1 ; <<>> DiG 9.10.6 <<>> +dnssec sigfail.verteiltesysteme.net @192.168.1.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34191 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;sigfail.verteiltesysteme.net. IN A ;; ANSWER SECTION: sigfail.verteiltesysteme.net. 86400 IN CNAME sigfail.rsa2048-sha256.ippacket.stream. sigfail.rsa2048-sha256.ippacket.stream. 86400 IN A 195.201.14.36 ;; Query time: 3 msec ;; SERVER: 192.168.1.1#53(192.168.1.1) ;; WHEN: Sun Nov 17 09:07:39 +06 2024 ;; MSG SIZE rcvd: 125 Quote
0 Михаил Кириченко Posted November 20, 2024 Author Posted November 20, 2024 Ответ поддержки: Здравствуйте. Показали информацию разработчикам. Да, все именно так, как вы показываете. DNS-резолвер не обращает внимания на недействительные подписи DNSSEC. Пока ничего сделать нельзя и в будущем не планируется правок на этот счет. Quote
0 Михаил Кириченко Posted November 20, 2024 Author Posted November 20, 2024 Как кто решает вопросы защиты от атак и фишинга на уровне dns поделитесь опытом. Quote
0 Le ecureuil Posted November 20, 2024 Posted November 20, 2024 Все так, DNSSEC-подпись не проверяется. Кто хочет защиты - используйте DoT/DoH. Quote
Question
Михаил Кириченко
Здравствуйте! Стокнулся с тем что на keenetic kn-1811 c прошивкой 4.2.1 DNS-резолвер не обращает внимания на недействительные подписи DNSSEC.
dig +dnssec sigfail.verteiltesysteme.net @192.168.1.1
; <<>> DiG 9.10.6 <<>> +dnssec sigfail.verteiltesysteme.net @192.168.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34191
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;sigfail.verteiltesysteme.net. IN A
;; ANSWER SECTION:
sigfail.verteiltesysteme.net. 86400 IN CNAME sigfail.rsa2048-sha256.ippacket.stream.
sigfail.rsa2048-sha256.ippacket.stream. 86400 IN A 195.201.14.36
;; Query time: 3 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Sun Nov 17 09:07:39 +06 2024
;; MSG SIZE rcvd: 125
3 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.