[GTER] DNSSec automático !?!?

Frederico A C Neves fneves at registro.br
Tue Aug 18 10:06:24 -03 2009 

Leonardo,

On Tue, Aug 18, 2009 at 04:13:06AM -0300, Leonardo Rodrigues wrote:
> Frederico A C Neves escreveu:
> >Estes registros são provenientes do parent (NSEC não contem SOA), e
> >provam a não existência de nomes entre emsa.net.br e
> >emsaopaulo.net.br. Certamente este servidor recursivo consultou algo
> >neste intervalo.
> >  
> 
>    Opa Fred .... pois é, o DNS dessa máquina é um named que roda local. 
> Se eu faço um stop/start no named, assim zerando qualquer cache que 
> possa haver e imediatamente em seguida faço a consulta que enviei no 
> email inicial, os registros aparecem da mesma forma. Ou seja .... não me 
> parece ser algo que o servidor consultou anteriormente não, pois eu 
> zerei todo e qualquer tipo de cache no stop/start .....
> 
>    E outra ... são domínios que eu acabei de registrar, alguns 
> inclusive são nomes 'esquisitos', impossível o servidor ter consultado 
> anteriormente .... esse que mandei é só um exemplo, mas tem vários 
> outros .net.br recém registrados com o mesmo comportamento ....

Se o seu servidor recursivo está efetuando consultas com DNSSEC
habilitado este é o comportamento esperado em um "referral" para a
zona net.br. Este registro NSEC além de provar a não existência de
nenhum nome neste intervalo, provam também que não existe uma
delegação segura pela não existência do registro DS para este nome.

O seu servidor recursivo efetua o cache desta informação e quando você
pede para ele retornar qualquer registro que tenha via um query ANY,
ele retorna estes também.

Fred

 > dig @a.dns.br www.emsa.net.br a +dnssec +norec +m

 ; <<>> DiG 9.3.4-P1 <<>> @a.dns.br www.emsa.net.br a +dnssec +norec +m
 ; (2 servers found)
 ;; global options:  printcmd
 ;; Got answer:
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33684
 ;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 5, ADDITIONAL: 1

 ;; OPT PSEUDOSECTION:
 ; EDNS: version: 0, flags:; udp: 4096
 ;; QUESTION SECTION:
 ;www.emsa.net.br.	IN A

 ;; AUTHORITY SECTION:
 emsa.net.br.		86400 IN NS hermes.emsa.com.br.
 emsa.net.br.		86400 IN NS fenix.emsa.com.br.
 emsa.net.br.		86400 IN NS ns1.solutti.com.br.
 emsa.net.br.		900 IN NSEC emsaopaulo.net.br. NS RRSIG NSEC
 emsa.net.br.		900 IN RRSIG NSEC 5 3 900 20090824050001 (
 				20090817050001 33523 net.br.
 				AAVFaSEfzEzkWVcyMmEdTDdZ/p9Vvq0e5yrsdQjfcPy+
 				vTT4aMQgYLRo40+kQ+9ee9aOaNvfCXZix04L8RVZxkzp
 				caIiVYGGJa9Ji83o+RLohwnpWH45pYTGPONCIhiNmmCs
 				q8Y7HzHbb6LzkQ5+gOOM8Lu2ZdvnVD4FibI+NCU= )

 ;; Query time: 1 msec
 ;; SERVER: 2001:12ff::10#53(2001:12ff::10)
 ;; WHEN: Tue Aug 18 10:02:09 2009
 ;; MSG SIZE  rcvd: 336

More information about the gter mailing list