[GTER] DNSSEC + .gov

Herbert Faleiros herbert at scw.net.br
Mon May 18 18:21:12 -03 2009


Notei hoje um domínio .gov nos meus servidores recursivos (executando o Bind) 
com DNSSEC habilitado estava retornando as consultas com erro aqui (não 
retorna nada, nem aponta p/ onde não devia), depois de uma olhada nos meu logs 
notei o seguinte (Biblioteca do Congresso):

lame-servers: info: no valid DS resolving 'www.loc.gov/A/IN': 140.147.2.12#53
lame-servers: info: no valid DS resolving 'loc.gov/A/IN': 140.147.237.17#53

e com o debug 3 no DNSSEC:

validating @0xb4d09010: www.loc.gov A: starting
validating @0xb4d09010: www.loc.gov A: looking for DLV
validating @0xb4d09010: www.loc.gov A: plain DNSSEC returns unsecure (.): 
looking for DLV
validating @0xb4d09010: www.loc.gov A: looking for DLV www.loc.gov.dlv.isc.org
validating @0xb4d09010: www.loc.gov A: DNS_R_COVERINGNSEC
validating @0xb4d09010: www.loc.gov A: covering nsec found: 
'www.loc.gov.dlv.isc.org' 'gov.dlv.isc.org' 'radioland.gr.dlv.isc.org'
validating @0xb4d09010: www.loc.gov A: looking for DLV loc.gov.dlv.isc.org
validating @0xb4d09010: www.loc.gov A: DNS_R_COVERINGNSEC
validating @0xb4d09010: www.loc.gov A: covering nsec found: 
'loc.gov.dlv.isc.org' 'gov.dlv.isc.org' 'radioland.gr.dlv.isc.org'
validating @0xb4d09010: www.loc.gov A: looking for DLV gov.dlv.isc.org
validating @0xb4d09010: www.loc.gov A: DLV gov found
validating @0xb4d09010: www.loc.gov A: dlv_validator_start
validating @0xb4d09010: www.loc.gov A: restarting using DLV
validating @0xb4d09010: www.loc.gov A: attempting insecurity proof
validating @0xb4d09010: www.loc.gov A: checking existence of DS at 'loc.gov'
validating @0x839f1c0: loc.gov DS: starting
validating @0x839f1c0: loc.gov DS: attempting negative response validation
validating @0x839f1c0: loc.gov DS: in authvalidated
validating @0x839f1c0: loc.gov DS: authvalidated: got no valid RRSIG
validating @0x839f1c0: loc.gov DS: resuming nsecvalidate
validating @0xb4d09010: www.loc.gov A: dns_validator_cancel
validating @0xb4d09010: www.loc.gov A: in dsfetched2: operation canceled
validating @0x839f1c0: loc.gov DS: dns_validator_cancel
validating @0x839f1c0: loc.gov DS: in authvalidated

O mais estranho é esse radioland.gr no meio (envenenamento? como? Aqui uso a 
versão _atualizada_ do Bind disponibilizada no Slackware 12.2).

Eu desabilitei o DNSSEC é voltou a funcionar (apontando p/ o site 
corretamente), por via das dúvidas eu até bloqueei o /16 desse registro que 
vem da Grécia (se fosse envenenamento abriria algo apontando p/ um local 
falso, correto?).

# host -t A www.loc.gov
www.loc.gov is an alias for rs7.loc.gov.
rs7.loc.gov has address 140.147.249.7

# whois 140.147.249.7  

OrgName:    Library of Congress, Information Technology Services
OrgID:      LCITS
Address:    101 Independence Avenue, SE
City:       Washington
StateProv:  DC
PostalCode: 20540
Country:    US
[cut]

Alguém tem alguma dica de onde está o problema? (aqui, com o DNSSEC ou lá)

-- 
Herbert




More information about the gter mailing list