>>>>>> 文章點閱數:35,917 <<<<<<

2015年11月,
CloudFlareDNS推出DNSSEC功能,
用来验证网域跟IP之间的正确性,
解决域名容易受到DNS污染的问题,
一方面也能降低域名被用来DNS放大攻击的可能性。

 

CloudFlare DNSSEC官网 https://www.cloudflare.com/dnssec/

dnssec

设定CloudFlareDNS的DNSSEC,请先点选CloudFlare面板上的DNS功能选单

dnssec1

页面下方会看到DNSSEC选项,请点选”Enable DNSSEC”开始配置

dnssec2

此时会出现DNSSEC的DS纪录与其他相关数据,请提交到网域注册商进行设定

dnssec3

以下是目前提供DNSSEC设定的注册商列表,并提供相关配置说明

网域注册商配置列表 https://support.cloudflare.com/hc/en-us/articles/209114378

dnssec4

部分注册商已经提供自动化的方式配置DNSSEC,但笔者的注册商NameCheap则需要联络即时客服人员请他们开工单设定DNSSEC。

以下是CloudFlareDNS的DNSSEC配置成功的状态

dnssec5

此时可以透过第三方检测工具测试DNSSEC状态

ViewDNS Tools http://viewdns.info/dnssec/

dnssec6

此时,可以检测常见Public DNS的DNSSEC生效状态,在Linux有很好用的dig工具,如果是Windows用户可以安装套件也能使用dig工具。

BIND下载官网 http://www.bind9.net/download

dnssec7

可以看到官网上面有很多镜像载点,但是大多已经失效,以下整理还可以用的载点

日本 ftp://ftp.iij.ad.jp/pub/network/isc/bind9/
美国 ftp://ftp.nominum.com/pub/isc/bind9/
美国 ftp://ftp.isc.org/isc/bind9/

请点选最新版本号,目前最新正式版为9.9.8

dnssec8

请依照Windows系统下在x86或x64,这里以x86示范

dnssec9

下载时可能会被Chrome认为是罕见档案需手动解除封锁,并请解压缩档案

dnssec10

请先安装资料夹中”vcredist_x86.exe”(这是x86版本的)

并将资料夹中的.dll应用程式扩充档与dig.exe全部复制

dnssec11

打开Windows的System32资料夹贴上.dll应用程式扩充档与dig.exe

dnssec12

上述步骤操作完后,开启cmd(Win+R执行cmd或搜寻cmd开启)

键入dig 网域名称 +dnssec @要测试的PublicDNS的IP

范例 dig paypal.com +dnssec @1.2.4.8

可以查询到CNNIC SDNS上PayPal域名的RRSIG纪录表示支援DNSSEC并且生效

目前测试Google PublicDNS、Hinet PublicDNS、CNNIC SDNS、百度 BaiduDNS均支持DNSSEC,这对于DNS安全有很大的帮助。

dnssec13

 

CloudFlare DNSSEC功能配置
Tagged on:     
35,917

10 thoughts on “CloudFlare DNSSEC功能配置

  • 2015-12-11 at 11:08 上午
    Permalink

    您的博客使用tiny tiny rss无法订阅,显示ssl错误35,镜像站可以

    • 2015-12-11 at 11:15 上午
      Permalink

      您好,
      由于站点使用CloudFlare的CDN,
      使用https的RSS容易出现错误回应,
      麻烦您修改成http的方式连线RSS,
      应该就可以正常访问啰,感谢您的关注。

      • 2015-12-11 at 11:49 上午
        Permalink

        我的阅读器也是用的cloudflare,订阅您的镜像网站没问题,很奇怪的事情。

        • 2015-12-11 at 12:58 下午
          Permalink

          请问您的RSS也有启动CloudFlare免费提供的SSL功能吗?
          我猜可能是CloudFlare的SSL比较特殊

          • 2015-12-11 at 3:41 下午
            Permalink

            我用的是非强制ssl的那个。

          • 2015-12-11 at 4:47 下午
            Permalink

            等等我去研究一下问题
            建议您先透过
            http://www.hzsh.xyz/feed
            获取RSS,因为我的镜像站点有很多个
            资讯更新比较无法即时同步,
            这部份还请多包涵!

          • 2015-12-11 at 5:00 下午
            Permalink

            sorry忘了说这个好像80端口也不行,会强制到ssl

          • 2015-12-11 at 5:21 下午
            Permalink

            会强制ssl?
            可是我没特别设置301耶…

          • 2015-12-11 at 5:31 下午
            Permalink

            我回家再试试

    • 2015-12-11 at 5:18 下午
      Permalink

      您好,经过测试
      免费版CloudFlare所提供的SSL
      会造成站点feed无法正常读取的问题
      暂时只能手动修改成非https连线来解决
      测试工具
      https://validator.w3.org/feed/

Comments are closed.