Some DNSSEC / NSEC Experiments Starting at the Root Zone

Introduction I was recently playing around with DNSSEC and figured out that the root DNS zone . uses NSEC and not NSEC3 to prove the absence of a resource record. This looked interesting to me and triggered some ideas. So I did some experiments and here are the results. TL;Dr: The most interesting facts: The root DNS zone uses NSEC can be therefore be DNSSEC zone walked There are more than 1500 TLDs More than 90% of all TLDs haven DNSSEC configured The most used algorithm for signing DNS zones is RSA/SHA-256 53 TLDs also use NSEC and can therefore also be DNSSEC zone walked Note: The results may not be exactly accurate because it was not always verified if every query was always successful. ...

20.04.2020 · 16 min · Emanuel Duss

SSH Fingerprints im DNS hinterlegen (SSHFP Record)

Einführung Verbindet man sich zum ersten Mal per SSH mit einem Server, sieht man den Fingerabdruck des Servers. Diesen sollte man im Idealfall vergleichen und erst mit yes bestätigen, wenn man sich sicher ist, dass es sich um den richtigen Fingerprint handelt. Stimmt der Fingerabdruck nicht, könnte man Opfer einer Man in the Middle Attacke sein. Das Vergleichen der Fingerprints ist etwas mühsam und mittels fuzzying (beispielsweise mit dem Tool ffp) können sehr ähnliche Fingerprints erstellt werden, welche dem Menschen auf den ersten Blick gleich erscheinen. Man kann sich einfach vor gefälschten SSH Fingerprints schützen, indem man diese in einem DNSSEC signierten speziellen DNS Record hinterlegt. Hierfür gibt es den speziellen SSHFP Record. ...

15.11.2014 · 6 min · Emanuel Duss

Dynamische DNS Zonen automatisch für DNSSEC signieren

Einführung Setzt man DNSSEC ein, muss man bei jeder Änderung der Zone oder wenn die Signatur abgelaufen ist die Zone neu signieren. Setzt man dynamisches DNS ein (wie in diesem Blogpost beschrieben: Eigener Dynamischen DNS (DDNS) Service betreiben (Eigenes DynDNS), ist es am einfachsten wenn der Nameserver die Zone nach einem Update selber neu signiert. Das Problem Es gibt den Host monpi.example.org, welcher seinen DNS-Eintrag regelmässig anpasst. Bei dieser Zone wurde neu DNSSEC aktiviert: ...

18.09.2014 · 3 min · Emanuel Duss

DNS Zonen mit DNSSEC signieren (mit Bind)

Einführung DNS Antworten können signiert werden, damit man überprüfen kann, ob es sich um eine richtige und vertrauenswürdige Antwort handelt. Die DNS Antworten werden vom authoritativen DNS Server signiert. Die Schlüssel, welche die Antworten signieren, werden von dem DNS Server eine Zone höher signiert. Über diese Chain-of-Trust können Anwendungssoftware und DNS Resolver prüfen, ob eine Antwort vertrauenswürdig ist oder nicht. Mit dem DNS Server bind kann man seine Zonen selber signiert anbieten. Ich zeige das am Beispiel der Domain example.org. ...

02.09.2014 · 8 min · Emanuel Duss

Wikipedia-Einträge über DNS abfragen

Einführung Die Online-Enzyklopädie Wikipedia kann über DNS abgefragt werden. Toll daran ist, dass man somit jederzeit die Definition von einem Begriff aus der Shell heraus per DNS abfragen kann. Technik Der DNS-Server wp.dg.cx stellt über TXT-Ressource-Records den ersten Absatz von den englischen Wikipedia-Artikeln zur Verfügung. Der DNS-Server kann mit nslookup oder dig abgefragt werden. Abfrage Ich möchte die Definition von Foo wissen. Der DNS-Query sieht folgendermassen aus: emanuel@discordia:~ $ dig foo.wp.dg.cx TXT ;; Truncated, retrying in TCP mode. ; <<>> DiG 9.7.2-P3 <<>> txt foo.wp.dg.cx ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7560 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 1 ;; QUESTION SECTION: ;foo.wp.dg.cx. IN TXT ;; ANSWER SECTION: foo.wp.dg.cx. 86400 IN TXT "The term foobar, along with foo, bar, and baz, is a common placeholder name (also referred to as a metasyntactic variable) used in computer programming or computer-related documentation. These four terms are used heavily in computer science to take the pl" "ace of unknown values, typically while describing a scenario where the purpose of the unknown values are understood, but... http://a.vu/w:Foobar" ;; AUTHORITY SECTION: . 78741 IN NS g.root-servers.net. . 78741 IN NS f.root-servers.net. . 78741 IN NS h.root-servers.net. . 78741 IN NS e.root-servers.net. . 78741 IN NS k.root-servers.net. . 78741 IN NS l.root-servers.net. . 78741 IN NS j.root-servers.net. . 78741 IN NS c.root-servers.net. . 78741 IN NS a.root-servers.net. . 78741 IN NS m.root-servers.net. . 78741 IN NS i.root-servers.net. . 78741 IN NS b.root-servers.net. . 78741 IN NS d.root-servers.net. ;; ADDITIONAL SECTION: a.root-servers.net. 79004 IN A 198.41.0.4 ;; Query time: 5 msec ;; SERVER: 10.0.0.10#53(10.0.0.10) ;; WHEN: Mon Feb 14 21:11:04 2011 ;; MSG SIZE rcvd: 670 In der Answer-Section steht die Erklärung von Foo. ...

14.02.2011 · 3 min · Emanuel Duss

Gesamter Traffic über DNS tunneln mit OzymanDNS

Einführung An öffentlichen Plätzen oder in Cafes gibt es oft öffentliche Hotspots. Manchmal verlangen diese eine Registrierung oder sind nur nutzbar, wenn man bezahlt. Interessant dabei ist, dass DNS-Anfragen auch ohne Anmeldung aufgelöst werden. Jetzt kann man den gesamten Traffic über DNS tunneln und so ohne Anmeldung im Internet surfen. Voraussetzung Ein DNS-Server Ein Server, welcher für den Tunnel verantwortlich ist Ein Client Die Software OzymanDNS von Dan Kaminsky ...

09.01.2011 · 4 min · Emanuel Duss