為了讓結果更清晰,找壹個有DNSSEC簽名的域名(paypal.com),壹個支持DNSSEC的DNS服務器(4.2.2.4),壹個不支持DNSSEC的DNS服務器(114.6438+014.338+06538+0438). 50086
4.2.2.4支持DNSSEC的查詢結果如下。
root@OpenWrt:~#?挖?paypal.com?+dnssec?@4.2.2.4
;?& lt& lt& gt& gt?挖?9.9.4?& lt& lt& gt& gt?paypal.com?+dnssec?@4.2.2.4
;;?全球?選項:?+cmd
;;?明白了嗎?回答:
;;?-& gt;& gt標題& lt& lt-?操作碼:?查詢,?狀態:?沒錯。id:?48979
;;?旗幟:?qr?rd?ra;?查詢:?1,?回答:?3,?權威:?0,?附加:?1
;;?OPT?偽截面:
;?EDNS:?版本:?0,?旗幟:?做;?udp:?4096
;;?問題?部分:
;paypal.com.IN?A
;;?回答?部分:
paypal.com?293?在?a 66.211.169.3
paypal.com?293?在?a 66.211.169.66
paypal.com?293?在?RRSIGA?5?2?300?20140728175119?20140628172604?11811?paypal.com?ka 3j 7 cslbuizirh 7 ytkj 7 eubzpace 7 jmr 6 m2 wursncq/dfjb 9 JL 018OZ?6 i3 bzzsyqss 2 jw 9 tmvzmkxrlh 3 CMT 5 JC 1 bni 6 q 9 ub 46 dlpjjoamxq 1 rq?ss 37 MB 4 blk 8 DD 4 rxljmehh 19+kg 8 xxxe 8 igywlm 7 tkyayijvdxbt 80 te?vgg=
;;?查詢?時間:?224?毫秒(millisecond)
;;?服務器:?4.2.2.4#53(4.2.2.4)
;;?什麽時候:?周二?七月?15?21:49:25?CST?2014
;;?味精?尺寸?rcvd:?241使用不支持DNSSEC的114.16.5438+04.16.5438,查詢結果如下:
root@OpenWrt:~#?挖?paypal.com?+dnssec?@114.114.114.114
;?& lt& lt& gt& gt?挖?9.9.4?& lt& lt& gt& gt?paypal.com?+dnssec?@114.114.114.114
;;?全球?選項:?+cmd
;;?明白了嗎?回答:
;;?-& gt;& gt標題& lt& lt-?操作碼:?查詢,?狀態:?沒錯。id:?12717
;;?旗幟:?qr?rd?ra;?查詢:?1,?回答:?2,?權威:?0,?附加:?0
;;?問題?部分:
;paypal.com.IN?A
;;?回答?部分:
paypal.com?300?在?a 66.211.169.3
paypal.com?300?在?a 66.211.169.66
;;?查詢?時間:?577?毫秒(millisecond)
;;?服務器:?114.114.114.114#53(114.114.114.114)
;;?什麽時候:?周二?七月?15?21:49:57?CST?2014
;;?味精?尺寸?rcvd:?可以看到,支持DNSSEC的服務器返回了很長的壹串RRSIG(資源記錄簽名),這是DNSSEC非常重要的數據簽名。
不支持DNSSEC的服務器根本不會返回這些信息,因此很容易區分DNS服務器是否支持DNSSEC。
然而,目前有DNSSEC簽名的域名非常少。壹般國外壹些政府域名都有,當然paypal也有,國內很少。
如果域名本身沒有配置dnssec簽名,那麽無論妳用什麽樣的DNS服務器查詢DNSSEC數據,結果都是壹樣的。