存档在 2013年6月

EPP/New TLDS资料汇编

2013年6月28日

http://china.resellerclub.com/cnknowledge-base/

http://www.verisigninc.com/zh_CN/products-and-services/domain-name-services/index.xhtml

http://www.dns.com.cn/agent/agent_epp_jichu.php

http://www.cnnic.net.cn/jscx/idn/

http://www.dns.com.cn/main/news.php?ID=109

http://www.oschina.net/p/jresolver/similar_projects?lang=0&sort=time&p=9

RRP域名状态和EPP域名状态

2013年6月28日

域名状态分为RRP域名状态和EPP域名状态。

RRP域名状态是指”注册局-注册商协议域名状态代码”所规定的状态[Registry Registrar Protocol (RRP) Domain Status Codes]:

RRP由Verisign开发定义,用于.com/.net域名状态(例如:wansai.com或wansai.net),部分国家域名也采用该方法。RRP域名状态有八种:

  1. ACTIVE: 正常/激活
  2. REGISTRY-LOCK: 注册局锁定(域名转移、更新、续费、删除至少有一项不能操作,域名可以进行解析使用)
  3. REGISTRAR-LOCK: 注册商锁定(域名转移、更新、续费、删除至少有一项不能操作,域名可以进行解析使用)
  4. REGISTRY-HOLD: 注册局留置(有争议域名或者有问题域名,不能进行任何操作)
  5. REGISTRAR-HOLD: 注册商留置(过期域名,可以进行续费操作)
  6. REDEMPTIONPERIOD: 赎回期 (域名过期30后由注册局设置,此状态保持30天,之后进入”即将删除”)
  7. PENDINGRESTORE: 即将恢复 (注册局接到注册商的restorer命令,此此状态保持7天)
  8. PENDINGDELETE: 即将删除

EPP域名状态是指”可扩展规定协议域名状态代码”所规定的状态[Extensible Provisioning Protocol (EPP) Domain Status Codes]:

ORG/.BIZ /.INFO(例如:wansai.org/wansai.biz/wansai.info) 以及 .Name 注册局使用EPP域名状态定义。相比RRP状态,EPP状态更容易理解、更加详细,如:CLIENT DELETE PROHIBITED表示客户端不可以删除域名,EPP状态中的SERVER和CLIENT指RRP协议中的注册局和注册商。但现在大部分注册商都采用EPP域名状态,所以主要说明一下EPP域名状态的含义:

1、Status: OK
默认的正常状态:
该状态由注册商设置,域名可以更新(域名信息修改)、续费、删除、转移,指派至少一台域名服务器则可以正常使用。 » 阅读更多: RRP域名状态和EPP域名状态

多浏览器兼容性测试工具modern.IE

2013年6月27日

微软旗下的:
http://www.modern.ie/en-us/virtualization-tools#browserstack

DNSSEC安装相关资料

2013年6月27日

使用DNSSEC技术保护DNS安全:《Linux安全技术内幕》第11章DNS服务安全,本章将详细介绍如何通过相关配置和技术来安全、高效管理Linux下的DNS服务。本节为大家介绍使用DNSSEC技术保护DNS安全。
http://book.51cto.com/art/201108/281822.htm

启用DNS加密 或 DNSSEC(Unbound)并改用TCP DNS来阻止DNS污染
http://blog.regou.me/?p=494

给域名开启DNSSEC权威解析
http://yangzhe1990.wordpress.com/2012/08/30/enable-dnssec-for-authority-ns/

安全 DNSSec 防范DNS攻击 ——Unbound的安装和使用
http://www.showmuch.com/a/20110516/093708

Bind9 的線上手冊 Chapter 4. Advanced DNS Features 的這一節,有設定 DNSSEC 的相關說明
http://www.bind9.net/manual/bind/9.3.2/Bv9ARM.ch04#DNSSEC

freebsd要如何架dnssec
http://dnssec.tanet.edu.tw/index.php/dnssec-forum/5-dnssec/17-freebsd-dnssec

dnssec on FreeBSD
http://cpfong.livejournal.com/#item113320

CentOS 6.2加bind-9.8.2 架dnssec所遇到的問題
http://dnssec.tanet.edu.tw/index.php/dnssec-forum/5-dnssec/38-centos-6-2-bind-9-8-2-dnssec

安装Unbound:安全DNSSec防范DNS攻击

2013年6月27日

DNS安全扩展(DNSSEC),是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。引入DNS SEC技术是为了防范在 DNS 中发现的一些无法避免的漏洞,攻击者可以利用这些漏洞劫持这一使用名称在 互联网 上搜寻某个人或某个站点的过程。这种攻击的目的是取得对会话的控制以实施某种操作,例如使用户进入劫持者自己设立的欺骗性网站,以便收集用户的帐户和密 码。

本文描述的如何在你的Linux(Ubuntu)和Mac系统上启用DNSSec支持,防止域名劫持。

通过安装和配置开源 DNS服务软件unbound,就可以在本地启用DNSSec的支持。

安装

Ubuntu:

sudo apt-get install unbound

MacOS

sudo port install unbound
sudo port load unbound

配置DNSSec

下载可信任的Root anchor:

wget http://data.iana.org/root-anchors/root-anchors.xml

root-anchors.xml:

<?xml version="1.0" encoding="UTF-8"?>
<TrustAnchor id="AD42165F-3B1A-4778-8F42-D34A1D41FD93" source="http://data.iana.org/root-anchors/root-anchors.xml">
<Zone>.</Zone>
<KeyDigest id="Kjqmt7v" validFrom="2010-07-15T00:00:00+00:00">
<KeyTag>19036</KeyTag>
<Algorithm>8</Algorithm>
<DigestType>2</DigestType>
<Digest>49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</Digest>
</KeyDigest>
</TrustAnchor>

用root-anchors.xml中的值掉,替换下面一行中的<KeyTag>, <Algorithm>, <DigestType>, 和 <Digest> 内容(因为root-anchors的内容可能有变化,应以root-anchors.xml文件的内容为准):

. IN DS &lt;KeyTag&gt; &lt;Algorithm&gt; &lt;DigestType&gt; &lt;Digest&gt;

替换后的结果,大致象这样:

. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

将该行保存到文件:/var/lib/unbound/root.key。如果是Mac 那么应该是/opt/local/var/lib/unbound/root.key

修改文件的拥有者为 unbound (记住Mac Ports的存放位置在/opt/local/):

chown unbound:unbound /var/lib/unbound/root.key
ls -l /var/lib/unbound/root.key
-rw-r--r-- 1 unbound unbound 759 May 12 12:12 /var/lib/unbound/root.key

创建或修改unbound配置文件,添加如下的配置项:

server:
    auto-trust-anchor-file: "/var/lib/unbound/root.key"

重新启动unbound服务:

Linux

sudo service unbound stop
sudo service unbound start

Mac:

sudo lauchctl stop unbound
sudo lauchctl start unbound

将你的机器的DNS解析指向本地刚架好的DNS服务:

修改:/etc/resolv.conf

nameserver 127.0.0.1

如果你用dhcp,你也许还要看看这个文件:/etc/dhcp/dhclient.conf.

测试

; &lt;&lt;&gt;&gt; DiG 9.6.0-APPLE-P2 &lt;&lt;&gt;&gt; org. SOA +dnssec
;; global options: +cmd
;; Got answer:
;; -&gt;&gt;HEADER&lt;&lt;- opcode: QUERY, status: NOERROR, id: 27936
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 7, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;org.                           IN      SOA

;; ANSWER SECTION:
org.                    888     IN      SOA     a0.org.afilias-nst.info. noc.afilias-nst.info. 2009625234 1800 900 604800 86400
org.                    888     IN      RRSIG   SOA 7 1 900 20110606012602 20110516002602 54497 org. RoVZ6I2R3SLp3zM/wJn5ZXyy1LbopZb4uIunAYvqVTSSLoGCgt5/ElIe 2e89yamyY6NvRJK7i/IJJGiTaGhio1auqP7l+JvApiHfIR1NPcAnQ2GW zga3CLVqg+JLX0EaUWngbzZuQHDr/XitLxiWAEHIWtrHOrXT2ziSYYWk vwY=

;; AUTHORITY SECTION:
org.                    85117   IN      NS      a0.org.afilias-nst.info.
org.                    85117   IN      NS      a2.org.afilias-nst.info.
org.                    85117   IN      NS      b0.org.afilias-nst.org.
org.                    85117   IN      NS      b2.org.afilias-nst.org.
org.                    85117   IN      NS      c0.org.afilias-nst.info.
org.                    85117   IN      NS      d0.org.afilias-nst.org.
org.                    85117   IN      RRSIG   NS 7 1 86400 20110530155751 20110509145751 54497 org. NX+b9BrLM9GtKGWPfrjFGyWHKEoB8ZYSAX8Y+yPlsQcOSnEnJIbg49ha Sgz/CFghOpMsUQLwXyue+hoZGchEwuU8eoEM1VhltAVMoSXN4Lba4taJ 5vGRGVcvTqgiRTCCWx19EdFwkV3Qk5oghM3opCf++xMzGfmdmKmmUrNj MTc=

;; Query time: 12 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon May 16 08:45:47 2011
;; MSG SIZE  rcvd: 536

在首部的标志(flags)中,你应该看到ad,表示dnssec设置成功。