存档在 2013年6月

什么是EPP域名状态

2013年6月28日

【介绍】

域名状态主要有EPP域名状态和RRP域名状态两种版本。

EPP域名状态:可扩展规定协议域名状态代码;Extensible Provisioning Protocol (EPP) Domain Status Codes。
RRP域名状态:注册局-注册商协议域名状态代码;Registry Registrar Protocol (RRP) Domain Status Codes。

参考:http://amon.org/epp-status
参考:http://amon.org/rrp-status

相比RRP状态,EPP状态更容易理解、更加详细,如:CLIENT DELETE PROHIBITED表示客户端不可以删除域名。

EPP状态中的SERVER和CLIENT分别对应RRP协议中的注册局和注册商。

【解释】

1. Status: OK

默认的正常状态:该状态由注册商设置,域名可以更新(域名信息修改)、续费、删除、转移,指派至少一台域名服务器则可以正常使用。

2. Status: INACTIVE

非激活状态:属于正常状态,有些小问题没有设置好,比如没有指派至少一台域名服务器等。域名可以更新(域名信息修改)、续费、删除、转移.

3. Status: CLIENT TRANSFER PROHIBITED

客户端禁止转移:该状态由注册商设置,域名可以更新(域名信息修改)、续费、删除,指派至少一台域名服务器则可以正常使用。

4. Status: CLIENTDELETEPROHIBITED

客户端禁止删除:该状态由注册商设置,域名可以更新(域名信息修改)、续费、转移,指派至少一台域名服务器则可以正常使用。

5. Status: CLIENTUPDATEPROHIBITED

客户端禁止更新:该状态由注册商设置,域名可以转移、续费、删除,指派至少一台域名服务器则可以正常使用。

6. Status: CLIENT RENEW PROHIBITED

客户端禁止续费:该状态由注册商设置,域名可以更新(域名信息修改)、转移、删除,指派至少一台域名服务器则可以正常使用。

7. Status: PENDING TRANSFER

即将转移:该状态由注册局设置,转移请求已经被接纳,域名不能更新(域名信息修改)、不能续费、不能删除,指派至少一台域名服务器则可以正常使用。

8. Status: PENDING UPDATE

即将更新:该状态由注册局设置,更新(域名信息修改)请求已经被接纳,现在的更新很快,本状态基本不会出现,指派至少一台域名服务器则可以正常使用。

9. Status: PENDING RENEW

即将续费:该状态由注册局设置,续费请求已经被接纳, 现在的续费很快,本状态基本不会出现,指派至少一台域名服务器则可以正常使用。

10. Status: PENDING DELETE

即将删除:该状态由注册局设置,注册商提出的删除请求已被接纳,此状态.cn的一般保持15天,如果没有接到注册商的续费请求,第16天将会被删除;.com和.net的一般保持5天,来自注册商的一切请求将会被拒绝,第6天删除。

11. Status: SERVER HOLD

注册局留置:该状态由注册局设置,域名的一切操作将被拒绝,指派至少一台域名服务器则可以正常使用。

12. Status: CLIENT HOLD

注册商留置:该状态由注册商设置,域名可以续费,但不能正常使用。

13. Status: SERVER DELETE PROHIBITED

注册局禁止删除:该状态由注册局设置,域名可以更新(域名信息修改)、转移、续费,指派至少一台域名服务器则可以正常使用。

14. Status: SERVER UPDATE PROHIBITED

注册局禁止更新:该状态由注册商设置,域名可以转移、续费、删除,指派至少一台域名服务器则可以正常使用。

15. Status: SERVER TRANSFER PROHIBITED

注册局禁止转移:该状态由注册局设置,域名可以更新(域名信息修改)、续费、删除,指派至少一台域名服务器则可以正常使用。

16. Status: SERVER RENEW PROHIBITED

注册局禁止续费:该状态由注册局设置,域名可以更新(域名信息修改)、转移、删除,指派至少一台域名服务器则可以正常使用。

17. Status: SERVER LOCK

注册局锁定:该状态由注册局设置,域名可以更新(域名信息修改)、续费、删除,指派至少一台域名服务器则可以正常使用。

18. Status: CLIENT DELETE PROHIBITED

注册商禁止删除:该状态由注册商设置,域名可以更新(域名信息修改)、续费、转移,指派至少一台域名服务器则可以正常使用。

19. Status: CLIENT UPDATEPROHIBITED

注册商禁止更新:该状态由注册商设置,域名可以转移、续费、删除,指派至少一台域名服务器则可以正常使用。

20. Status: CLIENT TRANSFER PROHIBITED

注册商禁止转移:该状态由注册商设置,域名可以更新(域名信息修改)、续费、删除,指派至少一台域名服务器则可以正常使用。

21. Status: CLIENT LOCK

注册商锁定:该状态由注册商设置,域名的操作至少有一项不能使用:更新(域名信息修改)、续费、删除、转移,指派至少一台域名服务器则可以正常使用。

22. Status: REDEMPTION PERIOD

赎回期:该状态由注册局设置,域名不可以被更改或删除,只可以被恢复;任何其他注册商提出对此域名的更改或其他请求都将被拒绝;该状态最多保持30天,域名不能正常使用。

23. Status: PENDING RESTORE

即将恢复:原注册商对处于赎回期的域名向注册局提出RESTORE请求后,设置该状态,域名不可以更新(域名信息修改)、不能续费、不能删除,该状态可以保持7天。若原注册商没有在特定时间内提交恢复请求文件,域名即退回赎回期状态。

【协议】

Registry EPP Operations
This solution will require no custom extensions and is based on existing core EPP RFC functionality.
This solution is compliant with the following relevant EPP RFCs:
o RFC 5730 Extensible Provisioning Protocol (EPP)
o RFC 5731 Extensible Provisioning Protocol (EPP) Domain Name Mapping
o RFC 5732 Extensible Provisioning Protocol (EPP) Host Mapping
o RFC 5733 Extensible Provisioning Protocol (EPP) Contact Mapping
o RFC 5734 Extensible Provisioning Protocol (EPP) Transport over TCP
o RFC 3735: Extensible Provisioning Protocol (EPP) Guidelines for Extending the EPP
o RFC 3915: Extensible Provisioning Protocol (EPP) Domain Registry Grace Period Mapping for the Extensible Provisioning Protocol (EPP)
o RFC 5910: Domain Name System (DNS) Security Extensions Mapping for the Extensible Provisioning Protocol (EPP)

【参考】

参考:http://china.resellerclub.com/cnknowledge-base/
参考:http://www.verisigninc.com/zh_CN/products-and-services/domain-name-services/index.xhtml
参考:http://www.dns.com.cn/agent/agent_epp_jichu.php
参考:http://www.cnnic.net.cn/jscx/idn/
参考:http://www.dns.com.cn/main/news.php?ID=109
参考:http://www.oschina.net/p/jresolver/similar_projects?lang=0&sort=time&p=9

多浏览器兼容性测试工具modern.IE

2013年6月27日

微软旗下的:
http://www.modern.ie/en-us/virtualization-tools#browserstack

DNSSEC安装相关资料

2013年6月27日

使用DNSSEC技术保护DNS安全:《Linux安全技术内幕》第11章DNS服务安全,本章将详细介绍如何通过相关配置和技术来安全、高效管理Linux下的DNS服务。本节为大家介绍使用DNSSEC技术保护DNS安全。
http://book.51cto.com/art/201108/281822.htm

启用DNS加密 或 DNSSEC(Unbound)并改用TCP DNS来阻止DNS污染
http://blog.regou.me/?p=494

给域名开启DNSSEC权威解析
http://yangzhe1990.wordpress.com/2012/08/30/enable-dnssec-for-authority-ns/

安全 DNSSec 防范DNS攻击 ——Unbound的安装和使用
http://www.showmuch.com/a/20110516/093708

Bind9 的線上手冊 Chapter 4. Advanced DNS Features 的這一節,有設定 DNSSEC 的相關說明
http://www.bind9.net/manual/bind/9.3.2/Bv9ARM.ch04#DNSSEC

freebsd要如何架dnssec
http://dnssec.tanet.edu.tw/index.php/dnssec-forum/5-dnssec/17-freebsd-dnssec

dnssec on FreeBSD
http://cpfong.livejournal.com/#item113320

CentOS 6.2加bind-9.8.2 架dnssec所遇到的問題
http://dnssec.tanet.edu.tw/index.php/dnssec-forum/5-dnssec/38-centos-6-2-bind-9-8-2-dnssec

怎样安装Unbound

2013年6月27日

【介绍】

DNS安全扩展(DNSSEC),是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。

引入DNS SEC技术是为了防范在 DNS 中发现的一些无法避免的漏洞,攻击者可以利用这些漏洞劫持这一使用名称在互联网上搜寻某个人或某个站点的过程。这种攻击的目的是取得对会话的控制以实施某种操作,例如使用户进入劫持者自己设立的欺骗性网站,以便收集用户的帐户和密码。

通过安装和配置开源 DNS服务软件unbound,就可以在本地启用DNSSec的支持。

参考:https://blog.csdn.net/force_eagle/article/details/2875204

【安装】

yum install unbound

【配置】

下载可信任的Root anchor:

wget http://data.iana.org/root-anchors/root-anchors.xml

打开 root-anchors.xml:

<?xml version="1.0" encoding="UTF-8"?>
<TrustAnchor id="AD42165F-3B1A-4778-8F42-D34A1D41FD93" source="http://data.iana.org/root-anchors/root-anchors.xml">
<Zone>.</Zone>
<KeyDigest id="Kjqmt7v" validFrom="2010-07-15T00:00:00+00:00">
<KeyTag>19036</KeyTag>
<Algorithm>8</Algorithm>
<DigestType>2</DigestType>
<Digest>49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</Digest>
</KeyDigest>
</TrustAnchor>

用root-anchors.xml中的值掉,替换下面一行中的<KeyTag>, <Algorithm>, <DigestType>, 和 <Digest> 内容(因为root-anchors的内容可能有变化,应以root-anchors.xml文件的内容为准):

. IN DS &lt;KeyTag&gt; &lt;Algorithm&gt; &lt;DigestType&gt; &lt;Digest&gt;

替换后的结果,大致象这样:

. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

将该行保存到文件:/var/lib/unbound/root.key。如果是Mac 那么应该是/opt/local/var/lib/unbound/root.key

修改文件的拥有者为 unbound (记住Mac Ports的存放位置在/opt/local/):

chown unbound:unbound /var/lib/unbound/root.key
ls -l /var/lib/unbound/root.key
-rw-r--r-- 1 unbound unbound 759 May 12 12:12 /var/lib/unbound/root.key

创建或修改unbound配置文件,添加如下的配置项:

server:
    auto-trust-anchor-file: "/var/lib/unbound/root.key"

重新启动unbound服务:

Linux

sudo service unbound stop
sudo service unbound start

Mac:

sudo lauchctl stop unbound
sudo lauchctl start unbound

将你的机器的DNS解析指向本地刚架好的DNS服务:

修改:/etc/resolv.conf

nameserver 127.0.0.1

如果你用dhcp,你也许还要看看这个文件:/etc/dhcp/dhclient.conf.

测试

; &lt;&lt;&gt;&gt; DiG 9.6.0-APPLE-P2 &lt;&lt;&gt;&gt; org. SOA +dnssec
;; global options: +cmd
;; Got answer:
;; -&gt;&gt;HEADER&lt;&lt;- opcode: QUERY, status: NOERROR, id: 27936
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 7, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;org.                           IN      SOA

;; ANSWER SECTION:
org.                    888     IN      SOA     a0.org.afilias-nst.info. noc.afilias-nst.info. 2009625234 1800 900 604800 86400
org.                    888     IN      RRSIG   SOA 7 1 900 20110606012602 20110516002602 54497 org. RoVZ6I2R3SLp3zM/wJn5ZXyy1LbopZb4uIunAYvqVTSSLoGCgt5/ElIe 2e89yamyY6NvRJK7i/IJJGiTaGhio1auqP7l+JvApiHfIR1NPcAnQ2GW zga3CLVqg+JLX0EaUWngbzZuQHDr/XitLxiWAEHIWtrHOrXT2ziSYYWk vwY=

;; AUTHORITY SECTION:
org.                    85117   IN      NS      a0.org.afilias-nst.info.
org.                    85117   IN      NS      a2.org.afilias-nst.info.
org.                    85117   IN      NS      b0.org.afilias-nst.org.
org.                    85117   IN      NS      b2.org.afilias-nst.org.
org.                    85117   IN      NS      c0.org.afilias-nst.info.
org.                    85117   IN      NS      d0.org.afilias-nst.org.
org.                    85117   IN      RRSIG   NS 7 1 86400 20110530155751 20110509145751 54497 org. NX+b9BrLM9GtKGWPfrjFGyWHKEoB8ZYSAX8Y+yPlsQcOSnEnJIbg49ha Sgz/CFghOpMsUQLwXyue+hoZGchEwuU8eoEM1VhltAVMoSXN4Lba4taJ 5vGRGVcvTqgiRTCCWx19EdFwkV3Qk5oghM3opCf++xMzGfmdmKmmUrNj MTc=

;; Query time: 12 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon May 16 08:45:47 2011
;; MSG SIZE  rcvd: 536

在首部的标志(flags)中,你应该看到ad,表示dnssec设置成功。

开源域名注册局管理系统DNRS

2013年6月27日

The New Zealand Shared Registry System (SRS) is a computer system for managing a domain name registry. The SRS was developed in 2002 to manage the .nz domain name space and was released under the GPL Open Source License on 30 January 2004. The SRS is software (client and server) that is used for managing the .nz domain name space and allows the registration, by authorised registrars, of domain names and modification of information associated with that name on the register.

The open source distribution of SRS is called DNRS

运营参考: