存档在 2013年6月

什么是EPP域名状态

2013年6月28日

【介绍】

域名状态分为RRP域名状态和EPP域名状态。

EPP域名状态

EPP域名状态:可扩展规定协议域名状态代码;Extensible Provisioning Protocol (EPP) Domain Status Codes。

ORG/.BIZ /.INFO(例如:wansai.org/wansai.biz/wansai.info) 以及 .Name 注册局使用EPP域名状态定义。相比RRP状态,EPP状态更容易理解、更加详细,如:CLIENT DELETE PROHIBITED表示客户端不可以删除域名,EPP状态中的SERVER和CLIENT指RRP协议中的注册局和注册商。但现在大部分注册商都采用EPP域名状态,所以主要说明一下EPP域名状态的含义:

1、Status: OK

默认的正常状态:该状态由注册商设置,域名可以更新(域名信息修改)、续费、删除、转移,指派至少一台域名服务器则可以正常使用。

2、Status: INACTIVE

非激活状态:属于正常状态,有些小问题没有设置好,比如没有指派至少一台域名服务器等。域名可以更新(域名信息修改)、续费、删除、转移.

3、Status: CLIENT TRANSFER PROHIBITED

客户端禁止转移:该状态由注册商设置,域名可以更新(域名信息修改)、续费、删除,指派至少一台域名服务器则可以正常使用。

4、Status: CLIENTDELETEPROHIBITED

客户端禁止删除:该状态由注册商设置,域名可以更新(域名信息修改)、续费、转移,指派至少一台域名服务器则可以正常使用。

5、Status: CLIENTUPDATEPROHIBITED

客户端禁止更新:该状态由注册商设置,域名可以转移、续费、删除,指派至少一台域名服务器则可以正常使用。

6、Status: CLIENT RENEW PROHIBITED

客户端禁止续费:该状态由注册商设置,域名可以更新(域名信息修改)、转移、删除,指派至少一台域名服务器则可以正常使用。

7、Status: PENDING TRANSFER

即将转移:该状态由注册局设置,转移请求已经被接纳,域名不能更新(域名信息修改)、不能续费、不能删除,指派至少一台域名服务器则可以正常使用。

8、Status: PENDING UPDATE

即将更新:该状态由注册局设置,更新(域名信息修改)请求已经被接纳,现在的更新很快,本状态基本不会出现,指派至少一台域名服务器则可以正常使用。

9、Status: PENDING RENEW

即将续费:该状态由注册局设置,续费请求已经被接纳, 现在的续费很快,本状态基本不会出现,指派至少一台域名服务器则可以正常使用。

10、Status: PENDING DELETE

即将删除:该状态由注册局设置,注册商提出的删除请求已被接纳,此状态.cn的一般保持15天,如果没有接到注册商的续费请求,第16天将会被删除;.com和.net的一般保持5天,来自注册商的一切请求将会被拒绝,第6天删除。

11、Status: SERVER HOLD

注册局留置:该状态由注册局设置,域名的一切操作将被拒绝,指派至少一台域名服务器则可以正常使用。

12、Status: CLIENT HOLD

注册商留置:该状态由注册商设置,域名可以续费,但不能正常使用。

13、Status: SERVER DELETE PROHIBITED

注册局禁止删除:该状态由注册局设置,域名可以更新(域名信息修改)、转移、续费,指派至少一台域名服务器则可以正常使用。

14、Status: SERVER UPDATE PROHIBITED

注册局禁止更新:该状态由注册商设置,域名可以转移、续费、删除,指派至少一台域名服务器则可以正常使用。

15、Status: SERVER TRANSFER PROHIBITED

注册局禁止转移:该状态由注册局设置,域名可以更新(域名信息修改)、续费、删除,指派至少一台域名服务器则可以正常使用。

16、Status: SERVER RENEW PROHIBITED

注册局禁止续费:该状态由注册局设置,域名可以更新(域名信息修改)、转移、删除,指派至少一台域名服务器则可以正常使用。

17、Status: SERVER LOCK

注册局锁定:该状态由注册局设置,域名可以更新(域名信息修改)、续费、删除,指派至少一台域名服务器则可以正常使用。

18、Status: CLIENT DELETE PROHIBITED

注册商禁止删除:该状态由注册商设置,域名可以更新(域名信息修改)、续费、转移,指派至少一台域名服务器则可以正常使用。

19、Status: CLIENT UPDATEPROHIBITED

注册商禁止更新:该状态由注册商设置,域名可以转移、续费、删除,指派至少一台域名服务器则可以正常使用。

20、Status: CLIENT TRANSFER PROHIBITED

注册商禁止转移:该状态由注册商设置,域名可以更新(域名信息修改)、续费、删除,指派至少一台域名服务器则可以正常使用。

21、Status: CLIENT LOCK

注册商锁定:该状态由注册商设置,域名的操作至少有一项不能使用:更新(域名信息修改)、续费、删除、转移,指派至少一台域名服务器则可以正常使用。

22、Status: REDEMPTION PERIOD

赎回期:该状态由注册局设置,域名不可以被更改或删除,只可以被恢复;任何其他注册商提出对此域名的更改或其他请求都将被拒绝;该状态最多保持30天,域名不能正常使用。

23、Status: PENDING RESTORE

即将恢复:原注册商对处于赎回期的域名向注册局提出RESTORE请求后,设置该状态,域名不可以更新(域名信息修改)、不能续费、不能删除,该状态可以保持7天。若原注册商没有在特定时间内提交恢复请求文件,域名即退回赎回期状态。

当然这里也有一份关于域名状态的英文参考文档:

Guide to Domain Name Status Codes

ACTIVE: The registry sets this status. The domain can be modified by the registrar. The domain can be renewed. The domain will be included in the zone if the domain has been delegated to at least one name server.

REGISTRY-LOCK: The registry sets this status. The domain can not be modified or deleted by the registrar. The registry must remove the REGISTRY-LOCK status for the registrar to modify the domain. The domain can be renewed. The domain will be included in the zone if the domain has been delegated to at least one name server.

REGISTRAR-LOCK: The sponsoring registrar sets this status. The domain can not be modified or deleted. The registrar must remove REGISTRAR-LOCK status to modify the domain. The domain can be renewed. The domain will be included in the zone.

REGISTRY-HOLD: The registry sets this status. The domain can not be modified or deleted by the registrar. The registry must remove the REGISTRY-HOLD status for the registrar to modify the domain. The domain can be renewed. The domain will not be included in the zone.

REGISTRAR-HOLD: The sponsoring registrar sets this status. The domain can not be modified or deleted. The registrar must remove REGISTRAR-HOLD status to modify the domain. The domain can be renewed. The domain will not be included in the zone.

REDEMPTIONPERIOD: The registry sets this status when a registrar requests that the domain name be deleted from the registry and the domain has been registered for more than 5 calendar days (if the delete request is received within 5 days of initial domain registration it will instead be deleted immediately). The domain will not be included in the zone. The domain can not be modified or purged; it can only be restored. Any other registrar requests to modify or otherwise update the domain will be rejected. The domain will be held in this status for a maximum of 30 calendar days.

PENDINGRESTORE: The registry sets this status after a registrar requests restoration of a domain that is in REDEMPTIONPERIOD status. The domain will be included in the zone. Registrar requests to modify or otherwise update the domain will be rejected. The domain will be held in this status while the registry waits for the registrar to provide required restoration documentation. If the registrar fails to provide documentation to the registry within 7 calendar days to confirm the restoration request, the domain will revert to REDEMPTIONPERIOD status. The domain status will be set to ACTIVE only if the registrar provides documentation to the registry within 7 calendar days to confirm the restoration request.

PENDINGDELETE: The registry sets this status after a domain has been set in REDEMPTIONPERIOD status and the domain has not been restored by the registrar. The domain will not be included in the zone. Once in this status all registrar requests to modify or otherwise update the domain will be rejected. The domain will be purged from the registry database after being in this status for 5 calendar days.

RRP域名状态

RRP域名状态:注册局-注册商协议域名状态代码;Registry Registrar Protocol (RRP) Domain Status Codes。

RRP由Verisign开发定义,用于.com/.net域名状态(例如:wansai.com或wansai.net),部分国家域名也采用该方法。RRP域名状态有八种:

  1. ACTIVE: 正常/激活
  2. REGISTRY-LOCK: 注册局锁定(域名转移、更新、续费、删除至少有一项不能操作,域名可以进行解析使用)
  3. REGISTRAR-LOCK: 注册商锁定(域名转移、更新、续费、删除至少有一项不能操作,域名可以进行解析使用)
  4. REGISTRY-HOLD: 注册局留置(有争议域名或者有问题域名,不能进行任何操作)
  5. REGISTRAR-HOLD: 注册商留置(过期域名,可以进行续费操作)
  6. REDEMPTIONPERIOD: 赎回期 (域名过期30后由注册局设置,此状态保持30天,之后进入”即将删除”)
  7. PENDINGRESTORE: 即将恢复 (注册局接到注册商的restorer命令,此此状态保持7天)
  8. PENDINGDELETE: 即将删除

EPP/New TLDS参考资料

http://china.resellerclub.com/cnknowledge-base/

http://www.verisigninc.com/zh_CN/products-and-services/domain-name-services/index.xhtml

http://www.dns.com.cn/agent/agent_epp_jichu.php

http://www.cnnic.net.cn/jscx/idn/

http://www.dns.com.cn/main/news.php?ID=109

http://www.oschina.net/p/jresolver/similar_projects?lang=0&sort=time&p=9

多浏览器兼容性测试工具modern.IE

2013年6月27日

微软旗下的:
http://www.modern.ie/en-us/virtualization-tools#browserstack

DNSSEC安装相关资料

2013年6月27日

使用DNSSEC技术保护DNS安全:《Linux安全技术内幕》第11章DNS服务安全,本章将详细介绍如何通过相关配置和技术来安全、高效管理Linux下的DNS服务。本节为大家介绍使用DNSSEC技术保护DNS安全。
http://book.51cto.com/art/201108/281822.htm

启用DNS加密 或 DNSSEC(Unbound)并改用TCP DNS来阻止DNS污染
http://blog.regou.me/?p=494

给域名开启DNSSEC权威解析
http://yangzhe1990.wordpress.com/2012/08/30/enable-dnssec-for-authority-ns/

安全 DNSSec 防范DNS攻击 ——Unbound的安装和使用
http://www.showmuch.com/a/20110516/093708

Bind9 的線上手冊 Chapter 4. Advanced DNS Features 的這一節,有設定 DNSSEC 的相關說明
http://www.bind9.net/manual/bind/9.3.2/Bv9ARM.ch04#DNSSEC

freebsd要如何架dnssec
http://dnssec.tanet.edu.tw/index.php/dnssec-forum/5-dnssec/17-freebsd-dnssec

dnssec on FreeBSD
http://cpfong.livejournal.com/#item113320

CentOS 6.2加bind-9.8.2 架dnssec所遇到的問題
http://dnssec.tanet.edu.tw/index.php/dnssec-forum/5-dnssec/38-centos-6-2-bind-9-8-2-dnssec

安装Unbound:安全DNSSec防范DNS攻击

2013年6月27日

DNS安全扩展(DNSSEC),是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。引入DNS SEC技术是为了防范在 DNS 中发现的一些无法避免的漏洞,攻击者可以利用这些漏洞劫持这一使用名称在 互联网 上搜寻某个人或某个站点的过程。这种攻击的目的是取得对会话的控制以实施某种操作,例如使用户进入劫持者自己设立的欺骗性网站,以便收集用户的帐户和密 码。

本文描述的如何在你的Linux(Ubuntu)和Mac系统上启用DNSSec支持,防止域名劫持。

通过安装和配置开源 DNS服务软件unbound,就可以在本地启用DNSSec的支持。

安装

Ubuntu:

sudo apt-get install unbound

MacOS

sudo port install unbound
sudo port load unbound

配置DNSSec

下载可信任的Root anchor:

wget http://data.iana.org/root-anchors/root-anchors.xml

root-anchors.xml:

<?xml version="1.0" encoding="UTF-8"?>
<TrustAnchor id="AD42165F-3B1A-4778-8F42-D34A1D41FD93" source="http://data.iana.org/root-anchors/root-anchors.xml">
<Zone>.</Zone>
<KeyDigest id="Kjqmt7v" validFrom="2010-07-15T00:00:00+00:00">
<KeyTag>19036</KeyTag>
<Algorithm>8</Algorithm>
<DigestType>2</DigestType>
<Digest>49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</Digest>
</KeyDigest>
</TrustAnchor>

用root-anchors.xml中的值掉,替换下面一行中的<KeyTag>, <Algorithm>, <DigestType>, 和 <Digest> 内容(因为root-anchors的内容可能有变化,应以root-anchors.xml文件的内容为准):

. IN DS &lt;KeyTag&gt; &lt;Algorithm&gt; &lt;DigestType&gt; &lt;Digest&gt;

替换后的结果,大致象这样:

. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

将该行保存到文件:/var/lib/unbound/root.key。如果是Mac 那么应该是/opt/local/var/lib/unbound/root.key

修改文件的拥有者为 unbound (记住Mac Ports的存放位置在/opt/local/):

chown unbound:unbound /var/lib/unbound/root.key
ls -l /var/lib/unbound/root.key
-rw-r--r-- 1 unbound unbound 759 May 12 12:12 /var/lib/unbound/root.key

创建或修改unbound配置文件,添加如下的配置项:

server:
    auto-trust-anchor-file: "/var/lib/unbound/root.key"

重新启动unbound服务:

Linux

sudo service unbound stop
sudo service unbound start

Mac:

sudo lauchctl stop unbound
sudo lauchctl start unbound

将你的机器的DNS解析指向本地刚架好的DNS服务:

修改:/etc/resolv.conf

nameserver 127.0.0.1

如果你用dhcp,你也许还要看看这个文件:/etc/dhcp/dhclient.conf.

测试

; &lt;&lt;&gt;&gt; DiG 9.6.0-APPLE-P2 &lt;&lt;&gt;&gt; org. SOA +dnssec
;; global options: +cmd
;; Got answer:
;; -&gt;&gt;HEADER&lt;&lt;- opcode: QUERY, status: NOERROR, id: 27936
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 7, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;org.                           IN      SOA

;; ANSWER SECTION:
org.                    888     IN      SOA     a0.org.afilias-nst.info. noc.afilias-nst.info. 2009625234 1800 900 604800 86400
org.                    888     IN      RRSIG   SOA 7 1 900 20110606012602 20110516002602 54497 org. RoVZ6I2R3SLp3zM/wJn5ZXyy1LbopZb4uIunAYvqVTSSLoGCgt5/ElIe 2e89yamyY6NvRJK7i/IJJGiTaGhio1auqP7l+JvApiHfIR1NPcAnQ2GW zga3CLVqg+JLX0EaUWngbzZuQHDr/XitLxiWAEHIWtrHOrXT2ziSYYWk vwY=

;; AUTHORITY SECTION:
org.                    85117   IN      NS      a0.org.afilias-nst.info.
org.                    85117   IN      NS      a2.org.afilias-nst.info.
org.                    85117   IN      NS      b0.org.afilias-nst.org.
org.                    85117   IN      NS      b2.org.afilias-nst.org.
org.                    85117   IN      NS      c0.org.afilias-nst.info.
org.                    85117   IN      NS      d0.org.afilias-nst.org.
org.                    85117   IN      RRSIG   NS 7 1 86400 20110530155751 20110509145751 54497 org. NX+b9BrLM9GtKGWPfrjFGyWHKEoB8ZYSAX8Y+yPlsQcOSnEnJIbg49ha Sgz/CFghOpMsUQLwXyue+hoZGchEwuU8eoEM1VhltAVMoSXN4Lba4taJ 5vGRGVcvTqgiRTCCWx19EdFwkV3Qk5oghM3opCf++xMzGfmdmKmmUrNj MTc=

;; Query time: 12 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon May 16 08:45:47 2011
;; MSG SIZE  rcvd: 536

在首部的标志(flags)中,你应该看到ad,表示dnssec设置成功。

开源域名注册局管理系统DNRS

2013年6月27日

The New Zealand Shared Registry System (SRS) is a computer system for managing a domain name registry. The SRS was developed in 2002 to manage the .nz domain name space and was released under the GPL Open Source License on 30 January 2004. The SRS is software (client and server) that is used for managing the .nz domain name space and allows the registration, by authorised registrars, of domain names and modification of information associated with that name on the register.

The open source distribution of SRS is called DNRS

运营参考: