DNSSEC(DNS 安全扩展)提供了来源鉴定和数据完整性的扩展,有助于防止 DNS 缓存污染等恶意行为。
该扩展协议需要 DNS 解析服务商先行支持才可生效,不正确设置可能影响域名 DNS 正常解析。
广告:腾讯云主机优惠:https://moneyslow.com/hd1u
以腾讯云dnspod为例,国内解析正确,国外解析异常,错误提示:
root@panel:~# dig moneyslow.com @8.8.8.8
; <<>> DiG 9.18.1-1ubuntu1.1-Ubuntu <<>> moneyslow.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 20075
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; EDE: 10 (RRSIGs Missing): (For moneyslow.com/a)
;; QUESTION SECTION:
;moneyslow.com. IN A
;; Query time: 228 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP)
;; WHEN: Tue Oct 15 06:48:17 UTC 2024
;; MSG SIZE rcvd: 67
绕过dnssec的情况下,解析正确:
root@panel:~# dig moneyslow.com @8.8.8.8 +cd
; <<>> DiG 9.18.1-1ubuntu1.1-Ubuntu <<>> moneyslow.com @8.8.8.8 +cd
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36830
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;moneyslow.com. IN A
;; ANSWER SECTION:
moneyslow.com. 600 IN A 192.144.134.17
;; Query time: 68 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP)
;; WHEN: Tue Oct 15 07:00:59 UTC 2024
;; MSG SIZE rcvd: 58
可以看到发生了RRSIGs解析找不到错误,事出紧急,+cd的情况下是没问题,先关闭dnssec来解决问题:
在dnspod里,需要查看两个地方:
https://console.cloud.tencent.com/cns
https://console.cloud.tencent.com/domain/all-domain/all
最终发现确实有一条dnssec的签名被添加,删除后,点击同步dnssec:
可进一步观察效果。
从设计上讲,腾讯为什么把ds配置分开两个地方,实在是拉胯,不容易排查问题,文档必须得耐心的看,不然很容易傻逼。
同理,其他dns运营商的情况下,优先查找ds记录的问题,自己找不到,需要尽快联系厂商技术人员进行确认。