防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置

菜鸟 4748 229

   DNSSEC是为解决DNS欺骗和缓存Wu染而设计的一种安全机制,DNSSEC的英文名称叫Domain Name System Security Extensions,利用密码技术,使得域名解析服务器可以验证它所收到的应答(包括域名不存在的应答)是否来自于真实的服务器,或者是否在传输过程中被篡改过。它的意思就是说DNSSEC可以防止DNS被劫持,确保用户在DNS解析的过程中请求的域名与对应的IP地址一致性。

   启用DNSSEC需要域名注册商、DNS域名解析商支持DNSSEC技术才行。目前国内的阿里云、腾讯云、百度云,dnspod,dns.com都不支持dnssec,但是国外常见的域名注册商都是支持DNSSEC了。

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第1张图片-笔记运维

打开https://stats.labs.apnic.net/   可以看出全世界不同地方的DNSSEC使用情况,从图表中可以看出全世界支持DNSSEC的DNS服务器还是相当少的,总量不超过15%。而中国就更加糟糕,少于1%。

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第2张图片-笔记运维

https://ns1.com/ 这个DNS解析商在前面DNS主从设置 就说过了;

NS1也被成为NSONE,是一家知名的DNS提供商,NS1使用智慧型DNS技术,能自动切换路由来引导流量,也有Anycast,负载平衡等技术。NS1的免费方案提供每月50W次的解析数量,50条域名记录和1个Filter Chains以及两条监控任务。NS1注册时候需要预授权信用卡,预授权是2美元。NS1提供的免费套餐足够大多数网站使用!NS1还提供有ALIAS、AFSDB、CAA、CERT、DS、HINFO、NAPTR、PTR、RP等一些不常见的记录。NS1的注册账号就省略啦!

NS1的dnssec功能需要发邮件到[email protected]申请开通的;

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第3张图片-笔记运维

Enable Dnssec,保存后,再点击View Detailed Instructions。

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第4张图片-笔记运维

弹出的这些是DSNSEC的信息,然后我们到域名所在的注册商那里填写这些信息,比如博主的yunwei114.com是在namesilo.com:

首先选择Dnssec选项,如下图

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第5张图片-笔记运维然后填写dnssec相关的信息,包括Digest,Key Tag,Digest Type,Algorithm

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第6张图片-笔记运维

那么如果使用的是CloudFlare的话,同样的原理,先找到CloudFlare的DNSSEC选项,然后Enable dnssec;

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第7张图片-笔记运维防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第8张图片-笔记运维

同样的把这些CloudFlare DNSSEC的参数写到注册商那里去;这样就完成了dnssec设置咯

打开https://dnssec-analyzer.verisignlabs.com/,检测DNSSEC是否已启用;

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第9张图片-笔记运维

设置完DNSSEC后,那么再来设置一下CAA吧!

CAA 要启用,也是要 DNS 服务商支持才可以。国内的京东云DNS,阿里云DNS,DNS.COM都支持,但dnspod不支持。其他的没用过不太清楚!另外支持 CAA 记录的国外 DNS 服务这里有比较详细的记录:【https://sslmate.com/caa/support】 

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第10张图片-笔记运维

第一 :添加格式

添加 CAA 记录的说明如下:


主机记录 填写@顶级域名,这样就会自动应用到多级域名。

CAA data 填写 0 issue "证书颁发机构域名"。

如果你用 Let’s Encrypt 颁发的免费证书,CAA data 部分直接填写 如下格式即可。

0 issue "letsencrypt.org"

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第11张图片-笔记运维

还可以添加一条为 0 iodef mailto:[email protected] 的 CAA 记录,表示如果发现违背 CAA 记录的情况给这个邮箱发邮件通知。


CAA:格式为:flag tag value。 其中flag目前取值为0-128;tag取值为issue、issuewild、iodef;value为不包含|、""、\、<>、中文字符的字符串。例如:0 issue www.yunwei114.com。

格式为:flag tag value  。


第二:利用工具

除了Google Cloud DNS, Route 53, DNSimple等常见了DNS解析服务外,如果你用的是BIND、PowerDNS、dnsmasq等,添加域名CAA记录与上面会有所不同,建议使用CAA记录自动在线生成来搞定。


工具直接生成网址:https://sslmate.com/caa/


填写域名后点 Auto-Generate Policy,这个工具会自动查询你的网站使用了什么证书,从而生成对应的 CAA 记录数据。如图:www.yunwei114.com的生成数据。

防DNS劫持:NS1.COM CloudFlare启用DNSSEC及CAA设置-第12张图片-笔记运维

第三:添加CAA

既然,我们得到了CAA的数据,就可以来添加了,我们看看如何利用NS1.COM添加CAA。登录之后点击 zones 进入域名管理,如图:



填好,我们保存即可。


第四:CAA记录是否生效

我们可以使用SSL证书在线检测网站来查看自己的域名CAA记录是否生效。


网址:https://www.ssllabs.com/ssltest/index.html。









标签: ns1.com DNSSEC

发表评论 (已有229条评论)

评论列表

2020-04-20 06:01:22

namesilo并不支持第三方dns服务器地址,来设置DNSSEC,只能用他家的dns地址。

2020-05-03 13:50:54

@徐州德启科技 namesilo支持的,我自己就有其他网站在使用中

2021-02-01 02:02:59

@菜鸟 namesilo不支持好像,必须要用他自己的,我刚才设置了DNSSEC但是检测一直找不到对应的DNSKEY,快无语了。。

2021-09-19 03:04:22

@小鱼钓猫 可以,我刚刚设置成功了

2023-01-23 01:58:58

@徐州德启科技 1

2023-01-23 01:44:00

1

2023-01-23 01:45:33

1

2023-01-23 01:47:25

1

2023-01-23 01:47:30

1

2023-01-23 01:48:46

1

2023-01-23 01:48:52

1

2023-01-23 01:48:52

1

2023-01-23 01:48:53

1

2023-01-23 01:48:53

1

2023-01-23 01:48:54

1

2023-01-23 01:48:55

1

2023-01-23 01:48:55

1

2023-01-23 01:48:56

1

2023-01-23 01:49:01

1

2023-01-23 01:49:08

1

2023-01-23 01:49:25

1

2023-01-23 01:49:31

1

2023-01-23 01:49:38

1

2023-01-23 01:49:56

1

2023-01-23 01:50:02

1

2023-01-23 01:50:08

1

2023-01-23 01:50:09

1

2023-01-23 01:50:09

1

2023-01-23 01:50:09

1

2023-01-23 01:50:15

1

2023-01-23 01:50:22

1

2023-01-23 01:51:44

1

2023-01-23 01:51:49

1

2023-01-23 01:51:54

1

2023-01-23 01:51:59

1

2023-01-23 01:51:59

1

2023-01-23 01:52:00

1

2023-01-23 01:52:00

1

2023-01-23 01:52:01

1

2023-01-23 01:52:01

1

2023-01-23 01:52:06

1

2023-01-23 01:52:09

1

2023-01-23 01:52:13

1

2023-01-23 01:52:17

1

2023-01-23 01:52:22

1

2023-01-23 01:52:26

1

2023-01-23 01:52:30

1

2023-01-23 01:52:35

1

2023-01-23 01:52:40

1

2023-01-23 01:52:43

1

2023-01-23 01:52:43

1

2023-01-23 01:52:44

1

2023-01-23 01:52:44

1

2023-01-23 01:52:47

1

2023-01-23 01:52:52

1

2023-01-23 01:52:52

1

2023-01-23 01:52:53

1

2023-01-23 01:52:53

1

2023-01-23 01:52:54

1

2023-01-23 01:52:54

1

2023-01-23 01:52:55

1

2023-01-23 01:52:55

1

2023-01-23 01:52:59

1

2023-01-23 01:53:03

1

2023-01-23 01:53:07

1

2023-01-23 01:53:10

1

2023-01-23 01:53:14

1

2023-01-23 01:53:17

1

2023-01-23 01:53:20

1

2023-01-23 01:53:23

1

2023-01-23 01:53:26

1

2023-01-23 01:53:29

1

2023-01-23 01:53:33

1

2023-01-23 01:53:37

1

2023-01-23 01:53:41

1

2023-01-23 01:53:45

1

2023-01-23 01:53:48

1

2023-01-23 01:53:51

1

2023-01-23 01:53:51

1

2023-01-23 01:53:51

1

2023-01-23 01:53:52

1

2023-01-23 01:53:54

1

2023-01-23 01:53:57

1

2023-01-23 01:53:58

-1 OR 2+537-537-1=0+0+0+1 --

2023-01-23 01:53:58

-1 OR 3+537-537-1=0+0+0+1 --

2023-01-23 01:53:58

-1 OR 2+407-407-1=0+0+0+1

2023-01-23 01:53:59

-1 OR 3+407-407-1=0+0+0+1

2023-01-23 01:53:59

-1' OR 2+467-467-1=0+0+0+1 --

2023-01-23 01:54:00

-1' OR 3*2˂(0+5+467-467) --

2023-01-23 01:54:00

-1' OR 2+702-702-1=0+0+0+1 or 'rS8fHchj'='

2023-01-23 01:54:01

-1' OR 3+702-702-1=0+0+0+1 or 'rS8fHchj'='

2023-01-23 01:54:01

-1" OR 2+893-893-1=0+0+0+1 --

2023-01-23 01:54:01

-1" OR 3+893-893-1=0+0+0+1 --

2023-01-23 01:54:04

if(now()=sysdate(),sleep(15),0)

2023-01-23 01:54:06

0'XOR(if(now()=sysdate(),sleep(15),0))XOR'Z

2023-01-23 01:54:08

0"XOR(if(now()=sysdate(),sleep(15),0))XOR"Z

2023-01-23 01:54:11

(select(0)from(select(sleep(15)))v)/*'+(select(0)from(select(sleep(15)))v)+'"+(select(0)from(select(sleep(15)))v)+"*/

2023-01-23 01:54:14

-1; waitfor delay '0:0:15' --

2023-01-23 01:54:16

-1); waitfor delay '0:0:15' --

2023-01-23 01:54:19

1 waitfor delay '0:0:15' --

2023-01-23 01:54:21

4JmK4OJI'; waitfor delay '0:0:15' --

2023-01-23 01:54:24

-5 OR 176=(SELECT 176 FROM PG_SLEEP(15))--

2023-01-23 01:54:27

-5) OR 933=(SELECT 933 FROM PG_SLEEP(15))--

2023-01-23 01:54:29

-1)) OR 322=(SELECT 322 FROM PG_SLEEP(15))--

2023-01-23 03:19:55

@gBqsPxAZ 1

2023-01-23 03:20:25

@gBqsPxAZ 1