Tham gia Đăng nhập
Điểm:0
avatar Server

Đột nhiên đào +nocmd pop3.pauperis.org aaaa +noall +answer không trả lại kết quả gì

lá cờ cn
peris

lệnh đào +nocmd pop3.pauperis.org aaaa +noall +answer trả về những điều sau trong máy tính xách tay của tôi:

pop3.pauperis.org. 3111 TRONG CNAME pauperis.org.
pauperis.org. 3111 TRONG AAAA 2001:41d0:1:8ade::1

nhưng cùng một lệnh trên máy chủ của tôi, đột nhiên, sau khi không có thay đổi cấu hình rõ ràng nào không trả về kết quả gì:

# đào +nocmd pop3.pauperis.org aaaa +noall +answer
#

Đây là phản hồi trên máy chủ của tôi nhưng với +dấu vết Tùy chọn:

đào +nocmd pop3.pauperis.org aaaa +noall +câu trả lời +dấu vết
. 44679 TRONG NS e.root-servers.net.
. 44679 TRONG NS m.root-servers.net.
. 44679 TRONG NS l.root-servers.net.
. 44679 TRONG NS b.root-servers.net.
. 44679 TRONG NS g.root-servers.net.
. 44679 TRONG NS i.root-servers.net.
. 44679 TRONG NS a.root-servers.net.
. 44679 TRONG NS d.root-servers.net.
. 44679 TRONG NS h.root-servers.net.
. 44679 TRONG NS f.root-servers.net.
. 44679 TRONG NS j.root-servers.net.
. 44679 TRONG NS k.root-servers.net.
. 44679 TRONG NS c.root-servers.net.
. 44679 TRONG RRSIG NS 8 0 518400 20220316050000 20220303040000 9799 . WHZ//zKcRc0aFze+haFiC5a0GwaCwCsopDkMLzMZrOTTvejeb96R01h+ 2mlnsd4qivrbop0a7fBz+Vs/m+YVOPku+vCO/fnZ+NW/KgrtXpHoPopE WayXrfwtEC+Iu/G7gD1bePIhXqeEMSYlfLD84g7ezASeXc4q3Yrfw3+s SnKkG/vwlZ3IFcSw90bqyYoV597fRLZYdEoUzDjp9onU/NcwqmWJ6muV Ms2IO7kHTaUfMO7z6mgf5PGC2ylTywz+4WZLFd6t8QvZypEMGFwPSxJ2 W86Sdh2QJSDznW3V5CFW3tW+59ZzKsJHuGlHTwqem+egipZMXoMW9y+F 08ZVlg==
;; Đã nhận 1137 byte từ 127.0.0.1#53(127.0.0.1) trong 0 ms

tổ chức 172800 TẠI NS b2.org.afilias-nst.org.
tổ chức 172800 TẠI NS a2.org.afilias-nst.info.
tổ chức 172800 TẠI NS d0.org.afilias-nst.org.
tổ chức 172800 TẠI NS a0.org.afilias-nst.info.
tổ chức 172800 TẠI NS b0.org.afilias-nst.org.
tổ chức 172800 TRONG NS c0.org.afilias-nst.info.
tổ chức           86400 TRONG DS 26974 8 2 4FEDE294C53F438A158C41D39489CD78A86BEB0D8A0AEAFF14745C0D 16E1DE32
tổ chức 86400 TRONG RRSIG DS 8 1 86400 20220321170000 20220308160000 9799 . m3lulShGydigMRJiRixpAFeO9YBBkntgr2Gk42/sts9JLeGVavWmrAyd 5uFDMPf+DqWjgz65BCR1kipEpJAbETmqiwf17rrk9yDIXYGDfrdv04tg w5+4LjANeRzCqr9CH2FFokRt5cl2AdCSn2kNonndSM72Zfhots5ggn8G nTXyt3Aj3Hg4xagS1ZqPhodM15r95NVWw4ozPywSt76vI/oOgEBF6ckw Hz9AEg5i4MdSoLTwiT9fLE51KfiJQO6Xfp8ZANUFtwrydLb0pqJtXMbC BoJnhXjyjWzlOA5/ze5PR3nCh7tbtbTdxdowiB2Jrc3j5Cirfw7dAske TAjiiQ==
;; Đã nhận 817 byte từ 192.36.148.17#53(i.root-servers.net) trong 3 ms

pauperis.org. 86400 TRONG NS ns111.ovh.net.
pauperis.org. 86400 TRONG NS dns111.ovh.net.
pauperis.org. 86400 TRONG DS 18975 7 2 9CE6DA2D7883298D589BDBD5DFD29BB76FB24329C12B453A055F06F6 4EEC0C0C
pauperis.org. 86400 TRONG RRSIG DS 8 2 86400 20220322152315 20220301142315 30573 tổ chức. mE8EiULvqr8ZBCDb6rQnXHlxVoZtaTzbLjMtRi9w2jyGYYcKbX0m8N7R+b4NmqrsiQa7nz3DBbDDwt8IbXZfEIqVmGLJrx7Gp+uMDECa54mz06kG Xz1LWb6j/B6CA+1+fa+MyDBJt7A6inBLZqynsYnBLZynsYns
;; Đã nhận 305 byte từ 199.19.57.1#53(d0.org.afilias-nst.org) trong 83 ms

pop3.pauperis.org. 3600 TRONG CNAME pauperis.org.
pop3.pauperis.org. 3600 TRONG RRSIG CNAME 8 3 3600 20220403112323 20220304112323 37698 pauperis.org. OhXaHFQ1xfLU2T3zjUIBpKsW6k62NZVlnCf4aQKUhbtDcVTGbWDNbwo7 MkpsDh2zpwG3vIqzqdw9t0Uuq7A1U+TDH0SetnBDVvlR1dNNZRbEiWBd C1dJiNuItE37iDNexAebRBvSnM/9hfQg7xDUwDas/9hf6gQg7xDUwDas/QS=9hf6g7xDUwDas/QS=
pauperis.org. 3600 TRONG AAAA 2001:41d0:1:8ade::1
pauperis.org. 3600 TRONG RRSIG AAAA 8 2 3600 20220403112323 20220304112323 37698 pauperis.org. dZP/Vxls3u1x8lMQ4A4NULX/UMrf7M+YkBNim4pJ/O9qkHCHn3N19Fku JciU5LCsWd4dw856ejt6CLBDy1c5RSADfrP+q3O3x9kstsgrH+Wf0pP8 cU2y/mTJRSQWPp+6jBUITshGNXJvcuV+3XFp0A=COZESUX7HetzelD5X7Hetz
;; Đã nhận 432 byte từ 2001:41d0:1:4a9b::1#53(dns111.ovh.net) trong 3 ms

Ai đó có thể nói những gì có thể đi sai?

Cảm ơn bạn rất nhiều trong nâng cao :)

19
0 + 0
Điểm:1
Patrick Mevzek avatar Server
lá cờ cn
Patrick Mevzek

Nhìn thấy https://dnsviz.net/d/pop3.pauperis.org/YifJYQ/dnssec/ tên này có cấu hình sai DNSSEC rất lớn (trường hợp điển hình của sự không khớp của ĐS bản ghi tại cha hay còn gọi là sổ đăng ký và DNSKEY hồ sơ được tìm thấy trong đứa trẻ). Điều này cần được giải quyết trước khi toàn bộ miền hoạt động chính xác.

Cũng dễ dàng phát hiện bằng cách so sánh một câu trả lời bình thường thông qua trình phân giải xác thực (do đó có xác thực DNSSEC) và sau đó cấm xác thực DNSSEC một cách rõ ràng:

$ đào pop3.pauperis.org @9.9.9.9

; <<>> DiG 9.18.0 <<>> pop3.pauperis.org @9.9.9.9
;; tùy chọn chung: + cmd
;; Gửi:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39260
;; cờ: quảng cáo thứ; CÂU HỎI: 1, TRẢ LỜI: 0, AUTHORITY: 0, BỔ SUNG: 1

;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 4096
; COOKIE: c145784edda54901
;; PHẦN CÂU HỎI:
;pop3.pauperis.org. TRONG MỘT

;; KÍCH THƯỚC CÂU HỎI: 58

;; Có câu trả lời:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 39260
;; cờ: qr rd ra; CÂU HỎI: 1, TRẢ LỜI: 0, AUTHORITY: 0, BỔ SUNG: 1

;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 512
; EDE: 9 (Thiếu DNSKEY)

KHÔNG PHỤC VỤ có thể có rất nhiều thứ nhưng các lỗi nghiêm trọng của DNSSEC luôn KHÔNG PHỤC VỤ mã lỗi, sau đó lưu ý khi chuyển Lỗi DNS mở rộng: Thiếu DNSKEY .

Và sau đó bỏ qua DNSSEC tương tự (nhờ đào +cd lá cờ):

$ đào pop3.pauperis.org @9.9.9.9 +cd

; <<>> DiG 9.18.0 <<>> pop3.pauperis.org @9.9.9.9 +cd
;; tùy chọn chung: + cmd
;; Gửi:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1480
;; cờ: quảng cáo thứ cd; CÂU HỎI: 1, TRẢ LỜI: 0, AUTHORITY: 0, BỔ SUNG: 1

;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 4096
; COOKIE: c028e114f2c210f8
;; PHẦN CÂU HỎI:
;pop3.pauperis.org. TRONG MỘT

;; KÍCH THƯỚC CÂU HỎI: 58

;; Có câu trả lời:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1480
;; cờ: qr rd ra cd; CÂU HỎI: 1, TRẢ LỜI: 2, AUTHORITY: 0, BỔ SUNG: 1

;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 1232
;; PHẦN CÂU HỎI:
;pop3.pauperis.org. TRONG MỘT

;; PHẦN TRẢ LỜI:
pop3.pauperis.org. 1 giờ TRÊN CNAME pauperis.org.
pauperis.org. 1 giờ TRONG MỘT 91.121.85.222

Bây giờ bạn nhận được KHÔNG CÓ LỖI. Thực tế đơn giản là việc xóa xác thực DNSSEC giúp mọi thứ hoạt động là một bằng chứng tốt cho thấy lỗi có liên quan đến DNSSEC.

0 + 0
lá cờ cn
peris
Cảm ơn sự giúp đỡ của bạn. Trong trường hợp này, DNSSEC được quản lý bởi OVH vì tôi chỉ cần bật hộp kiểm DNSSEC để nó hoạt động. Tôi đã làm điều đó cách đây vài năm nhưng có vẻ như nó đã bị lỗi trong vài tháng.
0
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
" vì tôi vừa phải bật hộp kiểm DNSSEC để nó hoạt động." Thật không may, DNSSEC phức tạp hơn chỉ là một hộp kiểm. Nhà cung cấp DNS của bạn có thể giấu bạn rất nhiều khó khăn, điều này thật tuyệt, nhưng DNSSEC thực sự thường không "cháy và quên". Nó thêm một số bảo mật nhưng cũng thêm một số phức tạp. Ở đây, điều kỳ lạ là cơ quan đăng ký có bản ghi DS cho miền của bạn (có nghĩa là đã bật DNSSEC) nhưng sau đó có vẻ như nó chưa được bật tại nhà cung cấp DNS của bạn. Nếu miền của bạn quan trọng (chẳng hạn như bạn mất tiền khi miền đó bị hỏng), tôi khuyên bạn nên đảm bảo giám sát miền đó, thông qua một số phương tiện khác.
0
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
FWIW và hậu thế chế độ xem mới cho miền của bạn trong DNSViz: https://dnsviz.net/d/pop3.pauperis.org/Yif0JA/dnssec/ (hiển thị cả DNSSEC và mọi thứ đều ổn) Tôi thực sự khuyên mọi người nên sử dụng DNSViz để khắc phục sự cố vấn đề, nó rất hữu ích.
0
Hồi đáp
lá cờ cn
peris
Xin chào, cảm ơn rất nhiều vì đã trả lời. Nó đã giúp ích rất nhiều vì tôi không biết vấn đề đến từ đâu.Tôi biết logic đằng sau DNSSEC nhưng vì OVH cung cấp chức năng này cho tất cả các miền được quản lý nên tôi hoàn toàn quên mất nó. Tôi đã kiểm tra mọi thứ nhưng không nghĩ rằng có thể có lỗi thay cho họ. Sau khi tắt DNSSEC trên OVH Manager và đợi vài giờ, nó sẽ hoạt động trở lại. :)
0
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
Có, nhưng sau đó, bạn không tránh khỏi sự cố sẽ quay lại sau đó và Murphy sẽ giúp đỡ vào thời điểm tồi tệ nhất, nếu bạn không chắc tại sao bạn lại có một bản ghi DS tại sổ đăng ký mà không có DNSKEY tương ứng trong khu vực của mình. Có thể nhà cung cấp DNS của bạn đã xoay các khóa của họ và yêu cầu bạn cập nhật DS (đặc biệt nếu họ không phải là nhà đăng ký tên miền tài trợ) và nếu bạn không làm như vậy, họ có thể đã xoay theo cách nào đó đẩy bạn vào tình huống mà DS hiện tại không khớp với bất kỳ DNSKEY nào trong vùng. Sẽ tốt hơn nếu bạn có thể bật lại DNSSEC, nhưng bạn không thể nếu không hiểu chữ hoa chữ thường
0
Hồi đáp
lá cờ cn
peris
Vâng, tôi hiểu nó một cách hoàn hảo. Rõ ràng là tôi đã kích hoạt lại DNSSEC và nó hoạt động rất tốt. Tôi sở hữu khoảng 9 tên miền được quản lý thông qua OVH và tên miền này là tên miền duy nhất bắt đầu bị lỗi. Dù sao, cảm ơn bạn rất nhiều vì mẹo. Nó làm cho ngày của tôi :)
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.