المقدمة
يصف هذا المستند دعم Cisco Umbrella لأخطاء DNS الموسعة.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى Cisco Umbrella.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
نظرة عامة
أعلنت Cisco Umbrella عن الدعم الأولي لأخطاء DNS الموسعة (EDE) كما هو محدد في مستند IETF هذا على أخطاء DNS الموسعة.
يركز الدعم الأولي ل Umbrella على رموز أخطاء DNSSEC لاستجابات SERVFAILED. تخطط Umbrella لإضافة دعم لرموز الأخطاء الأخرى في المستقبل، بالإضافة إلى التمثيلات النصية لرموز الأخطاء.
رموز الأخطاء المدعومة
| الرمز |
الاسم |
مدعوم |
حدث خطأ |
| 0 |
غير ذلك |
لا |
|
| 1 |
خوارزمية DNSKEY غير مدعومة |
نعم |
خوارزمية DNSKEY غير مدعومة. |
| 2 |
نوع ملخص DS غير معتمد |
نعم |
نوع ملخص DS غير مدعوم |
| 3 |
إجابة مبتذلة |
لا |
|
| 4 |
إجابة مزورة |
لا |
|
| 5 |
لم يتم إنهاء DNSSEC |
لا |
|
| 6 |
DNSSEC زائف |
نعم |
- إذا تم العثور على كافة السجلات ذات الصلة وفشل التحقق من الصحة (لم تتطابق تجزئة التوقيع)
- RRSIG موقع/مالك حالة عدم توافق
- RRSIG غير صالح
- البروفة السالبة هي NXDOMAIN المتوقع العثور على NODATA والعكس صحيح
- تم الوصول إلى منطقة موقعة ولكن ليس نقطة تفويض.
|
| 7 |
انتهت صلاحية التوقيع |
نعم |
تطابق RSIG مع DNSKEY (علامة المفاتيح والخوارزمية) ولكن لديه توقيع منتهي الصلاحية |
| 8 |
التوقيع غير صالح بعد |
نعم |
قام RSIG بمطابقة DNSKEY (علامة المفاتيح والخوارزمية) ولكنه يحتوي على وقت إنشاء التوقيع الذي يلي الآن. |
| 9 |
DNSKEY مفقود |
نعم |
لم يتم العثور على DS الذي يطابق DNSKEY. |
| 10 |
RSIGs مفقود |
نعم |
لم يتم العثور على RRSIG الذي يطابق DNSKEY (علامة المفاتيح والخوارزمية). |
| 11 |
لم يتم تعيين بت مفتاح منطقة |
نعم |
عند عدم وجود مجموعة بت المنطقة ل DNSKEY. |
| 12 |
NSEC مفقود |
نعم |
البرهان السلبي غير موجود أو غير كاف. |
| 13 |
خطأ مخزن مؤقتا |
لا |
|
| 14 |
غير جاهز |
لا |
|
| 15 |
محصور |
لا |
|
| 16 |
خاضع للرقابة |
لا |
|
| 17 |
مرشح |
لا |
|
| 18 |
محظران |
لا |
|
| 19 |
إجابة Stale NXDOMAIN |
لا |
|
| 20 |
غير موثوق به |
لا |
|
| 21 |
غير مدعومة |
لا |
|
| 22 |
لا توجد سلطة يمكن الوصول إليها |
لا |
|
| 23 |
خطأ في الشبكة |
لا |
|
| 24 |
بيانات غير صحيحة |
لا |
|
مثال على الاستجابة
يمكن للاستعلام الذي يرجع خطأ DNS موسع إظهار رمز الخطأ في المقطع EDNS باستخدام رمز OPT 15. على سبيل المثال، في هذا الاستعلام، رمز الخطأ الذي تم إرجاعه هو 6، يطابق الخطأ "DNSSEC bogus":
; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> +dnssec +nocrypt bogus.d2a10n3.rootcanary.net @m81.sjc.opendns.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63825;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags: do; udp: 16384; OPT=15: 00 06 ("..");; QUESTION SECTION:;bogus.d2a10n3.rootcanary.net. IN A
التعليقات