Introduction
Ce document décrit la prise en charge de Cisco Umbrella pour les erreurs DNS étendues.
Conditions préalables
Exigences
Aucune exigence spécifique n'est associée à ce document.
Composants utilisés
Les informations contenues dans ce document sont basées sur Cisco Umbrella.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Aperçu
Cisco Umbrella a annoncé une prise en charge préliminaire des erreurs DNS étendues (EDE), telles que définies dans ce document IETF sur les erreurs DNS étendues.
L'assistance initiale d'Umbrella est axée sur les codes d'erreur DNSSEC pour les réponses SERVFAIL. Umbrella prévoit d'ajouter la prise en charge d'autres codes d'erreur à l'avenir, ainsi que les représentations textuelles des codes d'erreur.
Codes d'erreur pris en charge
| Code |
Nom |
Pris en charge |
Erreur rencontrée |
| 0 |
Other (autre) |
Non |
|
| 1 |
Algorithme DNSKEY non pris en charge |
Oui |
Algorithme DNSKEY non pris en charge. |
| 2 |
Type de résumé DS non pris en charge |
Oui |
Type de Digest DS non pris en charge |
| 3 |
Réponse périmée |
Non |
|
| 4 |
Réponse falsifiée |
Non |
|
| 5 |
DNSSEC Indéterminé |
Non |
|
| 6 |
DNSSEC Bogus |
Oui |
- Si tous les enregistrements pertinents ont été trouvés et que la validation a échoué (le hachage de signature ne correspond pas)
- Non-concordance signataire/propriétaire RSIG
- RRSIG non valide
- La preuve négative est non valide NXDOMAIN attendu a trouvé NODATA et vice versa
- Une zone signée a été atteinte, mais pas un point de délégation.
|
| 7 |
Signature expirée |
Oui |
RRSIG correspond à DNSKEY (mot-clé et algorithme) mais a une signature expirée |
| 8 |
Signature non encore valide |
Oui |
RRSIG correspond à DNSKEY (mot-clé et algorithme) mais a une date de début de signature qui est maintenant. |
| 9 |
DNSKEY manquant |
Oui |
DS correspondant à DNSKEY introuvable. |
| 10 |
RSIG manquants |
Oui |
RSIG qui correspond à DNSKEY (keytag et algorithme) introuvable. |
| 11 |
Aucun bit de clé de zone défini |
Oui |
Lorsque DNSKEY n'a pas le bit de zone défini. |
| 12 |
NSEC manquant |
Oui |
Preuve négative non trouvée ou insuffisante. |
| 13 |
Erreur en cache |
Non |
|
| 14 |
Non prêt |
Non |
|
| 15 |
Bloqué |
Non |
|
| 16 |
Censuré |
Non |
|
| 17 |
Filtré |
Non |
|
| 18 |
Interdit |
Non |
|
| 19 |
Réponse NXDOMAIN périmée |
Non |
|
| 20 |
Non autorisé |
Non |
|
| 21 |
Non pris en charge |
Non |
|
| 22 |
Aucune autorité joignable |
Non |
|
| 23 |
Erreur réseau |
Non |
|
| 24 |
Données non valides |
Non |
|
Exemple de réponse
Une requête renvoyant une erreur DNS étendue peut afficher le code d'erreur dans la section EDNS à l'aide du code OPT 15. Par exemple, dans cette requête, le code d'erreur renvoyé est 6, ce qui correspond à l'erreur « DNSSEC Bogus » :
; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> +dnssec +nocrypt bogus.d2a10n3.rootcanary.net @m81.sjc.opendns.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63825;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags: do; udp: 16384; OPT=15: 00 06 ("..");; QUESTION SECTION:;bogus.d2a10n3.rootcanary.net. IN A
Commentaires