Introduzione
Questo documento descrive il supporto Cisco Umbrella per gli errori DNS estesi.
Prerequisiti
Requisiti
Nessun requisito specifico previsto per questo documento.
Componenti usati
Le informazioni fornite in questo documento si basano su Cisco Umbrella.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Panoramica
Cisco Umbrella ha annunciato il supporto preliminare per gli errori DNS estesi (EDE) come definito nel presente documento IETF sugli errori DNS estesi.
Il supporto iniziale di Umbrella è incentrato sui codici di errore DNSSEC per le risposte SERVFAIL. Umbrella prevede di aggiungere il supporto per altri codici di errore in futuro, così come le rappresentazioni testuali dei codici di errore.
Codici di errore supportati
| Codice |
Nome |
Supportato |
Errore |
| 0 |
Other (Altro) |
No |
|
| 1 |
Algoritmo DNSKEY non supportato |
Sì |
Algoritmo DNSKEY non supportato. |
| 2 |
Tipo di digest DS non supportato |
Sì |
Tipo di digest DS non supportato |
| 3 |
Risposta non aggiornata |
No |
|
| 4 |
Risposta falsificata |
No |
|
| 5 |
DNSSEC Indeterminato |
No |
|
| 6 |
DNSSEC Bogus |
Sì |
- Se tutti i record rilevanti sono stati trovati e la convalida non è riuscita (hash della firma non corrispondente)
- Mancata corrispondenza proprietario/firmatario RRSIG
- RRSIG non valido
- La prova negativa non è valida NXDOMAIN previsto trovato NODATA e viceversa
- Raggiunto un'area firmata ma non un punto di delega.
|
| 7 |
Firma scaduta |
Sì |
RRSIG corrisponde a DNSKEY (keytag e algoritmo) ma ha una firma scaduta |
| 8 |
Firma non ancora valida |
Sì |
RRSIG corrisponde a DNSKEY (keytag e algoritmo) ma ha un tempo di inizio della firma che è successivo a questo momento. |
| 9 |
DNSKEY mancante |
Sì |
Impossibile trovare un DS corrispondente a DNSKEY. |
| 10 |
RRSIG mancanti |
Sì |
RRSIG che corrisponde a DNSKEY (keytag e algoritmo) non trovato. |
| 11 |
Nessun bit di chiave di zona impostato |
Sì |
Quando per DNSKEY il bit della zona non è impostato. |
| 12 |
NSEC mancante |
Sì |
Prova negativa non trovata o insufficiente. |
| 13 |
Errore nella cache |
No |
|
| 14 |
Non pronto |
No |
|
| 15 |
Bloccato |
No |
|
| 16 |
Censurato |
No |
|
| 17 |
Filtrato |
No |
|
| 18 |
Proibito |
No |
|
| 19 |
Risposta NXDOMAIN non aggiornata |
No |
|
| 20 |
Non autorevole |
No |
|
| 21 |
Non supportata |
No |
|
| 22 |
Nessuna autorità raggiungibile |
No |
|
| 23 |
Errore di rete |
No |
|
| 24 |
Dati non validi |
No |
|
Esempio di risposta
Una query che restituisce un errore DNS esteso può visualizzare il codice di errore nella sezione EDNS utilizzando il codice OPT 15. Ad esempio, in questa query il codice di errore restituito è 6, corrispondente all'errore "DNSSEC Bogus":
; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> +dnssec +nocrypt bogus.d2a10n3.rootcanary.net @m81.sjc.opendns.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63825;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags: do; udp: 16384; OPT=15: 00 06 ("..");; QUESTION SECTION:;bogus.d2a10n3.rootcanary.net. IN A
Feedback