Inleiding
Dit document beschrijft Cisco Umbrella-ondersteuning voor uitgebreide DNS-fouten.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op Cisco Umbrella.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Overzicht
Cisco Umbrella kondigde voorlopige ondersteuning aan voor Extended DNS Errors (EDE) zoals gedefinieerd in dit IETF-document over Extended DNS Errors.
De initiële ondersteuning van Umbrella is gericht op DNSSEC-foutcodes voor SERVFAIL-reacties. Umbrella is van plan om in de toekomst ondersteuning toe te voegen voor andere foutcodes, evenals de tekstweergaven van de foutcodes.
Ondersteunde foutcodes
| coderen |
Naam |
ondersteund |
Fout aangetroffen |
| 0 |
Other (Overig) |
Nee |
|
| 1 |
Niet-ondersteund DNSKEY-algoritme |
Ja |
DNSKEY-algoritme wordt niet ondersteund. |
| 2 |
Niet-ondersteund DS-digestietype |
Ja |
Type DS-overzicht niet ondersteund |
| 3 |
oudbakken antwoord |
Nee |
|
| 4 |
vervalst antwoord |
Nee |
|
| 5 |
DNSSEC onbepaald |
Nee |
|
| 6 |
DNSSEC Bogus |
Ja |
- Als alle relevante records gevonden en validatie mislukt (handtekening hash niet overeenkomen)
- Mismatch RRSIG-ondertekenaar/eigenaar
- RRSIG niet geldig
- Negatief bewijs is ongeldig NXDOMAIN verwacht gevonden NODATA en vice versa
- Bereikte een ondertekende zone, maar geen delegatiepunt.
|
| 7 |
Handtekening verlopen |
Ja |
RRSIG kwam overeen met DNSKEY (keytag en algoritme) maar heeft een verlopen handtekening |
| 8 |
Handtekening nog niet geldig |
Ja |
RRSIG kwam overeen met DNSKEY (keytag en algoritme), maar heeft een handtekening aanvangstijd die na nu is. |
| 9 |
DNSKEY ontbreekt |
Ja |
DS die overeenkomt met de DNSKEY niet gevonden. |
| 10 |
RRSIG's ontbreken |
Ja |
RRSIG dat overeenkomt met de DNSKEY (keytag en algoritme) niet gevonden. |
| 11 |
Geen zone-sleutelbit ingesteld |
Ja |
Wanneer de zone-bit niet is ingesteld op de DNSKEY. |
| 12 |
NSEC ontbreekt |
Ja |
Negatief bewijs niet gevonden of onvoldoende. |
| 13 |
Fout in cache |
Nee |
|
| 14 |
Niet klaar |
Nee |
|
| 15 |
geblokkeerd |
Nee |
|
| 16 |
gecensureerd |
Nee |
|
| 17 |
gefilterd |
Nee |
|
| 18 |
verboden |
Nee |
|
| 19 |
Stale NXDOMAIN-antwoord |
Nee |
|
| 20 |
Niet gezaghebbend |
Nee |
|
| 21 |
Niet ondersteund |
Nee |
|
| 22 |
Geen bereikbare autoriteit |
Nee |
|
| 23 |
Netwerkfout |
Nee |
|
| 24 |
Ongeldige gegevens |
Nee |
|
Voorbeeldreactie
Een query die een Extended DNS Error retourneert, kan de foutcode in de EDNS-sectie weergeven met OPT-code 15. In deze query is de geretourneerde foutcode bijvoorbeeld 6, wat overeenkomt met de fout "DNSSEC Bogus":
; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> +dnssec +nocrypt bogus.d2a10n3.rootcanary.net @m81.sjc.opendns.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63825;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags: do; udp: 16384; OPT=15: 00 06 ("..");; QUESTION SECTION:;bogus.d2a10n3.rootcanary.net. IN A
Feedback