简介
本文档介绍Cisco Umbrella对扩展DNS错误的支持。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于Cisco Umbrella。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
概述
Cisco Umbrella宣布初步支持扩展DNS错误(EDE),如此IETF文档中有关扩展DNS错误的定义所述。
Umbrella的初始支持重点是SERVFAIL响应的DNSSEC错误代码。Umbrella计划增加对其他错误代码的支持,以及错误代码的文本表示方式。
支持的错误代码
| 代码 |
名称 |
受支持 |
遇到错误 |
| 0 |
Other(其他) |
无 |
|
| 1 |
不支持的DNSKEY算法 |
Yes |
不支持DNSKEY算法。 |
| 2 |
不支持的DS摘要类型 |
Yes |
不支持DS摘要类型 |
| 3 |
过时的答案 |
无 |
|
| 4 |
伪造的答案 |
无 |
|
| 5 |
DNSSEC不确定 |
无 |
|
| 6 |
DNSSEC伪造 |
Yes |
- 如果找到所有相关记录,但验证失败(签名哈希不匹配)
- RRSIG签名者/所有者不匹配
- RRSIG无效
- 负证明无效NXDOMAIN预期找到的NODATA,反之亦然
- 已到达签名区域,但未到达委派点。
|
| 7 |
签名已过期 |
Yes |
RRSIG匹配DNSKEY(密钥标签和算法),但签名已过期 |
| 8 |
签名尚未生效 |
Yes |
RRSIG与DNSKEY(密钥标签和算法)匹配,但签名开始时间在此之后。 |
| 9 |
缺少DNSKEY |
Yes |
找不到与DNSKEY匹配的DS。 |
| 10 |
缺少RRSIG |
Yes |
找不到与DNSKEY(密钥标签和算法)匹配的RRSIG。 |
| 11 |
未设置区域密钥位 |
Yes |
当DNSKEY没有设置区域位时。 |
| 12 |
缺少NSEC |
Yes |
找不到负面的证明或证明不足。 |
| 13 |
缓存的错误 |
无 |
|
| 14 |
未就绪 |
无 |
|
| 15 |
已阻止 |
无 |
|
| 16 |
已审查 |
无 |
|
| 17 |
已过滤 |
无 |
|
| 18 |
禁止 |
无 |
|
| 19 |
过时的NXDOMAIN应答 |
无 |
|
| 20 |
未授权 |
无 |
|
| 21 |
Not Supported |
无 |
|
| 22 |
无可访问授权 |
无 |
|
| 23 |
网络错误 |
无 |
|
| 24 |
无效的数据 |
无 |
|
响应示例
返回扩展DNS错误的查询可以使用OPT代码15在EDNS部分中显示错误代码。例如,在此查询中,返回的错误代码为6,与“DNSSEC Bogus”错误相对应:
; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> +dnssec +nocrypt bogus.d2a10n3.rootcanary.net @m81.sjc.opendns.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63825;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags: do; udp: 16384; OPT=15: 00 06 ("..");; QUESTION SECTION:;bogus.d2a10n3.rootcanary.net. IN A
反馈