Google DNS SERVFAIL 进行 PTR 查询，ISP 无法提供帮助

Question

我想说的是你的http://dnsviz.net链接非常清楚地表明这是一个 DNSSEC 问题。

但是，如果你想说明使用dig我会选择+cdflag。它设置了“查询中的 CD（检查已禁用）位”，明确告诉解析器跳过 DNSSEC 验证。

在下面的例子中，我将使用dnssec-failed.org域，这意味着 DNSSEC 失败。

$ dig @8.8.8.8 dnssec-failed.org SOA

; <<>> DiG 9.10.3-P4-Ubuntu <<>> @8.8.8.8 dnssec-failed.org SOA
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 8707
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;dnssec-failed.org.     IN  SOA

;; Query time: 492 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Mar 09 10:24:17 CET 2018
;; MSG SIZE  rcvd: 46

$

对阵

$ dig +cdflag @8.8.8.8 dnssec-failed.org SOA

; <<>> DiG 9.10.3-P4-Ubuntu <<>> +cdflag @8.8.8.8 dnssec-failed.org SOA
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30849
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;dnssec-failed.org.     IN  SOA

;; ANSWER SECTION:
dnssec-failed.org.  21599   IN  SOA dns101.comcast.org. dnsadmin.comcast.net. 2010101883 900 180 604800 7200

;; Query time: 189 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Mar 09 10:25:28 CET 2018
;; MSG SIZE  rcvd: 117

$

Answer 1

我想说的是你的http://dnsviz.net链接非常清楚地表明这是一个 DNSSEC 问题。

但是，如果你想说明使用dig我会选择+cdflag。它设置了“查询中的 CD（检查已禁用）位”，明确告诉解析器跳过 DNSSEC 验证。

在下面的例子中，我将使用dnssec-failed.org域，这意味着 DNSSEC 失败。

$ dig @8.8.8.8 dnssec-failed.org SOA

; <<>> DiG 9.10.3-P4-Ubuntu <<>> @8.8.8.8 dnssec-failed.org SOA
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 8707
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;dnssec-failed.org.     IN  SOA

;; Query time: 492 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Mar 09 10:24:17 CET 2018
;; MSG SIZE  rcvd: 46

$

对阵

$ dig +cdflag @8.8.8.8 dnssec-failed.org SOA

; <<>> DiG 9.10.3-P4-Ubuntu <<>> +cdflag @8.8.8.8 dnssec-failed.org SOA
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30849
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;dnssec-failed.org.     IN  SOA

;; ANSWER SECTION:
dnssec-failed.org.  21599   IN  SOA dns101.comcast.org. dnsadmin.comcast.net. 2010101883 900 180 604800 7200

;; Query time: 189 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Mar 09 10:25:28 CET 2018
;; MSG SIZE  rcvd: 117

$

Google DNS SERVFAIL 进行 PTR 查询，ISP 无法提供帮助

答案1

相关内容