这基本上是包括 DNSSEC 在内的本地网络上的 DNS 欺骗,但我相信这应该是可能的,因为我是该域的合法所有者。
我计划在 1-2 天的活动期间提供服务。该服务将通过本地 wifi 网络提供给访客,但无法连接到互联网。我希望它可以使用域名(让我们使用example.com.),但我还想实现这一点,如果您从外部(例如意外使用移动数据)连接到该域名,它会显示一个不同的云托管网页。
这是我的想法,它应该是如何实现的,但我对 DNSSEC 还不熟悉,所以我想验证一下我是否没有遗漏任何东西。
我创建了一个密钥签名密钥,用于创建托管在 (
ns.example.com) 上的公共 DNS 记录。通过我的注册商,我将 NS 记录、DS 记录和带有公共名称服务器 IP 的粘合记录上传到注册中心com.。我在本地网络上托管自己的 DNS 服务器。
我在本地网络上配置 DHCP 服务器,以提供该本地 DNS 服务器的 IP 地址作为默认 DNS 解析器。
事件发生之前,我使用根的最新“部分”区域文件填充 DNS 服务器配置
com.(通过查询所需记录并保存输出)最后,我创建并上传一组用于
example.com.本地网络的 DNS 记录,并使用与公共记录相同的 KSK 进行签名。
问题:
我上面的思维过程是不是犯了什么大错误?这个设置能行得通吗?我可以在 SOA/NS 指定的其他名称服务器上托管类似权威的区域吗?
修改“父区域”(
com. IN NS根区域、区域example.com. IN NS内com.)中的 NS 记录是否不安全/不好?它们未签名,仅在“自身”中签名ns.example.com.那么胶水记录(用于防止循环依赖的区域内的记录com.)怎么样?这些似乎也没有签名我需要在第 4 部分中获取哪些记录?显然是 SOA、DS 和
com./的相应 RRSIGexample.com.,但还有其他吗?(附加问题):是否有允许上传自定义私钥/RRSIG 的 DNS 托管服务,或者我是否需要在第 1 部分中设置自己的名称服务器?(似乎不需要托管公共记录- 区域中的
ns.example.com.NS 记录未签名,因此我可以替换它并添加粘合记录。然后可以更改自 NS 记录,因为我有该区域的密钥)example.com.com.example.com.