这基本上是包括 DNSSEC 在内的本地网络上的 DNS 欺骗,但我相信这应该是可能的,因为我是该域的合法所有者。
我计划在 1-2 天的活动期间提供服务。该服务将通过本地 wifi 网络提供给访客,但无法连接到互联网。我希望它可以使用域名(让我们使用example.com.
),但我还想实现这一点,如果您从外部(例如意外使用移动数据)连接到该域名,它会显示一个不同的云托管网页。
这是我的想法,它应该是如何实现的,但我对 DNSSEC 还不熟悉,所以我想验证一下我是否没有遗漏任何东西。
我创建了一个密钥签名密钥,用于创建托管在 (
ns.example.com
) 上的公共 DNS 记录。通过我的注册商,我将 NS 记录、DS 记录和带有公共名称服务器 IP 的粘合记录上传到注册中心com.
。我在本地网络上托管自己的 DNS 服务器。
我在本地网络上配置 DHCP 服务器,以提供该本地 DNS 服务器的 IP 地址作为默认 DNS 解析器。
事件发生之前,我使用根的最新“部分”区域文件填充 DNS 服务器配置
com.
(通过查询所需记录并保存输出)最后,我创建并上传一组用于
example.com.
本地网络的 DNS 记录,并使用与公共记录相同的 KSK 进行签名。
问题:
我上面的思维过程是不是犯了什么大错误?这个设置能行得通吗?我可以在 SOA/NS 指定的其他名称服务器上托管类似权威的区域吗?
修改“父区域”(
com. IN NS
根区域、区域example.com. IN NS
内com.
)中的 NS 记录是否不安全/不好?它们未签名,仅在“自身”中签名ns.example.com.
那么胶水记录(用于防止循环依赖的区域内的记录com.
)怎么样?这些似乎也没有签名我需要在第 4 部分中获取哪些记录?显然是 SOA、DS 和
com.
/的相应 RRSIGexample.com.
,但还有其他吗?(附加问题):是否有允许上传自定义私钥/RRSIG 的 DNS 托管服务,或者我是否需要在第 1 部分中设置自己的名称服务器?(似乎不需要托管公共记录- 区域中的
ns.example.com.
NS 记录未签名,因此我可以替换它并添加粘合记录。然后可以更改自 NS 记录,因为我有该区域的密钥)example.com.
com.
example.com.