Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 3024 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNSSEC deployment Testing Tooling

Mark_D_01
Hi All
Due to the DNS changes to the packet size up from 512 for EDNS.
Recent increases in DNSSEC deployment are exposing problems with DNS resolvers that cannot receive large packet responses. 
I understand THAT the Astaro products are OK. 
But I know various ISP forwarders that are not.

INFO:-
Please see Update status Root DNSSEC Blog Archive Status Update, April 2010

On May 5, the world's top domain authorities (led by ICANN, the US Government and Verisign) will complete the first phase of the roll-out of DNSSEC (Domain Name System Security Extensions) across the 13 root servers that direct user requests to the relevant websites on the internet.

The DNSSEC upgrade adds a digital signature to the response from every DNS (Domain Name Server) request to give an internet user an extra level of assurance that the domain name is translated to the correct Internet location (such as a website, or email destination).
Warning: Why your Internet might fail on May 5 - Security - Technology - News - iTnews.com.au


Tools:-

https://www.dns-oarc.net/oarc/services/replysizetest 
Updated Reply-Size Tester | RIPE Labs

Correct response:-
The output should look something like this:

    rst.x4001.rs.dns-oarc.net.
    rst.x3985.x4001.rs.dns-oarc.net.
    rst.x4023.x3985.x4001.rs.dns-oarc.net.
    "192.168.1.1 sent EDNS buffer size 4096"
    "192.168.1.1 DNS reply size limit is at least 4023 bytes"


This thread was automatically locked due to age.
  • 0
    I am using my ISP (BT) and I've also tried uiltradns. Both lack EDNS. [:(] It've tried the tool and when testing with ASG as resolver with no luck as it says that I am not supportng EDNS

    Are there any public DNS that support EDNS at the moment?
  • 0
    The following Public(Level 3 DNS) DNS support DNSSEC 
    http://whois.domaintools.com/4.2.2.1

    4.2.2.1
    4.2.2.2
    4.2.2.3
    4.2.2.4
    4.2.2.5


    Test results
    for resolver: 192.168.*.*

    Announced buffer size:
    4096 bytes
    Measured buffer size:
    3839 bytes
    EDNS enabled:
    yes
    DNSSEC enabled:
    yes

    Your resolver announced a buffer size bigger than the largest packet that it can receive.

  • 0
    Hi All

    I am getting the following strange response on my DNS logs

    2010:05:25-15:11:46  named[6255]: unexpected RCODE (SERVFAIL) resolving 'ns2.ctmail.com/A/IN': 4.2.2.1#53
    2010:05:25-15:11:47  named[6255]: unexpected RCODE (SERVFAIL) resolving 'resolver5.ast.ctmail.com/A/IN': 4.2.2.1#53
    2010:05:25-15:13:22  named[6255]: unexpected RCODE (SERVFAIL) resolving 'smtp.plus.mail.yahoo.com/A/IN': 4.2.2.1#53
    2010:05:25-16:26:56  named[6255]: client 192.168.*.*#55641: RFC 1918 response from Internet for *.*.168.192.in-addr.arpa
    2010:05:25-16:49:41  named[6255]: unexpected RCODE (SERVFAIL) resolving 'mailout-eu.gmx.com/A/IN': 4.2.2.1#53
    2010:05:25-16:51:49  named[6255]: unexpected RCODE (SERVFAIL) resolving 'smtp.plus.mail.fy4.b.yahoo.com/A/IN': 4.2.2.1#53
    2010:05:25-16:52:17  named[6255]: unexpected RCODE (SERVFAIL) resolving 'resolver3.ast.ctmail.com/A/IN': 4.2.2.1#53
    2010:05:25-16:52:17  named[6255]: unexpected RCODE (SERVFAIL) resolving 'resolver4.ast.ctmail.com/A/IN': 4.2.2.1#53
    2010:05:25-16:55:12  named[6255]: client 192.168.*.*#52032: RFC 1918 response from Internet for *.*.168.192.in-addr.arpa
    2010:05:25-16:57:29  named[6255]: unexpected RCODE (SERVFAIL) resolving 'www.mangakong.com/A/IN': 4.2.2.1#53 


    any ideaas why I might be getting rfc1918 responce?
  • 0
    Looks like you mistakenly created an rDNS lookup for something in 192.168.x.x - a private address as the public nameserver you reached reminded you. [;)]

    Cheers - Bob
  • 0 in reply to BAlfson
    Looks like you mistakenly created an rDNS lookup for something in 192.168.x.x - a private address as the public nameserver you reached reminded you. [;)]

    Cheers - Bob


    haha.just noticed it. Quick question though,does it make a difference if I map the DNS servers to the external interface instead leaving them as  on the interface field?
  • 0
    Alan Toews commented that binding definitions to specific interfaces might result in things I didn't expect.  When he began to explain, it became clear to me that that understanding required more knowledge than I had, so, poreusou me piste. [;)]

    Cheers - Bob