Cara cek DNSSEC

Melanjutkan pembahasan singkat saya mengenai DNSSEC. Tahu darimana kita kalau fitur ini sudah aktif pada nama domain yang disetel sebelumnya? Aslinya kalau kita cari di Google akan muncul banyak layanan online. Tidak salah dan terus terang buat saya juga lebih mudah memahami hasilnya. Tapi setidaknya kita perlu tahu cara paling dasarnya lewat terminal Linux. 😀

Alat yang kita andalkan adalah dig yang fungsinya untuk mengecek DNS, biasanya sudah ada secara default jadi tinggal pakai saja. Untuk mengetahui apakah DNSSEC memang ada dan bisa diquery ternyata tinggal menambahkan satu parameter saja:

dig +dnssec servernesia.com

Atau bisa juga diarahkan menggunakan DNS server milik Google:

dig +dnssec servernesia.com @8.8.8.8

Opsional kok, bedanya nanti cuma akan ditanyakan kemana DNS recordnya. Defaultnya sih ikut DNS resolver yang sudah disetting dalam Linux.

Kurang lebih balasannya akan seperti ini:

; <<>> DiG 9.9.5-9+deb8u8-Debian <<>> +dnssec servernesia.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21370
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;servernesia.com.			IN	A

;; ANSWER SECTION:
servernesia.com.		299	IN	A	192.168.1.168
servernesia.com.		299	IN	RRSIG	A 13 2 300 20161206010226 20161203230226 35273 servernesia.com. xhpQpm4seFbzA+xK3ZY2/Xhfj1AZlYdKlGpLHPMZ8KPJvRHefi6zv4qE gJu5uqcDouBlCUi4k3qYrRvYTNw3Qw==

;; Query time: 73 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Dec 05 07:02:54 WIB 2016
;; MSG SIZE  rcvd: 165

Pertama lihat pada baris flags, kalau ada kode ad menandakan kalau ada dan catatan DNSnya valid. Kalau gagal akan muncul error SERVFAIL. Dan faktor kedua lihat pada isi bagian ANSWER SECTION, kalau ada RRSIG (Resource Record Digital Signature) berarti memang ada DNSSEC dan maksudnya nilai dari baris ini adalah tanda tangan digitalnya.

Sekian. 😀

Tinggalkan komentar