1. DNSSEC/DOflag
query EDNS OPT RR 中の DO on
response EDNS OPT RR 中の DO on
-- ToshinoriMaeno 2017-08-25 03:32:00
リスエスト 1... .... .... .... = DO bit: Accepts DNSSEC security RRs
レスポンス 0... .... .... .... = DO bit: Cannot handle DNSSEC security RRs
DNSSEC検証有効だと判明しているリゾルバー約50台の動作
- +dnssec 付きのqueryでは flags:do; 返答で、+dnssecなしだと、flags:; だった。
DNSSEC検証なしの800台はどうか。
- +dnssecなしだと、flags:; だった。(UDPサイズもいろいろで、おもしろい) +dnssec 付きのqueryでは flags:do; 返答が多い。
-- ToshinoriMaeno 2017-08-25 05:29:00
こちらで見えるDNSSEC検証無効のオープンリゾルバーが返す返答を分類してみました。
- dig +dnssec dnssec-failed.org @****
733 件がdo あり。419件(36%)がdoなし。(あわせて1152件)
2 ; EDNS: version: 0, flags:; udp: 1024 3 ; EDNS: version: 0, flags: do; udp: 3072 19 ; EDNS: version: 0, flags: do; udp: 1280 39 ; EDNS: version: 0, flags:; udp: 1400 65 ; EDNS: version: 0, flags: do; udp: 512 145 ; EDNS: version: 0, flags:; udp: 1280 233 ; EDNS: version: 0, flags:; udp: 4096 280 ; EDNS: version: 0, flags: do; udp: 4000 366 ; EDNS: version: 0, flags: do; udp: 4096