Início / computer / Perguntas / 1532975
Accepted
shouya
Asked: 2020-03-16 12:40:51 +0800 CST

Como consultar DNS sobre HTTPS/DNS sobre TLS usando a linha de comando?

  • 772

Estou escrevendo um script que precisa consultar o registro DNS com um servidor DNS especificado pelo usuário. O servidor DNS pode estar em qualquer protocolo, incluindo UDP, TCP, DNS sobre HTTPS (DoH) e DNS sobre TLS (DoT).

Eu sei que digé capaz de lidar com DNS para UDP e TCP (com +tcpflag). Existe uma maneira que eu possa usar digou outra ferramenta para consultar o servidor DoH e DoT?

Prefiro ferramentas populares já existentes, curlpara que meu script seja mais portátil, mas outras sugestões também são bem-vindas.

dns command-line

6 respostas

  1. Best Answer

    Não encontrei uma única ferramenta para ambos os propósitos, mas encontrei maneiras de usá-los.

    Existem duas maneiras de consultar o DoH:

    # json
curl -H 'accept: application/dns-json' 'https://cloudflare-dns.com/dns-query?name=example.com&type=A' | jq .
# dns wireformat
curl -H 'accept: application/dns-message' 'https://dns.google/dns-query?dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB'  | hexdump -c

    Para DoT, você pode usar a kdigferramenta fornecida por knot. A linha de comando é semelhante a dig:

    apt-get install knot-dnsutils
# For macOS:
# brew install knot
kdig -d @8.8.8.8 +tls-ca +tls-host=dns.google.com example.com

    onde o 8.8.8.8é o endereço pré-resolvido do host tls ( dns.google.com).

    Atualização: aqui está uma ferramenta ( https://github.com/ameshkov/dnslookup ) que suporta todos os principais protocolos DNS por conta própria e é capaz de produzir saída legível por máquina.

    • 21

  2. curl tem suporte DoH oficial desde a versão 7.62.0 (a questão é quantos de seus endpoints de destino têm curl atualizado para esta versão).

    Use-o utilizando a --doh-urlopção. Exemplo:

    curl --doh-url https://cloudflare-dns.com/dns-query https://www.google.com

    Veja: https://github.com/curl/curl/wiki/DOH-implementation https://daniel.haxx.se/blog/2018/09/06/doh-in-curl/

    • 7

  3. Dog é uma alternativa de escavação escrita em Rust e compatível com DOH/DOT. instalação

    Exemplos:

    dog -H @https://dns.google/dns-query google.com

    dog google.com --tls @dns.google

    Ele também pode produzir como json.

    • 3

  4. Para DoH (DNS sobre HTTPS):

    • O Curl tem um aplicativo independente: github.com/curl/doh para fazer resoluções e pesquisas de nome DoH. Mostra a solicitação/resposta DNS completa no modo detalhado -v.
    • Outro cliente web ( dohjs.org ): github.com/byu-imaal/dohjs/
    • 1

  5. Se dig for compilado para suportá-lo +tls:

    dig @127.0.0.1 google.com +tls

; <<>> DiG 9.17.8 <<>> @127.0.0.1 google.com +tls
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54991
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 065928dae0bd1d28010000005fdd61d904c6723221991bf3 (good)
;; QUESTION SECTION:
;google.com.                    IN      A

;; ANSWER SECTION:
google.com.             300     IN      A       172.217.0.238

;; Query time: 1123 msec
;; SERVER: 127.0.0.1**#853**(127.0.0.1) **(TLS)**
;; WHEN: Sat Dec 19 02:13:45 UTC 2020
;; MSG SIZE  rcvd: 83
    • 0

  6. Existe q( https://github.com/natesales/q ) que suporta DNS-over-QUIC, bem como DNS-over-TLS e DNS-over-HTTPS. Também suporta DNSSEC.

    Alguns exemplos de consultas e respostas.

    # DOH
$ q --dnssec A AAAA example.com @https://dns.example.com
example.com. 23h57m40s A 127.0.0.1

#DOT
$ q --dnssec A AAAA example.com @tls://dns.example.com
example.com. 23h57m40s A 127.0.0.1
example.com. 23h57m40s RRSIG A 8 2 86400 20210416051959 20210325232537 45150 example.com. N40WYg7CBxSc.....
    • 0

relate perguntas