如何列出包括DANE TLSA在内的所有DNS记录

Question

我想列出所有/任何DNS记录，包括DANE TLSA。

使用

dig mailbox.org ANY

我得到了所有的记录，包括DNSSEC等，但没有任何关于丹。为什么？

使用

dig _443._tcp.mailbox.org. ANY

我拿到了丹恩TLSA的记录。

我读过一个问题，有人想要查询所有的子域如何列出所有DNS记录？，并且我知道这只有在区域转移时才有可能。

但是“_443._tcp.”不是一个真正的子域，对吗？我以为这只是SRV的记录。那么，我如何查询ANYthing，包括DANE？

Answer 1

命令dig mailbox.org ANY请求名称mailbox.org.的所有记录。

命令dig _443._tcp.mailbox.org. ANY请求名称_443._tcp.mailbox.org.的所有记录。

mailbox.org.不是_443._tcp.mailbox.org.的同名。

要求其中一人的所有记录将不会显示另一人的任何记录。如果有帮助，您可以将DNS中的(完全限定的)名称作为数据库中的主键(因为实际上它们就是这样的)。如果您向数据库请求密钥FOO的数据，它将不会为密钥FOOBAR提供任何数据(除非它严重损坏)。这里也发生了同样的事情。你要求一件事，而另一件事却得不到答案。

Answer 2

你可以在RFC 6698第3节中找到答案

TLSA资源记录存储在一个前缀DNS域名中。前缀的编写方式如下：

1. 假定基于TLS的服务存在的端口号的十进制表示被加上一个下划线字符("_")，以成为准备好的域名中最左边的标签。这个数字没有前导零。
2. 假定基于TLS的服务存在的传输的协议名被加上下划线字符("_")，成为准备好的域名中第二个最左边的标签。为该协议定义的传输名称是"tcp“、"udp”和"sctp“。
3. 将基本域名附加到步骤2的结果，以完成准备好的域名。基本域名是TLS服务器的完全限定的DNS域名RFC1035，附加的限制是每个标签必须符合RFC0952的规则。后一种限制意味着，如果查询是针对国际化域名的，则必须使用RFC5890中定义的A标签形式。

基本上，由于您可以在不同的端口上拥有不同的“基于TLS的服务”(例如DTLS)，而且这些数据不包括在TLSA记录集中，因此命名约定是为了找到所需的协议/端口组合的正确信息。