Detecteer DNS-problemen met DNSKnife en ZoneCheck

Gelukkig zijn er tools zoals DNSKnife en ZoneCheck, die een groot deel van deze analyse automatiseren. DNSKnife is een online tool waarmee je de DNS-setup van een server kunt controleren. De tool controleert of je nameservers bij de parent servers bekend zijn, of de nameservers bereikbaar zijn, of ze autoritatief voor je domein zijn, of je meerdere nameservers hebt, enzovoort. DNSKnife waarschuwt je ook voor een aantal mogelijke beveiligingsgaten of misconfiguraties, zoals een open DNS relay, een ongeldige waarde voor EXPIRE of MINIMUM TTL, of slechts één MX-server. Die waarschuwingen moet je wel met een korreltje zout nemen: zo beschouwt DNSKnife een domein zonder MX-record als ongeldig, terwijl niet iedereen een MX-domein nodig heeft.

Een andere handige tool is ZoneCheck, die je online kunt uitproberen of als een commandline programma in je favoriete Linux-distributie. Dit programma verwijst zelfs naar de juiste RFC's als uitleg waarom een bepaalde test faalt. ZoneCheck heeft ook een batch mode en kan rapporten generen per host of per type waarschuwing. Met het volgende commando lees je bijvoorbeeld de domeinen in van stdin, toont ZoneCheck hoeveel tests er nog moeten gebeuren en genereert een kort rapport: