21 lines
1.2 KiB
Markdown
21 lines
1.2 KiB
Markdown
# DNSSEC记录缺失问题修复计划
|
||
|
||
## 问题分析
|
||
从日志中可以看到,所有DNS查询都显示"DNS响应不包含DNSSEC记录",这表明虽然DNSSEC被启用,但服务器没有从上游DNS服务器获取到DNSSEC记录。
|
||
|
||
## 根本原因
|
||
当启用DNSSEC时,DNS服务器需要在发送给上游服务器的请求中设置**DNSSEC OK (DO)标志**,这样上游服务器才会返回DNSSEC记录(如RRSIG、DNSKEY等)。但当前代码直接使用原始请求发送给上游服务器,没有添加DO标志。
|
||
|
||
## 修复方案
|
||
修改`forwardDNSRequestWithCache`函数,在向上游服务器发送请求之前:
|
||
1. 检查是否启用了DNSSEC
|
||
2. 如果启用,为请求添加EDNS0选项并设置DO标志
|
||
3. 确保修改后的请求被正确发送
|
||
|
||
## 具体实现步骤
|
||
1. 在`/root/dns/dns/server.go`文件中,找到`forwardDNSRequestWithCache`函数
|
||
2. 在发送请求前(第625行附近),添加DO标志设置逻辑
|
||
3. 确保请求被正确发送到上游服务器
|
||
|
||
## 预期效果
|
||
修复后,启用DNSSEC时,服务器会向上游发送带有DO标志的请求,上游服务器将返回DNSSEC记录,从而实现完整的DNSSEC验证和记录返回。 |