Локальный сопоставитель, который Вы настроили, не будет использовать сопоставитель Вашего ISP вообще по умолчанию. Это будет, запуская выяснение у корня непосредственно для ответов для всего, в чем это нуждается. Корень возвратит ответы, в которых говорятся вещи как, "Я не знаю где www.example.com
; необходимо пойти, говорят com
и вот ряд адресов для того, как говорить com
"(и прочь Вы пошли бы, пытаясь говорить com
, который отослал бы Вас к example.com
)". В конце Вы будете следовать за цепочкой, пока Вы не получили свой ответ. Если когда-нибудь необходимо было находить ftp.example.com
, Ваш локальный сопоставитель имел бы "кэш", который позволит ему переходить прямо в example.com
серверы, или если Вы хотели foo.com
это перешло бы прямо в com
серверы и не спросили бы корень.
Для DNSSEC большая часть мира развернула его от вершины вниз, но более низкие домены не имеют. Корень был подписан, com
был подписан, net
был подписан, и т.д. Но facebook.com
, google.com
, и т.д. не имеет. К счастью, DNSSEC был разработан для обеспечения этого и программного обеспечения, которое пытается надежно следовать, записи DNS в конечном счете доберутся до сервера имен (com
например,that says "I don't know where
www.facebook.comis and you should go talk to
facebook.com' и о, между прочим, они еще не защищаются". IE, DNSSEC предлагает Вам что-то позвонившее, доказуемо небезопасное. Это сообщает с уверенностью, что родитель зоны говорит, что дочерний элемент не подписывается (который является упрощением; они, возможно, подписали, но не "объединили в цепочку" все же).
Стоит отметить, что DNSSEC не включен по умолчанию, и необходимо включить его в связывать конфигурационных файлах. Я думаю, что мягкая фетровая шляпа по умолчанию named.conf теперь имеет включенный DNSSEC, но необходимо проверить. В Вашем named.conf файле Вы найдете, надо надеяться, раздел, который имеет доверяемый ключ для корня:
trusted-keys {
. 257 3 8 "AwEAAagAIKlVZr...";
}
И раздел опций, который включает проверку DNSSEC:
options {
dnssec-enable yes;
dnssec-validation yes;
};
С этим на, если Вы делаете a dig +dnssec www.dnssec-tools.org
, например, необходимо видеть AD
флаг возвращается в выводе. AD
отметьте означает, что запись была проверена через DNSSEC. Если Вы ищете www.facebook.com
Вы не будете видеть этот флаг.
# dig +dnssec www.dnssec-tools.org
...
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
^^
^^
tcpdump
метки времени все пакеты. Таким образом, необходимо смочь использование tcpdump. Иначе Вы могли попробовать wireshark, который также контролирует сетевой трафик, но с хорошим и мощным GUI. Если бы Вы не должны писать сценарий этого процесса, я сказал бы, что Wireshark является Вашим другом в этой ситуации.
Можно посмотреть на http://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter-and-inspect-packets/ для большего количества информации о том, как использовать Wireshark.
Если Вы больше интересуетесь тем, как измерить это сами, Вы могли или осмотреть tcpdump
с strace
или, как предложено, считайте источник. strace
будет давать Вам список системных вызовов, которые можно использовать в собственном приложении. Самое легкое решение однако, должен был бы работать tcpdump
, и затем отфильтруйте вывод через awk
или некоторый другой инструмент, способный к отфильтровыванию столбца метки времени.
Кроме того, можно найти больше информации о том, как использовать tcpdump
на http://danielmiessler.com/study/tcpdump/
Вы имеете в виду как traceroute
? -p
разрешение на опцию для выбора протокола.
[root@osgiliath ~]# traceroute myserver.mydomain.com -p 443
traceroute to myserver.mydomain.com (10.11.20.30), 30 hops max, 60 byte packets
1 10.119.9.253 (10.10.10.1) 0.262 ms 0.294 ms 0.360 ms
2 10.111.225.114 (10.11.20.14) 0.326 ms 0.387 ms 0.466 ms
3 myserver.mydomain.com (10.11.20.30) 7.558 ms 7.558 ms 7.547 ms