以编程方式检查域是否受DNSSEC保护

Question

如标题所示，我想以编程方式检查域的DNS响应是否受DNSSEC保护。
我该怎么做？

这将是巨大的，如果是这样的Python的解决方案。

UPDATE： 改变的请求到响应，遗憾的混乱

Answer 1

使用DNS解析器（例如dnspython），可以查询该域为它DNSKEY资源记录集，并开启DO（DNSSEC OK）的查询标志。如果查询成功，答案将会设置AD（已验证数据）标志并包含该区域的RRSIG签名（如果已签名）。

更新：使用dnspython

import dns.name 
import dns.query 
import dns.dnssec 
import dns.message 
import dns.resolver 
import dns.rdatatype 

# get nameservers for target domain 
response = dns.resolver.query('example.com.',dns.rdatatype.NS) 

# we'll use the first nameserver in this example 
nsname = response.rrset[0] # name 
response = dns.resolver.query(nsname,dns.rdatatype.A) 
nsaddr = response.rrset[0].to_text() # IPv4 

# get DNSKEY for zone 
request = dns.message.make_query('example.com.', 
           dns.rdatatype.DNSKEY, 
           want_dnssec=True) 

# send the query 
response = dns.query.udp(request,nsaddr) 
if response.rcode() != 0: 
    # HANDLE QUERY FAILED (SERVER ERROR OR NO DNSKEY RECORD) 

# answer should contain two RRSET: DNSKEY and RRSIG(DNSKEY) 
answer = response.answer 
if len(answer) != 2: 
    # SOMETHING WENT WRONG 

# the DNSKEY should be self signed, validate it 
name = dns.name.from_text('example.com.') 
try: 
    dns.dnssec.validate(answer[0],answer[1],{name:answer[0]}) 
except dns.dnssec.ValidationFailure: 
    # BE SUSPICIOUS 
else: 
    # WE'RE GOOD, THERE'S A VALID DNSSEC SELF-SIGNED KEY FOR example.com 

Answer 2

要查看是否有特定的要求是保护一个基本的例子，看看在请求报文中的DO标志。无论使用什么语言和库来连接DNS，都应该有一个访问器（它可能被称为别的东西，比如“dnssec”）。

如果您想知道某个区域是否受保护，则第一个答案是正确的，但不完整。所描述的程序会告诉你区域自己的数据是否被签名。为了检查代表团到该区域受到保护，你需要问父区域的名称服务器的（正确签名）DS记录你感兴趣的区域