squeeze+bindでDNSSECに対応する
■DNSSEC対応 情報が散見していて、結構分かりにくい。 基本的に以下の参考URLの手順とおりに行えばよい。 異なる点は、IPv6は無効のままにしたこと。 つまり、「listen-on-v6 { any; };」はコメントアウトのまま。 「localdomain.zone」には「AAAA」レコードは存在しない。 参考:Configuring DNSSEC On BIND9 (9.7.3) On Debian Squeeze/Ubuntu 11.10 http://www.howtoforge.com/configuring-dnssec-on-bind9-9.7.3-on-debian-squeeze-ubuntu-11.10 ■DNSSECは以下のDNS環境に追加した。 ※重要というか必須。 forwardersやresolv.conf、iptables等、他所で嵌らないようにw。。。 bindのログ出力とrndcによるキャッシュコントロール http://d.hatena.ne.jp/labunix/20120502 ■DNSSECのツール群の導入 依存関係の分は一緒に導入されるので、特に気にする必要も無い。 $ apt-cache show dnssec-tools | grep Depends Depends: perl, libnet-dns-sec-perl, libnet-dns-perl, libtimedate-perl, bind9utils (>= 9.7) $ apt-cache show libmailtools-perl | grep Depends Depends: perl, libnet-perl, libtimedate-perl $ apt-cache show libcrypt-openssl-random-perl | grep Depends Depends: libc6 (>= 2.7-1), libssl0.9.8 (>= 0.9.8f-5), perl (>= 5.10.0-9), perlapi-5.10.0 $ sudo apt-get install -y dnssec-tools libmailtools-perl libcrypt-openssl-random-perl ■「options」セクションにDNSSECの設定をする ※ここは手順としては「donuts」の後だと思う。 $ sudo grep -A 4 dnssec-enable /etc/bind/named.conf.options dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; auth-nxdomain no; # conform to RFC1035 # listen-on-v6 { any; }; $ sudo named-checkconf ■「managed-keys」の確認し、「include」する。 $ grep -v "#" /etc/bind/bind.keys /* $Id: bind.keys,v 1.5.42.2 2011-01-04 19:14:48 each Exp $ */ managed-keys { dlv.isc.org. initial-key 257 3 5 "BEAAAAPHMu/5onzrEE7z1egmhg/WPO0+juoZrW3euWEn4MxDCE1+lLy2 brhQv5rN32RKtMzX6Mj70jdzeND4XknW58dnJNPCxn8+jAGl2FZLK8t+ 1uq4W+nnA3qO2+DL+k6BD4mewMLbIYFwe0PG73Te9fZ2kJb56dhgMde5 ymX4BI/oQ+cAK50/xvJv00Frf8kw6ucMTwFlgPe+jnGxPPEmHAte/URk Y62ZfkLoBAADLHQ9IrS2tryAe7mbBZVcOwIeU/Rw/mRx/vwwMCTgNboM QKtUdvNXDrYJDSHZws3xiRXF1Rf+al9UmZfSav/4NWLKjHzpT59k/VSt TDN0YUuWrBNh"; . initial-key 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0="; }; $ grep -A 1 "// DNSSEC" /etc/bind/named.conf.options // DNSSEC include "/etc/bind/bind.keys"; $ sudo named-checkconf && sudo /etc/init.d/bind9 restart ■SOAが無いとして、失敗します。つまり、手順の1ページ目だけでは不足しています。 $ sudo tail -f /var/log/bind/bind.log 03-May-2012 03:56:13.811 general: error: missing SOA 03-May-2012 03:56:13.813 general: critical: rwlock.c:244: REQUIRE((((rwl) != ((void *)0)) && (((const isc__magic_t *)(rwl))->magic == ((('R') << 24 | ('W') << 16 | ('L') << 8 | ('k')))))) failed, back trace 03-May-2012 03:56:13.813 general: critical: #0 0x7fd5f095a86f in ?? 03-May-2012 03:56:13.813 general: critical: #1 0x7fd5ef32ab1a in ?? 03-May-2012 03:56:13.813 general: critical: #2 0x7fd5ef34228b in ?? 03-May-2012 03:56:13.813 general: critical: #3 0x7fd5f01fed15 in ?? 03-May-2012 03:56:13.813 general: critical: #4 0x7fd5f01fd8d0 in ?? 03-May-2012 03:56:13.813 general: critical: #5 0x7fd5f01fe8f7 in ?? 03-May-2012 03:56:13.813 general: critical: #6 0x7fd5f01b5ad9 in ?? 03-May-2012 03:56:13.813 general: critical: #7 0x7fd5f029d7fc in ?? 03-May-2012 03:56:13.813 general: critical: #8 0x7fd5f029ea5b in ?? 03-May-2012 03:56:13.813 general: critical: #9 0x7fd5f02a02f0 in ?? 03-May-2012 03:56:13.813 general: critical: #10 0x7fd5f0976a79 in ?? 03-May-2012 03:56:13.813 general: critical: #11 0x7fd5f0976c66 in ?? 03-May-2012 03:56:13.814 general: critical: #12 0x7fd5ef349439 in ?? 03-May-2012 03:56:13.814 general: critical: #13 0x7fd5ee72e8ca in ?? 03-May-2012 03:56:13.814 general: critical: #14 0x7fd5ee14492d in ?? 03-May-2012 03:56:13.814 general: critical: exiting (due to assertion failure) ■一旦rndcの設定まで戻して起動すると、bindのエラーは無くなった。 DNSSECの有効化は「検証2」の前に行う。 ■署名を取り込みます。 「donuts」のデフォルトレベルではエラーなし。6〜9までは同じ警告が出る。 loggingセクションで「severity debug;」としたが、正常に更新されている様子。 loggingのデバッグログには、特にエラーも警告も無いのでしばらく様子見。 $ cd /var/cache/bind $ sudo zonesigner -genkeys -usensec3 -zone localdomain /var/cache/bind/localdomain.zone $ sudo /usr/sbin/donuts --level 5 /var/cache/bind/localdomain.zone.signed localdomain 0 errors found in /var/cache/bind/localdomain.zone.signed $ sudo /usr/sbin/donuts --level 6 /var/cache/bind/localdomain.zone.signed localdomain 2>&1 Warning: Only 1 NS record(s) for localdomain found, but at least 2 are suggested/required 1 errors found in /var/cache/bind/localdomain.zone.signed ■ここでDNSSECの設定を有効にしたところ、bindのエラーは無くなった。 ■検証1 digコマンドで外部から取得した「root-anchors.key」がbindの「managed-keys」と一致する $ cat /var/cache/bind/managed-keys.bind $ORIGIN . $TTL 0 ; 0 seconds @ IN SOA . . ( 66 ; serial 0 ; refresh (0 seconds) 0 ; retry (0 seconds) 0 ; expire (0 seconds) 0 ; minimum (0 seconds) ) KEYDATA 20120816114054 20120502203603 19700101000000 257 3 8 ( AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3 LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0= ) ; key id = 19036 dlv.isc.org KEYDATA 20120815124054 20120502203603 19700101000000 257 3 5 ( BEAAAAPHMu/5onzrEE7z1egmhg/WPO0+juoZrW3euWEn 4MxDCE1+lLy2brhQv5rN32RKtMzX6Mj70jdzeND4XknW 58dnJNPCxn8+jAGl2FZLK8t+1uq4W+nnA3qO2+DL+k6B D4mewMLbIYFwe0PG73Te9fZ2kJb56dhgMde5ymX4BI/o Q+cAK50/xvJv00Frf8kw6ucMTwFlgPe+jnGxPPEmHAte /URkY62ZfkLoBAADLHQ9IrS2tryAe7mbBZVcOwIeU/Rw /mRx/vwwMCTgNboMQKtUdvNXDrYJDSHZws3xiRXF1Rf+ al9UmZfSav/4NWLKjHzpT59k/VStTDN0YUuWrBNh ) ; key id = 19297 $ dig . DNSKEY | grep -w DNSKEY | grep -w 257 > root-anchors.key $ grep -A 8 "257 3 8" root-anchors.key | sed s/".*257 3 8 "//g > key.a $ grep -A 8 "257 3 8" /var/cache/bind/managed-keys.bind | tail -8 | sed s/" \|\t"//g | xargs echo -n > key.b $ diff -w -s key.a key.b ファイルkey.aとkey.bは同一 ■gpg鍵の取り込み $ wget http://data.iana.org/root-anchors/icann.pgp $ gpg --import icann.pgp gpg: 鍵輪「/home/labunix/.gnupg/secring.gpg」ができました gpg: 鍵0F6C91D2: 公開鍵“DNSSEC Manager <dnssec@iana.org>”を読み込みました gpg: 処理数の合計: 1 gpg: 読込み: 1 gpg: 絶対的に信用する鍵が見つかりません ■gpg鍵サーバに問い合わせ「pgp.nic.ad.jp」 $ gpg --search-keys --interactive --keyserver pgp.nic.ad.jp 0x0F6C91D2 gpg: “0x0F6C91D2”をhkpサーバーpgp.nic.ad.jpから検索 (1) DNSSEC Manager <dnssec@iana.org> 1024 bit DSA key 0F6C91D2, 作成: 2007-12-01 番号(s)、N)次、またはQ)中止を入力してください >1 gpg: 鍵0F6C91D2をhkpからサーバーpgp.nic.ad.jpに要求 pub 1024D/0F6C91D2 作成: 2007-12-01 満了: 2011-11-25 指紋 = 2FBB 91BC AAEE 0ABE 1F80 31C7 D1AF BCE0 0F6C 91D2 DNSSEC Manager <dnssec@iana.org> Do you want to import this key? (y/N) y gpg: 鍵0F6C91D2:“DNSSEC Manager <dnssec@iana.org>”変更なし gpg: 処理数の合計: 1 gpg: 変更なし: 1 ■gpg鍵サーバに問い合わせ「pgp.mit.edu」 $ gpg --search-keys --interactive --keyserver pgp.mit.edu 0x0F6C91D2 gpg: “0x0F6C91D2”をhkpサーバーpgp.mit.eduから検索 (1) DNSSEC Manager <dnssec@iana.org> 1024 bit DSA key 0F6C91D2, 作成: 2007-12-01 Keys 1-1 of 1 for "0x0F6C91D2". 番号(s)、N)次、またはQ)中止を入力してください >1 gpg: 鍵0F6C91D2をhkpからサーバーpgp.mit.eduに要求 pub 1024D/0F6C91D2 作成: 2007-12-01 満了: 無期限 指紋 = 2FBB 91BC AAEE 0ABE 1F80 31C7 D1AF BCE0 0F6C 91D2 DNSSEC Manager <dnssec@iana.org> Do you want to import this key? (y/N) y gpg: 鍵0F6C91D2:“DNSSEC Manager <dnssec@iana.org>”変更なし gpg: 処理数の合計: 1 gpg: 変更なし: 1 ■「data.iana.org」からweb経由でファイルを取得し、検証 「正しい署名」が証明になるのだが、ググる時には英語の方がよいかも知れない。 $ wget http://data.iana.org/root-anchors/root-anchors.asc $ wget http://data.iana.org/root-anchors/root-anchors.xml $ gpg --verify root-anchors.asc root-anchors.xml gpg: 2010年07月07日 07時49分10秒 JSTにDSA鍵ID 0F6C91D2で施された署名 gpg: “DNSSEC Manager <dnssec@iana.org>”からの正しい署名 gpg: 警告: この鍵は信用できる署名で証明されていません! gpg: この署名が所有者のものかどうかの検証手段がありません。 主鍵の指紋: 2FBB 91BC AAEE 0ABE 1F80 31C7 D1AF BCE0 0F6C 91D2 $ env LANG=C gpg --verify root-anchors.asc root-anchors.xml gpg: Signature made Wed Jul 7 07:49:10 2010 JST using DSA key ID 0F6C91D2 gpg: Good signature from "DNSSEC Manager <dnssec@iana.org>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 2FBB 91BC AAEE 0ABE 1F80 31C7 D1AF BCE0 0F6C 91D2 ■DNSKEYレコード形式からDSレコード形式に変換して比較 ※ここは目視で充分だと思う。 $ /usr/sbin/dnssec-dsfromkey -a SHA-256 -f root-anchors.key . . IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32 F24E8FB5 $ grep "<Digest>" root-anchors.xml | awk -F\> '{print $2}' |sed s/"<.*"//g 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5 $ /usr/sbin/dnssec-dsfromkey -a SHA-256 -f root-anchors.key . | awk '{print $7$8}' 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
■DNSSEC有効化
※include文は一番上に。
「dnssec-*」は「auth-nxdomain no;」の手前に。$ grep "bind.keys\|dnssec" /etc/bind/named.conf.options
include "/etc/bind/bind.keys";
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;$ sudo named-checkconf && sudo /etc/init.d/bind9 restart
$ sudo tail -16 /var/log/bind/bind.log | cut -c 26-
general: notice: running
general: info: received control channel command 'stop -p'
general: info: shutting down: flushing changes
general: notice: stopping command channel on 127.0.0.1#953
network: info: no longer listening on 127.0.0.1#53
network: info: no longer listening on 192.168.72.188#53
general: notice: exiting
general: info: zone 0.in-addr.arpa/IN: loaded serial 1
general: info: zone 127.in-addr.arpa/IN: loaded serial 1
general: info: zone 72.168.192.in-addr.arpa/IN: loaded serial 2012040302
general: info: zone 255.in-addr.arpa/IN: loaded serial 1
general: info: zone localdomain/IN: loaded serial 2012081503
general: info: zone localhost/IN: loaded serial 2
general: info: managed-keys-zone ./IN: loaded serial 66
general: notice: running
notify: info: zone localdomain/IN: sending notifies (serial 2012081503)■検証2 digコマンドによる検証「ad」フラグの確認
「ad」フラグがDNSSEC問い合わせに成功した証明となる。「www.isc.org」
$ dig +dnssec www.isc.org @127.0.0.1 2>&1| grep -A 1 HEADER
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41531
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 13「www.verisignlabs.com」
$ dig +dnssec www.verisignlabs.com @127.0.0.1 2>&1| grep -A 1 HEADER
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53863
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 12, ADDITIONAL: 1$ dig +dnssec jprs.jp @127.0.0.1 2>&1| grep -A 1 HEADER
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59651
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 16■DNSSEC未対応のドメインと比較すると「ad」フラグがセットされないことがわかる。
「google.co.jp」
$ dig +dnssec google.co.jp @127.0.0.1 2>&1| grep -A 1 HEADER
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32947
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 4, ADDITIONAL: 1「yahoo.co.jp」
$ dig +dnssec yahoo.co.jp @127.0.0.1 2>&1| grep -A 1 HEADER
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63949
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 1■内部でもDNSSECに未対応のDNSに問い合わせると、フラグがセットされない。
※最後のプライマリDNS「192.168.164.177」のみDNSSECに対応している状態$ dig +dnssec www.verisignlabs.com @192.168.164.2 2>&1| grep -A 1 HEADER
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19622
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1$ dig +dnssec www.verisignlabs.com @192.168.164.117 2>&1| grep -A 1 HEADER
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53425
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 12, ADDITIONAL: 1$ dig +dnssec www.verisignlabs.com @192.168.164.177 2>&1| grep -A 1 HEADER
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33945
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 12, ADDITIONAL: 1
■bindの「debug」でログを見ると、IPv6が無効でも、外部のAAAAレコードは作製される様子。 今日はここまで。 $ sudo tail -f /var/log/bind/bind.log 03-May-2012 07:02:44.179 resolver: debug 1: createfetch: ns.isc.afilias-nst.info AAAA ... ■おまけ DNSSECが有効だと、TYPEが「RRSIG」のレコードが引けます。 よって、次のように確認することが出来ます。 $ nslookup -type=RRSIG www.isc.org 127.0.0.1 Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: www.isc.org rdata_46 = A 5 3 600 20120914023115 20120815023115 4442 isc.org. h/ahoH3PPTJGoehDzyNL5kgNW6g1O+yqqoHWj2E2bbK9UgoVrdns6UC1 xYrqko3jXvMTT+OzROD3bP QtZ4svnNdbdPTyZkjTUOgUKMBi7BhCD/Iv WjTTlobeXdjvftWWAgMOaS8mA9ksN8SwyrnAoeSRH7zDb fgAn+yDHOMg DSs= Authoritative answers can be found from: isc.org nameserver = ord.sns-pb.isc.org. isc.org nameserver = ams.sns-pb.isc.org. isc.org nameserver = ns.isc.afilias-nst.info. isc.org nameserver = sfba.sns-pb.isc.org. ams.sns-pb.isc.org internet address = 199.6.1.30 ams.sns-pb.isc.org has AAAA address 2001:500:60::30 ord.sns-pb.isc.org internet address = 199.6.0.30 ord.sns-pb.isc.org has AAAA address 2001:500:71::30 sfba.sns-pb.isc.org internet address = 149.20.64.3 sfba.sns-pb.isc.org has AAAA address 2001:4f8:0:2::19 ■「grep」したり、「-type=RRSIG」で引いたりしたのは長いから。 どのくらい長いかというと、以下をご覧下さいw。 $ dig +dnssec www.isc.org @127.0.0.1 ; <<>> DiG 9.7.3 <<>> +dnssec www.isc.org @127.0.0.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29030 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 13 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.isc.org. IN A ;; ANSWER SECTION: www.isc.org. 38 IN A 149.20.64.42 www.isc.org. 38 IN RRSIG A 5 3 600 20120914023115 2012081 5023115 4442 isc.org. h/ahoH3PPTJGoehDzyNL5kgNW6g1O+yqqoHWj2E2bbK9UgoVrdns6UC1 x Yrqko3jXvMTT+OzROD3bPQtZ4svnNdbdPTyZkjTUOgUKMBi7BhCD/Iv WjTTlobeXdjvftWWAgMOaS8m A9ksN8SwyrnAoeSRH7zDbfgAn+yDHOMg DSs= ;; AUTHORITY SECTION: isc.org. 6634 IN NS ord.sns-pb.isc.org. isc.org. 6634 IN NS ns.isc.afilias-nst.info. isc.org. 6634 IN NS ams.sns-pb.isc.org. isc.org. 6634 IN NS sfba.sns-pb.isc.org. isc.org. 6634 IN RRSIG NS 5 2 7200 20120914023115 20120 815023115 4442 isc.org. oneggpcVN+E1wawiu8O7w+H7bZd24UnY3xixHTlwhpu8hhb7wrdJPSc9 UlbT23p1KqLHSgQ9ORNSC4CTybJCaKLr6vvtmJz/id693lus2vvJC/qD qsCnbv7ATuazJzPU48M69z Ka+t3WRw/yyXfNGEp9C45GX50GwX0wc2XG NoY= ;; ADDITIONAL SECTION: ams.sns-pb.isc.org. 6634 IN A 199.6.1.30 ams.sns-pb.isc.org. 6634 IN AAAA 2001:500:60::30 ord.sns-pb.isc.org. 6634 IN A 199.6.0.30 ord.sns-pb.isc.org. 6634 IN AAAA 2001:500:71::30 sfba.sns-pb.isc.org. 6634 IN A 149.20.64.3 sfba.sns-pb.isc.org. 6634 IN AAAA 2001:4f8:0:2::19 ams.sns-pb.isc.org. 6634 IN RRSIG A 5 4 7200 20120914023115 201208 15023115 4442 isc.org. QBXDUNoUUD6UgKbup7q0kR1hHJai19HDDrBPZqgltU2h1zByJMM0HrIj fCngKNslRsTyp0lm78zMLNjvpjkga9DI16JyGvOYZocwe/OgVi67tYUO Nbts4JvV0N3r1OM7FDxbzWC inP5YEW8MBiQPlCtgy13Gx8DaFUFFExlS L7k= ams.sns-pb.isc.org. 6634 IN RRSIG AAAA 5 4 7200 20120914023115 201 20815023115 4442 isc.org. 1pQ3tgYEAt0EmVzdbxq9k9RMFkO5GB5NprGy5LHzNcbg1ddls1dl6c fX lWeuDEEibKnNYAWrDy7lwoLu0qto60Bcyd//jiwqmJoEFW3JrRF/1Pq5 ttnAGhb6JedTbC992Bhc L0YmgBrjJeGLPhb5hf2n2mwQIQII//J9AOU6 5fI= ord.sns-pb.isc.org. 6634 IN RRSIG A 5 4 7200 20120914023115 201208 15023115 4442 isc.org. aw+dXrFdy2bq+DL8KGIoEifMesV3I11Ev6MqP7UVI4CCoF6fTVvw4Mu/ i8cF04qmjdW+fzd0V2p6I95ThmhXwu22ZNRtDljNBjsgJ1mO9gtn8xpg Xx3XSJWCIM4i6GwLBkuzOMt 5txegJ9RexAZdFL6ep3Z33WOHEKdXyFQF aFQ= ord.sns-pb.isc.org. 6634 IN RRSIG AAAA 5 4 7200 20120914023115 201 20815023115 4442 isc.org. k08QKJxyAAn9mfavCvdUKr9Qa0B+k01Fq1Fdx9oyeXrt37B8Qt/I1a Yf JAa56lP/69uIbvcEHojDwmTqYLIBoHt9FDYMVCureXvoG1QVQz+ExXoY M7vsrSBEFdg+64BkWu2s ui5tDEQ2by7uWOOJKCF1+4nvdVRLACqWDQ6g Jjo= sfba.sns-pb.isc.org. 6634 IN RRSIG A 5 4 7200 20120914023115 201208 15023115 4442 isc.org. MqVlEv66Py0oi7auhqOnrahO6EU25BqJdkJ2EpbC1m9vYOZyGTLCYCUa 1Qmu79nhLPsTg/ncg2kFKRnZeVmIsaX2TSlrIzwctq92Y8XHSaWiLx7s k1xxQegM1TjW3KuZGVpj/mA Mnj3BDoDfcvtE+OjuRlHJW6NBfwL/CSlD okg= sfba.sns-pb.isc.org. 6634 IN RRSIG AAAA 5 4 7200 20120914023115 201 20815023115 4442 isc.org. mm2UvjD0uAv1vjLyCz6Ol/wlCDlzEMTB/LwzGcxSG4rPooccOYCXZY kZ FZlB8yEb0P31jNCWrYvvjl+tP/6K6P6P6KHZnYhOkuLlDmcbVGu/+33e j5odFAmjdrvIkn7F4jby oqPQ6e7n7/5SfRoClm7NUa1+YZLQmfd7l+xf cLA= ;; Query time: 2 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Wed Aug 15 21:53:40 2012 ;; MSG SIZE rcvd: 1623