testdata/val_nodata_failwc.rpl

   1 ; config options
   2 ; The island of trust is at nsecwc.nlnetlabs.nl
   3 server:
   4         trust-anchor: "nsecwc.nlnetlabs.nl.     10024   IN      DS      565 8 2 0C15C04C022700C8713028F6F64CF2343DE627B8F83CDA1C421C65DB 52908A2E"
   5         val-override-date: "20181202115531"
   6         target-fetch-policy: "0 0 0 0 0"
   7         fake-sha1: yes
   8         trust-anchor-signaling: no
   9 stub-zone:
  10         name: "nsecwc.nlnetlabs.nl"
  11         stub-addr: "185.49.140.60"
  12
  13 CONFIG_END
  14
  15 SCENARIO_BEGIN Test validator with nodata response with wildcard expanded NSEC record, original NSEC owner does not provide proof for QNAME. CVE-2017-15105 test.
  16
  17  ; ns.example.com.
  18 RANGE_BEGIN 0 100
  19         ADDRESS 185.49.140.60
  20
  21 ; response to DNSKEY priming query
  22 ENTRY_BEGIN
  23 MATCH opcode qtype qname
  24 ADJUST copy_id
  25 REPLY QR NOERROR
  26 SECTION QUESTION
  27 nsecwc.nlnetlabs.nl. IN DNSKEY
  28 SECTION ANSWER
  29 nsecwc.nlnetlabs.nl.    3600    IN      DNSKEY  257 3 8 AwEAAbTluF4BfJ/FT7Ak5a3VvYG1AqhT8FXxOsVwGTyueyE/hW+fMFMd QlLMf2Lf/gmsnFgn/p7GDmJBLlPTATmLeP3isvAZbK3MDEP2O5UjTVmt LZriTv8xfxYW6emCM54EQjWii64BFWrOeLm9zQqzyaLl53CbIIXqiacV KPteh8GX
  30 nsecwc.nlnetlabs.nl.    3600    IN      RRSIG   DNSKEY 8 3 3600 20200101000000 20171108114635 565 nsecwc.nlnetlabs.nl. q3bG4e8EtvXKDcNWcyYHeQxLF9l9aJKdmeSubyN6Qc3UVHugd6t3YSxD hlD+g43y7FcdnNHdAPh/jpgC4wtOb5J+5XAuESDHwesmIXOCTJjrb+A8 r+xQK+vsY8FhNZ2r81JZ/KQ/+TcCS5tbYeNZQgENduWAxgGiw3fdrMOV xiU=
  31 ENTRY_END
  32
  33 ; response to query of interest
  34 ENTRY_BEGIN
  35 MATCH opcode qtype qname
  36 ADJUST copy_id
  37 REPLY QR NOERROR
  38 SECTION QUESTION
  39 _25._tcp.mail.nsecwc.nlnetlabs.nl. IN   TLSA
  40 SECTION ANSWER
  41 SECTION AUTHORITY
  42 nsecwc.nlnetlabs.nl.    3600    IN      SOA     ns.nlnetlabs.nl. ralph.nlnetlabs.nl. 1 14400 3600 604800 3600
  43 nsecwc.nlnetlabs.nl.    3600    IN      RRSIG   SOA 8 3 3600 20200101000000 20171108114635 565 nsecwc.nlnetlabs.nl. bYibpCDg1LgrnYJgVahgu94LBqLIcNs4iC0SW8LV7pTI1hhuFKbLkO2O ekPdkJAWmu/KTytf8D+cdcK6X/9VS8QCVIF5S0hraHtNezu0f1B5ztg3 7Rqy+uJSucNKoykueAsz2z43GMgO0rGH3bqM7+3ii8p2E2rhzqEtG/D3 qyY=
  44 ; NSEC has a label lenght of 3, indication that the original owner name is:
  45 ; *.nsecwc.nlnetlabs.nl. The NSEC therefore does no prove the NODATA answer.
  46 _25._tcp.mail.nsecwc.nlnetlabs.nl. 3600 IN NSEC delegation.nsecwc.nlnetlabs.nl. TXT RRSIG NSEC
  47 _25._tcp.mail.nsecwc.nlnetlabs.nl. 3600 IN RRSIG NSEC 8 3 3600 20200101000000 20171108114635 565 nsecwc.nlnetlabs.nl. ddy1MRbshFuFJswlouNGHsZUF/tYu8BOCztY2JuHeTMyWL7rhRKp73q/ 1RAXMwywKsynT5ioY0bMtEQszeIEn29IYaPDHieLAobjF6BMu1kO7U2/ oEBrSHM/fx28BcaM5G4nfCIm3BlhQhWvk1NDHLn3Q26x4hF/dnmFOUet aXw=
  48 SECTION ADDITIONAL
  49 ENTRY_END
  50 RANGE_END
  51
  52 STEP 1 QUERY
  53 ENTRY_BEGIN
  54 REPLY RD DO
  55 SECTION QUESTION
  56 _25._tcp.mail.nsecwc.nlnetlabs.nl. IN   TLSA
  57 ENTRY_END
  58
  59 ; recursion happens here.
  60 STEP 10 CHECK_ANSWER
  61 ENTRY_BEGIN
  62 MATCH all
  63 REPLY QR RD RA DO SERVFAIL
  64 SECTION QUESTION
  65 _25._tcp.mail.nsecwc.nlnetlabs.nl. IN   TLSA
  66 SECTION ANSWER
  67 SECTION AUTHORITY
  68 SECTION ADDITIONAL
  69 ENTRY_END
  70
  71 SCENARIO_END