c# : winform : pdf viewer : Add remove pages from pdf software SDK cloud windows .net wpf class Ron%20Aitchison%20-%20Pro%20DNS%20and%20BIND%2010%20-%20201153-part1378

CHAPTER 13 ■ ZONE FILE REFERENCE 
531
2h20M      ; nx = 2 hours + 20 minutes 
IN  MX    10  mail.example.com. 
.... 
fred          IN  A     192.168.254.2 
.... 
mail          IN  A     192/168.254.3 
.... 
NSAPs may be reverse mapped using the domain NSAP.INT and normal PTR RRs. The reverse map is 
constructed in a similar manner to that defined for IPv6 (see Chapter 5 for full explanation) using a 
nibble format in which each character of the address is reversed, separated with a . (dot), and placed 
under the NSAP.INT domain. The example that follows shows a reverse-map fragment for the NSAP 
defined in the previous fragment: 
; reverse zone file fragment for example.com 
$TTL 2d ; zone TTL default = 2 days or 172800 seconds 
$ORIGIN 3.3.1.e.1.0.0.0.0.0.0.0.0.0.a.5.0.0.0.8.5.0.0.0.7.4.NSAP.INT. 
example.com. IN       SOA   ns1.example.com. hostmaster.example.com. ( 
2010121500 ; serial number 
3h         ; refresh =  3 hours 
15M        ; refresh retry = 15 minutes 
3W12h      ; expiry = 3 weeks + 12 hours 
2h20M      ; nx = 2 hours + 20 minutes 
.... 
0.0.1.6.1.0.0.0.f.f.f.f.f.f  IN    PTR  fred.example.com. 
In the example forward-mapping zone file, the host fred.example.com was shown as supporting a 
zone files. 
Next Secure (NSEC) Record 
The NSEC RR is part of DNSSEC (see Chapter 11) and is designed to provide two forms of what is called 
proof of nonexistence (PNE) or denial of existence. The first form allows a query to verify that a host name 
does not exist. Each host name has a corresponding NSEC RR that points to the next valid host name in 
the zone. The NSEC RRs provide a chain of valid host names—by implication anything not in this chain 
does not exist. In the second form, the NSEC RR contains a list of RR types that have the same name as 
the NSEC RR—again by implication, any RR type not in the list does not exist. NSEC RRs are generated 
automatically by the dnssec-signzone utility (described in Chapter 9). The NSEC RR is defined in RFC 
4034. 
NSEC RR Syntax 
name  ttl  class   rr     next-name rr-list 
joe        IN      NSEC     joes    A TXT RRSIG NSEC 
The next-name field defines the next host name in the zone file. NSEC RRs are added during the dnssec-
signzone process to each RR with a particular name to form a continuous chain through the zone file. If 
the RR to which the NSEC is added is the last in the file, the next-name points back to the SOA RR (the 
zone apex), thus creating a loop. Once the zone file is signed (see Chapter 11), it is possible to verify that 
Add remove pages from pdf - insert pages into PDF file in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Guide C# Users to Insert (Empty) PDF Page or Pages from a Supported File Format
add pages to pdf online; add page pdf
Add remove pages from pdf - VB.NET PDF Page Insert Library: insert pages into PDF file in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Easy to Use VB.NET APIs to Add a New Blank Page to PDF Document
add page number to pdf preview; adding page numbers to pdf files
CHAPTER 13 ■ ZONE FILE REFERENCE 
532 
any name does, or does not, exist in the zone file. The rr-list field defines all the RR types that exist
with the same name as the NSEC RR. Since the NSEC RR is used only in DNSSEC signed zones (see
Chapter 11), the rr-list will always contain as a minimum the NSEC RR and its accompanying RRSIG
RR. The rr-list makes it possible to verify that there is, say, an A RR for a host name but not, say, a KEY
RR. The example that follows shows how the NSEC RR is used, including the loopback to the beginning
of the zone file: if a user-defined RR exists at a particular host name (see the “User-Defined RRs” section
later in the chapter), then it will be included in the list of RR types using the normal syntax, such as
TYPE6235. 
; zone fragment for example.com 
$TTL 2d ; zone default = 2 days or 172800 seconds
$ORIGIN example.com. 
... 
mail       IN      A      192,168.2.3 
IN      AAAA   2001:db8::3 
IN      TXT "one upon a time" 
IN      KX   10 bill.example.com. 
IN      RRSIG ….. 
IN      NSEC www.example.com.  A TXT KX AAAA RRSIG NSEC
www        IN      AAAA   2001:db8::4 
IN      A      192.168.2.4 
IN      RRSIG ….. 
IN      NSEC   example.com.  A AAAA RRSIG NSEC ; loops back to SOA 
The NSEC RR is generated as part of a zone signing process, for example, using the utility
dnssecsignzone (see Chapter 9). Since the NSEC RR is only used with negative (name error -
NXDOMAIN) results, its ttl is always taken from the nx field of the SOA RR. By following the NSEC
chain for a particular domain, the entire domain may be trivially enumerated. Without the NSEC RR,
the domain can still be enumerated by exhaustive search, which can take some time and is more likely
to be caught by intrusion detection systems. It is worth emphasizing, however, that data can’t be
hidden in a publicly visible name server—after all, the point of it being in the DNS is that it can and will
be used. If DNS records need to be protected, then techniques such as stealth servers must be used (see
Chapter 4). Nevertheless, to mitigate the trivial enumeration possibilities of the NSEC RR (especially in
delegation-centric domains such as TLDs) while continuing to provide PNE features, an alternative RR
called the NSEC3 RR was standardized; it’s described below. 
Next Secure 3 (NSEC3) RR 
The NSEC3 RR is a DNSSEC RR (see Chapter 11), which provides an alternative method of generating
proof of nonexistence (PNE) responses by returning a hashed name value instead of the normal name of
the next RR in the zone (as is the case for NSEC RRs), thus reducing the probability of zone enumeration.
The NSEC3 RR is created by a zone signing utility, such dnssec-signzone (see Chapter 9), using the -3
argument or when an NSEC3PARAM RR is present at the zone apex. If an NSEC3PARAM RR is not
present in a signed zone, then NSEC RRs (described previously) are generated for PNE. The NSEC3 RR is
described in RFC 5155.  
NSEC3 RR Syntax 
name  ttl  class   rr     hash-alg flag iterations salt hashed-next-name rr-list
K3PE…IG88.example.com.  10800  IN      NSEC3    ( 
1 ; hash-alg 
1 ; flag Opt-Out set 
VB.NET PDF Password Library: add, remove, edit PDF file password
manipulations. Open password protected PDF. Add password to PDF. Change PDF original password. Remove password from PDF. Set PDF security level. VB
adding page numbers to pdf in reader; add pdf pages to word
VB.NET PDF Page Delete Library: remove PDF pages in vb.net, ASP.
can simply delete a single page from a PDF document using VB.NET or remove any page Add necessary references: How to VB.NET: Delete Consecutive Pages from PDF.
add page numbers to pdf online; add page numbers to pdf reader
CHAPTER 13 ■ ZONE FILE REFERENCE 
533
20 ; iterations 
abcdef12 ; salt 
4JSK….67P8;  hash-next-name 
A TXT RRSIG;   rr-list) 
The left-hand name of the NSEC3 RR is computed by taking the normal, fully expanded, left-hand 
label of the RRs at this name (which appear in the rr-list field), adding the salt field from the zone’s 
NSEC3PARAM RR, hashing the result using the hash-alg from the zone’s NSEC3PARAM RR, repeating 
the hash operation as defined in NSEC3PARAM RR iterations field, and appending the name of the 
zone. Since the NSEC3 RR is only used with negative (name error - NXDOMAIN) results, its ttl value is 
always taken from the nx field of the zone's SOA RR. hash-alg may currently only take the value 1 ( SHA1) 
and is copied from the hash-alg field of the NSEC3PARAM RR for the zone. flag may be either 0 = no 
Opt-Out or 1 = Opt-Out (defined by the –A argument to dnssec-signzone; see Chapter 9). iterations is a 
copy of the iterations field from the zone’s NSEC3PARAM. salt is a copy of the salt field from the 
zone’s NSEC3PARAM RR. hashed-next-name is a base32 encoded (RFC 4648) name created by adding the 
salt field to the next fully expanded left-hand name, hashing the result using the algorithm defined by 
hash-alg, and repeating the hash operation the number of times defined by iterations. rr-list is the 
list of RR types (see NSEC rr-list for more information) that appear at the normal left-hand name for 
RRs that are covered by this NSEC3. When the zone-signing operation is complete, the resulting zone file 
is sorted into canonical (alpha-numeric) name order, which means that the normal left-hand name RRs 
and their corresponding NSEC3 RR will not appear adjacently in the zone file. This is illustrated with 
operational examples in the “NSEC3/Opt-Out” section of Chapter 11. 
Next Secure 3 Parameter (NECS3PARAM) RR 
signing utility such as dnssec-signzone; the various fields are constructed by arguments to the utility. It 
may be added or edited manually using, say, nsupdate (see Chapter 9) when online signing is being used. 
The NSEC3PARAM RR can only appear at the zone apex. The NSEC3PARAM RR is only used 
operationally by authoritative name servers (never by validating resolvers) when supplying proof of 
nonexistence (PNE) responses when using NSEC3. The NSEC3PARAM RR always has a ttl of 0 to 
prohibit resolver caching. The NSEC3PARAM RR is defined in RFC 5155. 
NSEC3PARAM RR Syntax 
name  ttl  class   rr     hash-alg flag iterations salt  
example.com.   IN   NSEC3PARAM     1 0 50 abcdef12 
hash-alg defines the hash algorithm used to generate hashed name fields (used in the name and 
hashed-next-name field of the NSEC3 RR) from the normal left-hand names in the zone file. This field 
may take the following values: 
0 = Reserved 
1 = SHA1 
2 – 255 = Unassigned 
flag defines the Opt-Out status and may only be set to 0 when used with NSEC3PARAM (Opt-Out 
status is only relevant in the NSEC3 RR). iteration defines the number of hash iterations used to 
obscure names in the zone. This value is a trade-off and determines both how effectively the names are 
disguised (the higher the better) and the processor power used to generate the name and hashed-next-
name
keysize used by the ZSK DNSKEY RRs for the zone as follows: 
C# PDF Password Library: add, remove, edit PDF file password in C#
String outputFilePath = Program.RootPath + "\\" Output.pdf"; // Remove the password. doc.Save(outputFilePath); C# Sample Code: Add Password to Plain PDF
add page number pdf; add and remove pages from pdf file online
C# PDF Page Delete Library: remove PDF pages in C#.net, ASP.NET
Ability to remove a range of pages from PDF file. Add necessary references: Demo Code: How to Delete Consecutive Pages from PDF in C#.NET.
add a page to a pdf online; add pdf pages to word document
CHAPTER 13  ZONE FILE REFERENCE 
534 
Keysize in ZSK DNSKEY = 1024 Maximum Iterations = 150 
Keysize in ZSK DNSKEY = 2048 Maximum Iterations = 500 
Keysize in ZSK DNSKEY = 4096 Maximum Iterations = 2,500 
Zone-signing (dnssec-signzone) software should reject values higher than these (or reduce to the 
maximum value) and DNSSEC validators (resolvers) should treat zones with higher values as insecure. 
The above list defines the recommended maximum value; in practice, significantly lower values can be 
sensibly used with perhaps 3-10 being a reasonable range (dnssec-signzone defaults to 10). salt is 
optional and is appended to each left-hand zone name before hashing is performed to make dictionary 
attacks more difficult. If required, it’s defined by 2-512 hex characters (case-insensitive, two per octet) 
without white space. RFC 5155 recommends a minimum of 8 octets (64 bits or 16 hex characters) of salt 
is used. If salt is not required, a single – (dash) is used. An operational NSEC3PARAM RR is illustrated in 
the “NSEC3/Opt-Out” section of Chapter 11. 
Pointer (PTR) Record 
IPv6 addresses, as well as others such as NSAP addresses. Pointer records are the opposite of A RRs (or 
RFC 1035. 
PTR RR Syntax 
name ttl  class   rr     host-name 
15         IN     PTR    www.example.com. 
The left-hand name field in a PTR RR typically looks like a number but is always a name; that is, if it’s not 
terminated with a dot, it’s an unqualified name, and $ORIGIN substitution takes place. The right-hand 
host-name field must be an FQDN; otherwise very bizarre results will occur. This is illustrated in the 
examples that follow. The $ORIGIN directive in a reverse-map zone file is essential if you wish to remain 
sane. The following fragment defines a reverse-map zone file for the IPv4 address range 192.168.23.0 to 
192.168.23.255: 
; Reverse map for 192.168.23.0 
$TTL 2d 
$ORIGIN 23.168.192.IN-ADDR.ARPA. 
@             IN      SOA   ns1.example.com. hostmaster.example.com. ( 
2010121500 ; serial number 
3h         ; refresh 
15m        ; refresh retry 
3w         ; expiry 
3h         ; nx 
IN      NS      ns1.example.com. 
IN      NS      ns2.example.com. 
.... 
2             IN      PTR     joe.example.com. ; right-hand FQDN names 
; 2 is an unqualified name and could have been written as 
; 2.23.168.192.IN-ADDR.ARPA. IN PTR  joe.example.com. 
.... 
15            IN      PTR     www.example.com. 
.... 
C# PDF Digital Signature Library: add, remove, update PDF digital
Image: Insert Image to PDF. Image: Remove Image from Redact Text Content. Redact Images. Redact Pages. Annotation & Highlight Text. Add Text. Add Text Box. Drawing
add pages to pdf in preview; adding page numbers in pdf file
C# PDF metadata Library: add, remove, update PDF metadata in C#.
Add metadata to PDF document in C# .NET framework program. Remove and delete metadata from PDF file. Also a PDF metadata extraction control.
add pages to pdf file; add remove pages from pdf
CHAPTER 13 ■ ZONE FILE REFERENCE 
535
17            IN      PTR     bill.example.com. 
.... 
254            IN      PTR     fred.mydomain.com. 
In this fragment, the IP address 192.168.23.2 will return the host name joe.example.com to a PTR 
query. As noted earlier, the right-hand name must be an FQDN (it must end with a dot) because of the 
$ORIGIN. If the dot were erroneously omitted, then joe.example.com would become 
joe.example.com.23.168.192.IN-ADDR.ARPA.—not the desired result. While it’s good practice, it’s not 
essential to define all IP addresses in the reverse-map zone file. The addresses 0 and 255 in the preceding 
example file (it’s based on a Class C private address range) are designated the multicast (0) and 
broadcast (255) addresses for the class and are not defined in the reverse map. If either of these IP 
addresses was queried, they would result in a Name Error (NXDOMAIN) result. 
IPv6 and IPv4 addresses can’t be mixed in the same file as they can for forward-map zone files. IPv6 
addresses are mapped under the domain IP6.ARPA, whereas IPv4 addresses are mapped under the IN-
ADDR.ARPA domain. IPv6 reverse maps use a nibble domain name format defined in Chapter 5. The 
following fragment illustrates the use of the PTR RR to reverse map the IPv6 addresses 2001:db8:0:1::1, 
2001:db8:0:1::2, 2001:db8:0:2::1, and 2001:db8:0:2::1: 
; reverse IPV6 zone file for example.com 
$TTL 2d    ; default TTL for zone 
$ORIGIN 0.0.0.0.8.b.d.0.1.0.0.2.IP6.ARPA. 
@         IN      SOA   ns1.example.com. hostmaster.example.com. ( 
2010121500 ; sn = serial number 
12h         ; refresh = refresh 
15m        ; retry = refresh retry 
3w         ; expiry = expiry 
2h         ; nx = nxdomain ttl 
; name servers Resource Recordsfor the domain 
IN      NS      ns1.example.com. 
; the second name server is 
; external to this zone (domain). 
IN      NS      ns2.example.net. 
; PTR RR maps a IPv6 address to a host name 
; hosts in subnet ID 1 
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0         IN      PTR     mail.example.com. 
; hosts in subnet ID 2 
Chapter 5 defines alternative methods by which the IPv6 reverse maps may be organized to reduce 
the sheer size of the host addresses required. 
X.400 to RFC 822 E-mail (PX) Record 
The X.400 to RFC 822 E-mail RR allows mapping of ITU X.400-format e-mail addresses (a largely extinct 
e-mail system) to RFC 822-format (IETF) e-mail addresses using a MIXER-conformant gateway. The PX 
RR is defined in RFC 3163. The X.400 mail address format is defined by X.400 and X.402 (www.itu.int). 
X.400 uses an addressing scheme that ends with a country code and has no equivalent of a generic 
noncountry code entity such as .com or.org; the address mappings defined within the RFC are thus 
limited to country code–based domains (ccTLDs) or require an explicit mapping of the gTLD to a 
country code. 
C# PDF bookmark Library: add, remove, update PDF bookmarks in C#.
Help to add or insert bookmark and outline into PDF file in .NET framework. Ability to remove and delete bookmark and outline from PDF document.
add page to pdf acrobat; add blank page to pdf
C# PDF remove image library: remove, delete images from PDF in C#.
Image: Insert Image to PDF. Image: Remove Image from Redact Text Content. Redact Images. Redact Pages. Annotation & Highlight Text. Add Text. Add Text Box. Drawing
add and delete pages in pdf; adding page numbers pdf file
CHAPTER 13  ZONE FILE REFERENCE 
536 
PX RR Syntax 
name          ttl class rr  pref 822-domain x.400-name 
*.example.com.    IN    PX  10   example.com. PRMD-example.ADMD-p400.C-nl. 
The pref field is the same as used by the MX RR in that it takes the value 0 to 65535 and indicates the 
relative preference of an X.400 name. Lower values are the most preferred; that is, 10 is more preferred 
than 20. The 822-domain field is the domain name to which this PX RR applies. The x.400-name field 
defines the X.400 address to which mail will be sent by the MIXER gateway. 
The following fragment sends all of example.com’s incoming mail to an X.400 mail system in 
Holland: 
; zone file fragment for example.com 
$TTL 2d ; zone TTL default = 2 days or 172800 seconds 
$ORIGIN example.com. 
example.com.     IN  SOA   ns1.example.com. hostmaster.example.com. ( 
2010121500 ; serial number 
3h         ; refresh =  3 hours 
15M        ; refresh retry = 15 minutes 
3W12h      ; expiry = 3 weeks + 12 hours 
2h20M      ; nx = 2 hours + 20 minutes 
IN  NS       ns1.example.com. 
IN  NS       ns2.example.com. 
*.example.com.   IN  PX  10   example.com.  PRMD-example.ADMD-p400.C-nl. 
ns1              IN  A        192.168.254.2 
ns2              IN  A        192.168.254.3 
www              IN  A        192.168.254.4 
In this example, the DNS wildcard is used to map every name that doesn’t have another record in 
the zone file to the X.400 gateway function. In the preceding zone file, every name except 
ns1.example.com, ns2.example.com, and www.example.com will be sent to the MIXER gateway. Because of 
the wildcard, the zone does not require an MX RR, but the sending mail system does need to be aware of, 
and explicitly request, the PX RR—most mail systems only check for an MX RR, which may significantly 
reduce the effectiveness of the PX RR. An alternative strategy would be for the domain to publish a 
normal MX RR and for the receiving MTA to send to the MIXER gateway via a local mapping or 
configuration option. A PX RR can be constructed to use a single mailbox mapping, rather than the 
wildcard mapping, as shown in the line that follows: 
fred.example.com.  IN  PX  10   fred.example.com.  O-ab.PRMD-net2.ADMDb.C-nl. 
Responsible Person (RP) Record 
The Responsible Person RR allows an e-mail address and some optional human-readable text to be 
associated with a host. The RP RR is experimental and is defined in RFC 1183. Due to privacy and spam 
considerations, RP records are not widely used on public servers but can provide very useful contact 
data during diagnosis and debugging network problems. 
RP RR Syntax 
name   ttl class RP  email txt-rr 
joe        IN    RP  fred.example.com. joe.people.example.com. 
VB.NET PDF remove image library: remove, delete images from PDF in
Image: Insert Image to PDF. Image: Remove Image from Redact Text Content. Redact Images. Redact Pages. Annotation & Highlight Text. Add Text. Add Text Box. Drawing
add page number to pdf reader; add pages to pdf preview
VB.NET PDF metadata library: add, remove, update PDF metadata in
Add permanent metadata to PDF document in VB .NET framework program. Remove and delete metadata content from PDF file in Visual Basic .NET application.
adding page numbers to pdf; add page numbers to pdf document in preview
CHAPTER 13 ■ ZONE FILE REFERENCE 
537
The email field is constructed in the normal method for e-mail addresses within the DNS where the first 
. (dot) is replaced with a @ (commercial at sign) when constructing the mail address; so in the preceding 
example fred.example.com would result in the e-mail address of fred@example.com. This format is used 
because @ has a special significance in the RR: it’s a short form for the $ORIGIN. 
The text-rr field defines the name of an optional TXT RR that may contain human-readable text 
such as a name and phone number. If no TXT is present, the text-rr field is replaced with a single dot. 
Multiple RP records may be associated with any host. The following fragment shows the use of the RP 
RR: 
; zone file fragment for example.com 
$TTL 2d ; zone TTL default = 2 days or 172800 seconds 
$ORIGIN example.com. 
... 
www          IN  A     192.168.254.2 
IN  A     192.168.254.3 
IN  RP    bill.example.com. bill.people.example.com. 
; could have been written as 
;            IN  RP    bill bill.people 
; line that follows uses an e-mail external to the domain 
; and has no corresponding text record (replaced with a single dot) 
IN  RP    fred.example.net. . 
... 
; all people records organized under people 
bill.people  IN  TXT "Bill Someone - pager = 111-1111" 
.... 
The line beginning bill.people does not strictly define a subdomain structure, but in this case is 
used simply as a convenient method of grouping people records in the zone file for the organization. 
Resource Record Signature (RRSIG) Record 
The Resource Recordset Signature RR is a DNSSEC (see Chapter 11) record that contains the digital 
signature of the RRset being signed. RRSIG RRs operate on RRsets—defined as being any record whose 
name, class, and rr type fields are the same—not individual RRs. The RRSIG RRs (the digital signatures) 
for the zone’s RRsets are generated automatically by a zone-signer, such as the dnssec-signzone utility 
(described in Chapter 9) using the private key whose public key is stored in a DNSKEY RR defined at the 
zone apex or root. The RRSIG RR is defined in RFC 4034. 
RRSIG RR Syntax 
name  ttl  class   rr     (type algorithm labels ottl expire 
start key-tag signer signature) 
joe    2d  IN      A       192.168.22.22 
joe        IN      RRSIG  (A    ; rr type covered 
5  ; algorithm (RSA-SHA-1) 
3  ; labels at this name 
172800 ; original ttl of RRs covered 
20050414000000 ;expiry time 
20050314000000 ; start time 
24567 ; key tag 
example.com. ; signer 
blah….blah) ; signature data 
CHAPTER 13  ZONE FILE REFERENCE 
538 
In this example, both the RR being signed (the A RR) and the RRSIG RR (its digital signature) are 
shown to clarify the use of the RRSIG record. 
The type field defines the RRset type being signed. In this example an RRset comprising a single A 
RR is shown, but any number of such RRs could have been included in the RRset. 
The algorithm field may take one of the values defined here: 
0 = Reserved 
1 = RSA-MD5—not recommended (RFC 2537) 
2 = Diffie-Hellman (RFC 2539) 
3 = DSA/SHA-1—optional (RFC 3755, 2536) 
4 = Elliptic curve—not currently standardized 
5 = RSA/SHA-1—mandatory (RFC 3755, 3110) 
6 = DSA-NSEC3-SHA1 (RFC 5155) 
7 = RSASHA1-NSEC3-SHA1 (RFC 5155) 
8 = RSA/SHA-256 (RFC 5702) 
9 = unassigned 
10 = RSA/SHA512 (RFC 5702) 
11 = unassigned 
12 = GOST R 34.10-2001 (RFC 5933) 
13 - 122 = Currently unassigned 
123 – 251 = Reserved 
252 = Indirect (see the “Alternative Cryptographic Algorithms” section later in this chapter) 
253 = Private URI (see the “Alternative Cryptographic Algorithms” section later in this chapter) 
254 = Private OID (see the “Alternative Cryptographic Algorithms” section later in this chapter) 
255 = Reserved 
The labels field defines the number of labels in the FQDN version of the name field, excluding any 
wildcard values. In the preceding example, the number is 3 since the FQDN corresponding to joe is 
joe.example.com. If the name had been * (the DNS wildcard value), then the value of the label field 
would have been 2, thus excluding the wildcard from the label count. This allows verification software to 
know whether the RRSIG was or was not synthesized and thus re-create the conditions by which 
successful verification can take place. 
The ottl field defines the TTL of the RRset being covered. In the preceding example, this is shown 
explicitly as 2d (172800 seconds) in the A RR, but if not present would have been taken from the last $TTL 
directive in the zone file. 
The expire field defines the time at which the RRSIG is no longer valid, and the start field indicates 
when the RRSIG record becomes valid. In their textual form, both have the format 
YYYYMMDDHHMMSS where YYYY is a four-digit year number, MM a two-digit month number, DD a 
two-digit day within a month number, HH a two-digit hour within a day, MM a two-digit minute within 
an hour, and SS a two-digit second within an hour. Time and date values use Universal Coordinated 
Time (UTC). 
The key-tag field identifies the DNSKEY RR used to generate the digital signature. Since multiple 
DNSKEY RRs may be present with the same name in a zone file, this field is used to find the correct key. 
The key-tag field is generated by the dnssec-keygen utility and uses a variant on the zone’s complement 
checksum algorithm and can thus be rapidly reproduced by verification software to find the correct key. 
The signer
signature; in the example, it’s a DNSKEY RR with a name of example.com. 
The signature field is the base64 (RFC 3548) representation of the digital signature. In the example 
shown, the digital signature is generated using the digest function SHA-1, which is then encrypted with 
the RSA algorithm using a private key whose public key is defined in the DNSKEY RR with a host name of 
example.com. 
The RRSIG RR is unique in that it does not form an RRset; otherwise recursive processing would 
occur when signing a zone. 
CHAPTER 13 ■ ZONE FILE REFERENCE 
539
Route Through (RT) Record 
The Route Through RR defines an intermediate host through which all datagrams should be routed. The 
intermediate host would typically be a gateway or protocol converter. The RT RR is experimental and is 
defined in RFC 1183. The RT RR is not widely used. 
RT RR Syntax 
name   ttl class RT  preference intermediate 
joe        IN    RT  10         bill.example.com. 
The preference field is a value in the range 0 to 65535 and is used in a similar way to the MX record. The 
lower the value, the more preferred the route. The intermediate field defines the host name to which 
datagrams destined for name should be sent. The following fragment shows how the RT RR is used: 
; zone file fragment for example.com 
$TTL 2d ; zone TTL default = 2 days or 172800 seconds 
$ORIGIN example.com. 
... 
fred         IN  A       192.168.254.2 
joe          IN  A       192.168.254.3 
bill         IN  A       192.168.254.4 
IN  RT  10  fred.example.com. 
IN  RT  20  joe.example.com. 
.... 
In this fragment, in order to reach bill.example.com, fred.example.com. would be used; if not 
available, then joe.example.com. would be used. 
Signature (SIG) Record 
The Signature RR was defined as part of the first generation of DNSSEC (RFC 2535). It is no longer used 
for this purpose; it’s now limited to specific use as a meta (or pseudo) RR containing the digital signature 
when securing transactions such as dynamic update using public key (asymmetric) cryptographic 
techniques. The equivalent RR for shared secret transaction security is TSIG, another meta RR. The 
revised use of what is now called SIG(0) is defined in RFC 2931. 
SIG RR Syntax 
name  ttl  class   rr  (type algorithm labels ottl 
expire start key-tag signature) 
joe        IN      SIG   (0    ; identifies SIG(0) 
5  ; algorithm (RSA-SHA-1) 
3  ; labels at this name 
172800 ; original ttl of RRs covered 
20050414000000 ;expiry time 
20050314000000 ; start time 
24567 ; key tag 
example.com. ; signer 
blah….blah) ; signature data 
CHAPTER 13  ZONE FILE REFERENCE 
540 
The field values and meaning of the SIG RR are exactly the same as those of the RRSIG RR defined earlier 
with the exception of the type field, which in this usage is always set to 0; hence this RR type is 
commonly referred to as a SIG(0) RR. 
The SIG(0) RR is generated at run time (it is a meta or pseudo RR) by the name server and is added 
to the ADDITIONAL SECTION
both authenticates and ensures the integrity of the transaction. The public key used by SIG(0) is stored 
in the zone file using a KEY RR. 
Start of Authority (SOA) Record 
The Start of Authority RR describes the global properties for the zone (or domain). There is only one SOA 
record allowed in a zone file and it must be the first RR entry. The SOA RR was defined in RFC 1035 and 
the use of the min(imum) field of the RR was redefined in RFC 2308. 
SOA RR Syntax 
name        ttl class rr    name-server admin-mailbox  sn refresh retry expiry min 
@               IN    SOA   ns.example.com. hostmaster.example.com. ( 
2010080800 ; se = serial number 
43200      ; refresh = refresh retry = 12h 
900        ; retry = 15m 
1209600    ; expiry = 2w 
3600       ; nx = nxdomain ttl= 1h (ex minimum field 
The SOA RR is the most important RR and takes one of the largest numbers of fields of any RR. To assist 
in readability, it’s usually written using the standard parentheses method to enable the various fields to 
be written one per line for clarity, as shown in the preceding example. Table 13–3 describes the fields 
unique to this record; note that the common fields were described previously. 
Table 13–3. SOA RR Fields 
Field 
Description 
name-server 
This is a name server for the domain and is referred to as the primary master, 
which has a meaning only in the context of Dynamic DNS (described in Chapter 
3) and designates the server that can be updated by DDNS transactions. If DDNS 
is not being used, it may be any suitable name server that will answer 
authoritatively for the domain. The name server may lie within the domain or in 
an external or foreign domain. The name server referenced, however, must be 
defined using an NS RR. The name-server is most commonly written as an FQDN 
(ends with a dot). If the name-server is an external server (does not lie in this 
zone), it must be an FQDN. In the DNS jargon, this field is called the MNAME field, 
which is why this book uses the term name-server. 
Documents you may be interested
Documents you may be interested