これらのドメイン名は何らかの方法で暗号化されていますか?
0cvfk501t65vva2vmlb2oc5c1a48avm1.accountants
1247027g00qgaqi1d320mqqmdanvqm5m.accountants
162sbl7bmqhr2fll35jfghf3mvqvms83.accountants
7ho7ug4e67bbaq9cl6tmtkj0r03464in.accountants
DNS SEC が増加していることは知っているので、そうであると仮定したいのですが、もしそうであれば、どのように復号化すればよいのでしょうか?
答え1
これらは、NSEC3 ハッシュ名に非常によく似ています。これらは実際のサブドメインに基づいていますが、DNSSEC の非存在証明にのみ使用され、NSEC3 (および RRSIG) 以外のレコード タイプはありません。
いずれにせよ、ゾーン全体にアクセスできる場合は、各ハッシュを元の名前に一致させることはおそらく可能ですが、ハッシュを盲目的にブルートフォースするツールが存在しているようです。
以前の設計 (NXT および NSEC) は、プレーンテキスト ドメイン名のチェーンを形成します。たとえば、aaa.example.comには通常のレコードと、 を指す NSEC レコードがありますbbb.example.com。
aaaこのレコードの署名は、 との間にドメインが存在しないことを証明するbbbため、リゾルバは NXDOMAIN 応答が偽物でないことを確信できます。(DNSSEC の当初の目標の 1 つは、ゾーンのオフライン署名を許可して、サーバーが署名キーにアクセスしなくてもそのような証明を提供できるようにすることだったことを思い出してください。)
ただし、最初から最後までチェーン全体を「たどる」のは非常に簡単で、ゾーン転送を無効にしている場合でもすべてのドメイン名を知ることができます。一部のドメイン オペレータは、これをセキュリティ上の問題と見なしています。このため、ハッシュ名を使用する NSEC3 が発明されました。
(ただし、事前署名された NSEC3 にはまだ独自の問題があり、最終的には NSEC3「White lies」または NSEC5 のいずれかに置き換えられる可能性があります。どちらも個別に署名された応答を含む異なるアプローチを使用しているようです。)