Sind diese Domänennamen irgendwie verschlüsselt?
0cvfk501t65vva2vmlb2oc5c1a48avm1.accountants
1247027g00qgaqi1d320mqqmdanvqm5m.accountants
162sbl7bmqhr2fll35jfghf3mvqvms83.accountants
7ho7ug4e67bbaq9cl6tmtkj0r03464in.accountants
Ich weiß, dass DNS SEC auf dem Vormarsch ist, daher gehe ich davon aus, dass dies der Fall ist. Aber wenn ja, wie entschlüssele ich sie?
Antwort1
Diese sehen den gehashten NSEC3-Namen sehr ähnlich. Diese basieren auf Ihren tatsächlichen Subdomains, werden aber nur für DNSSEC-Nichtexistenznachweise verwendet und haben außer NSEC3 (und RRSIG) keine anderen Datensatztypen.
Es ist wahrscheinlich möglich, jeden Hash seinem ursprünglichen Namen zuzuordnen, vorausgesetzt, Sie haben ohnehin Zugriff auf die gesamte Zone, aber anscheinend gibt es Tools, die die Hashes einfach blind mit Brute Force herausfinden.
Die früheren Designs (NXT und NSEC) bilden eine Kette von Domänennamen im Klartext, d. h. sie aaa.example.comhaben die regulären Datensätze plus einen NSEC-Datensatz, der auf verweist bbb.example.com.
Die Signatur dieses Eintrags beweist, dass sich zwischen aaaund keine Domänen bbbbefinden. Der Resolver kann also sicher sein, dass eine NXDOMAIN-Antwort nicht gefälscht ist. (Denken Sie daran, dass eines der ursprünglichen Ziele von DNSSEC darin bestand, die Offline-Signierung der Zone zu ermöglichen, damit die Server einen solchen Nachweis erbringen konnten, ohne Zugriff auf die Signaturschlüssel zu benötigen.)
Es ist jedoch sehr einfach, die gesamte Kette von Anfang bis Ende zu „durchlaufen“ und alle Domänennamen zu lernen, selbst wenn Sie Zonenübertragungen deaktiviert haben. Einige Domänenbetreiber betrachten dies als Sicherheitsproblem. Aus diesem Grund wurde NSEC3 erfunden, das stattdessen gehashte Namen verwendet.
(Allerdings hat das vorsignierte NSEC3 immer noch seine eigenen Probleme und könnte irgendwann entweder durch NSEC3 „Notlügen“ oder NSEC5 ersetzt werden, die beide einen anderen Ansatz mit einzeln signierten Antworten zu verwenden scheinen.)