¿Estos nombres de dominio están cifrados de alguna manera?
0cvfk501t65vva2vmlb2oc5c1a48avm1.accountants
1247027g00qgaqi1d320mqqmdanvqm5m.accountants
162sbl7bmqhr2fll35jfghf3mvqvms83.accountants
7ho7ug4e67bbaq9cl6tmtkj0r03464in.accountants
Sé que DNS SEC está en aumento, así que quiero asumir que así es, pero si es así, ¿cómo los descifro?
Respuesta1
Se parecen mucho a los nombres hash NSEC3. Estos se basan en sus subdominios reales, pero solo se usan para pruebas de inexistencia de DNSSEC y no tienen ningún otro tipo de registro además de NSEC3 (y RRSIG).
Probablemente sea posible hacer coincidir cada hash con su nombre original siempre que tenga acceso a toda la zona de todos modos, pero aparentemente hay herramientas disponibles que simplemente fuerzan los hashes a ciegas.
Los diseños anteriores (NXT y NSEC) forman una cadena de nombres de dominio en texto plano, por ejemplo, aaa.example.comtienen registros regulares más un registro NSEC que apunta a bbb.example.com.
La firma de ese registro demuestra que no hay ningún dominio entre aaay bbb, por lo que el solucionador puede estar seguro de que una respuesta de NXDOMAIN no es falsa. (Recuerde que uno de los objetivos originales de DNSSEC era permitir la firma fuera de línea de la zona, de modo que los servidores pudieran proporcionar dicha prueba sin necesidad de acceder a las claves de firma).
Sin embargo, es muy sencillo "recorrer" toda la cadena de principio a fin y aprender todos los nombres de dominio incluso si ha desactivado las transferencias de zona. Algunos operadores de dominios lo consideran un problema de seguridad. Por esa razón se inventó NSEC3, que en su lugar utiliza nombres hash.
(Aunque el NSEC3 prefirmado todavía tiene sus propios problemas y eventualmente podría ser reemplazado por NSEC3 "Mentiras piadosas" o NSEC5, ambos parecen utilizar un enfoque diferente que involucra respuestas firmadas individualmente).