이러한 도메인 이름은 어떻게든 암호화되어 있습니까?
0cvfk501t65vva2vmlb2oc5c1a48avm1.accountants
1247027g00qgaqi1d320mqqmdanvqm5m.accountants
162sbl7bmqhr2fll35jfghf3mvqvms83.accountants
7ho7ug4e67bbaq9cl6tmtkj0r03464in.accountants
DNS SEC가 증가하고 있다는 것을 알고 있으므로 그렇다고 가정하고 싶습니다. 그렇다면 어떻게 해독합니까?
답변1
이는 NSEC3 해시 이름과 매우 유사합니다. 이는 실제 하위 도메인을 기반으로 하지만 DNSSEC 존재하지 않음 증명에만 사용되며 NSEC3(및 RRSIG) 외에는 다른 레코드 유형이 없습니다.
어쨌든 전체 영역에 액세스할 수 있다면 각 해시를 원래 이름과 일치시키는 것이 가능할 수 있지만, 무턱대고 해시를 무차별 대입하는 도구가 있는 것 같습니다.
이전 디자인(NXT 및 NSEC)은 일반 텍스트 도메인 이름 체인을 형성합니다. 예를 aaa.example.com들어 일반 레코드와 bbb.example.com.
aaa해당 레코드의 서명은 과 사이에 도메인이 없음을 증명하므로 bbb확인자는 NXDOMAIN 응답이 가짜가 아닌지 확인할 수 있습니다. (원래 DNSSEC 목표 중 하나는 영역의 오프라인 서명을 허용하여 서버가 서명 키에 액세스하지 않고도 그러한 증거를 제공할 수 있도록 하는 것이었습니다.)
그러나 영역 전송을 비활성화한 경우에도 전체 체인을 처음부터 끝까지 "탐색"하고 모든 도메인 이름을 배우는 것은 매우 간단합니다. 일부 도메인 운영자는 이를 보안 문제로 간주합니다. 이러한 이유로 해시된 이름을 대신 사용하는 NSEC3이 발명되었습니다.
(미리 서명된 NSEC3에는 여전히 자체 문제가 있으며 결국 NSEC3 "White lie" 또는 NSEC5로 대체될 수 있지만 둘 다 개별적으로 서명된 응답과 관련된 다른 접근 방식을 사용하는 것으로 보입니다.)