Esses nomes de domínio são criptografados de alguma forma?
0cvfk501t65vva2vmlb2oc5c1a48avm1.accountants
1247027g00qgaqi1d320mqqmdanvqm5m.accountants
162sbl7bmqhr2fll35jfghf3mvqvms83.accountants
7ho7ug4e67bbaq9cl6tmtkj0r03464in.accountants
Eu sei que o DNS SEC está aumentando, então quero presumir que sim, mas se estiverem, como faço para descriptografá-los?
Responder1
Eles se parecem muito com nomes com hash NSEC3. Eles são baseados em seus subdomínios reais, mas são usados apenas para provas de inexistência de DNSSEC e não possuem nenhum outro tipo de registro além de NSEC3 (e RRSIG).
Provavelmente é possível combinar cada hash com seu nome original, desde que você tenha acesso a toda a zona de qualquer maneira, mas aparentemente existem ferramentas disponíveis que apenas forçam os hashes cegamente.
Os designs anteriores (NXT e NSEC) formam uma cadeia de nomes de domínio em texto simples, por exemplo, aaa.example.comtem os registros regulares mais um registro NSEC apontando para bbb.example.com.
A assinatura desse registro prova que não há domínios entre aaae bbb, então o resolvedor pode ter certeza de que uma resposta NXDOMAIN não é falsa. (Lembre-se de que um dos objetivos originais do DNSSEC era permitir a assinatura offline da zona, para que os servidores pudessem fornecer tal prova sem precisar de acesso às chaves de assinatura.)
No entanto, é muito simples “percorrer” toda a cadeia do início ao fim e aprender todos os nomes de domínio, mesmo se você tiver desativado as transferências de zona. Alguns operadores de domínio consideram isso um problema de segurança. Por essa razão foi inventado o NSEC3, que usa nomes com hash.
(Embora o NSEC3 pré-assinado ainda tenha seus próprios problemas e possa eventualmente ser substituído pelo NSEC3 "Mentiras inocentes" ou pelo NSEC5, ambos os quais parecem usar uma abordagem diferente envolvendo respostas assinadas individualmente.)