Зашифрованы ли каким-либо образом эти доменные имена?
0cvfk501t65vva2vmlb2oc5c1a48avm1.accountants
1247027g00qgaqi1d320mqqmdanvqm5m.accountants
162sbl7bmqhr2fll35jfghf3mvqvms83.accountants
7ho7ug4e67bbaq9cl6tmtkj0r03464in.accountants
Я знаю, что DNS SEC набирает популярность, поэтому я хочу предположить, что это так, но если это так, как мне их расшифровать?
решение1
Они очень похожи на хешированные имена NSEC3. Они основаны на ваших реальных поддоменах, но используются только для доказательств несуществования DNSSEC и не имеют других типов записей, кроме NSEC3 (и RRSIG).
Вероятно, можно сопоставить каждый хэш с его оригинальным именем, при условии, что у вас в любом случае есть доступ ко всей зоне, но, по-видимому, существуют инструменты, которые просто вслепую перебирают хэши.
Более ранние разработки (NXT и NSEC) образуют цепочку доменных имен в открытом виде, например, aaa.example.comимеют обычные записи и запись NSEC, указывающую на bbb.example.com.
aaaПодпись этой записи доказывает, что между и нет никаких доменов bbb, поэтому резолвер может быть уверен, что ответ NXDOMAIN не является поддельным. (Помните, что одной из первоначальных целей DNSSEC было разрешить офлайн-подписание зоны, чтобы серверы могли предоставить такое доказательство без необходимости доступа к ключам подписи.)
Однако очень просто "пройти" всю цепочку от начала до конца и узнать все доменные имена, даже если у вас отключены передачи зон. Некоторые операторы доменов считают это проблемой безопасности. По этой причине был изобретен NSEC3, который вместо этого использует хэшированные имена.
(Хотя предварительно подписанный NSEC3 все еще имеет свои собственные проблемы и в конечном итоге может быть заменен либо на NSEC3 «White Lies», либо на NSEC5, оба из которых, по-видимому, используют разный подход, включающий индивидуально подписанные ответы.)