這些域名是否經過某種方式加密?
0cvfk501t65vva2vmlb2oc5c1a48avm1.accountants
1247027g00qgaqi1d320mqqmdanvqm5m.accountants
162sbl7bmqhr2fll35jfghf3mvqvms83.accountants
7ho7ug4e67bbaq9cl6tmtkj0r03464in.accountants
我知道 DNS SEC 正在興起,所以我想假設它們正在興起,但如果是,我該如何解密它們?
答案1
這些看起來非常像 NSEC3 哈希名稱。這些基於您的實際子網域,但僅用於 DNSSEC 不存在的證明,並且除了 NSEC3(和 RRSIG)之外沒有任何其他記錄類型。
如果您無論如何都可以訪問整個區域,則可能可以將每個哈希與其原始名稱相匹配,但顯然有一些工具只是盲目地暴力破解哈希。
早期的設計(NXT 和NSEC)形成明文域名鏈,例如aaa.example.com具有常規記錄加上指向.net 的NSEC 記錄bbb.example.com。
aaa此記錄的簽章證明和之間沒有任何網域bbb,因此解析器可以確保 NXDOMAIN 回覆不是假的。 (請記住,最初的 DNSSEC 目標之一是允許對區域進行離線簽名,以便伺服器可以提供此類證明,而無需存取簽名金鑰。)
然而,即使您禁用了區域傳輸,從頭到尾「遍歷」整個鏈並了解所有網域也非常簡單。一些域運營商認為這是一個安全問題。因此,NSEC3 被發明,它使用散列名稱。
(儘管預先簽署的 NSEC3 仍然存在其自身的問題,並且最終可能會被 NSEC3「善意謊言」或 NSEC5 所取代,這兩者似乎都使用了涉及單獨簽名響應的不同方法。)