这些域名是否以某种方式加密?
0cvfk501t65vva2vmlb2oc5c1a48avm1.accountants
1247027g00qgaqi1d320mqqmdanvqm5m.accountants
162sbl7bmqhr2fll35jfghf3mvqvms83.accountants
7ho7ug4e67bbaq9cl6tmtkj0r03464in.accountants
我知道 DNS SEC 正在兴起,所以我想假设它们正在兴起,但如果它们正在兴起,我该如何解密它们?
答案1
这些看起来非常像 NSEC3 哈希名称。它们基于您的实际子域,但仅用于 DNSSEC 不存在证明,并且除了 NSEC3(和 RRSIG)之外没有任何其他记录类型。
无论如何,只要您可以访问整个区域,就有可能将每个哈希与其原始名称相匹配,但显然有些工具只是盲目地对哈希进行暴力破解。
早期的设计(NXT 和 NSEC)形成了一条明文域名链,例如,aaa.example.com
具有常规记录加上指向的 NSEC 记录bbb.example.com
。
aaa
该记录的签名证明和之间没有任何域bbb
,因此解析器可以确定 NXDOMAIN 回复不是假的。(请记住,最初的 DNSSEC 目标之一是允许对区域进行离线签名,以便服务器无需访问签名密钥即可提供此类证明。)
但是,即使您已禁用区域传输,也可以从头到尾“遍历”整个链并了解所有域名,这非常简单。一些域名运营商认为这是一个安全问题。因此,发明了 NSEC3,它使用散列名称。
(尽管预签名的 NSEC3 仍然存在其自身的问题并且最终可能会被 NSEC3“善意的谎言”或 NSEC5 取代,但这两者似乎都采用了涉及单独签名的响应的不同方法。)