Pro ty, kteří dění kolem české domény a DNSSEC pravidelně sledují, není zpráva z titulku jistě žádnou novinkou. Informaci o přechodu na NSEC3 jsme uveřejnili již před více než dvěma měsíci. Proč o tom tedy dnes psát na blogu?
Nedlouho před tím, než byla tato nová technologie nasazena, se na internetu objevil postup, jak „vylistovat“ obsah domény .CZ s pomocí NSEC záznamů. Ty umožňují prokázat neexistenci domény tím, že pro každé existující doménové jméno odkazují na další existující záznam v zóně. NSEC3 řeší právě tuto vlastnost, kterou zmíněný postup využívá.
NSEC3 totiž nepracuje s doménovými jmény samotnými, ale jen s jejich hashovanou podobou a není jej tedy možné pro tzv. „zonewalking“ použít. To se bohužel ještě nedoneslo některým zvědavcům, kteří se stále pokouší doménová jména z NSEC3 záznamů extrahovat. To se projevuje tím, že v provozu autoritativních serverů pro doménu .CZ se u některých klientů (rekurzivních serverů) objevuje neobvyklé množství dotazů na neexistující domény se jmény jako „ha2022l2fk5ei80alie61h33i4r9vcko.cz.“ či „LJA47DB0JD4B6MEVIS2V2NFIRUJ33971.cz.“. U některých klientů jsou to dokonce desítky dotazů za vteřinu bez přestávky a to po několik týdnů.
Pokud jste tedy zapomněli někde na svém serveru zapnutý „zonewalking“ skript pro NSEC3, ušetříte vašemu počítači i dalším po cestě práci, pokud ho vypnete. Získaný seznam neexistujících domén vám totiž nejspíš k ničemu užitečnému stejně nebude.
Bedřich Košata
Budu mít lamerský dotaz. Proč zakazovat ten tzv. zonewalking? Jeho využití je snad zjištění všech domén registrovaných a v zóně. Proč to tak vadí?
To by mě také zajímalo. V dřevních dobách se nechala zóna vytáhnout axfr, dnes se tomu vehementně brání – vlastně ne když si to zaplatíte. V této souvislosti se ptám proč tedy pořád funguje lustrace majitelů podle id na lupa.cz?
Vzhledem k tomu, že se dnešní době se na internetu pohybují spousty botů, které vyhledávají zajímavé cíle pro útoky, spam, typo-squatting či doménové spekulace, je myslím v zájmu každého majitele domény, aby si své informace více hlídal. Zonewalking samozřejmě není jediná možnost jak se k příslušným datům dostat, to ale neznamená, že bychom to měli
případným útočníkům zjednodušovat.
Rozhodně si dovedu představit daleko více pochybných důvodů pro „vylistování“ domémy, než těch bohulibých.