Přešli jsme na NSEC3, co z toho vyplývá?

Pro ty, kteří dění kolem české domény a DNSSEC pravidelně sledují, není zpráva z titulku jistě žádnou novinkou. Informaci o přechodu na NSEC3 jsme uveřejnili již před více než dvěma měsíci. Proč o tom tedy dnes psát na blogu?

Nedlouho před tím, než byla tato nová technologie nasazena, se na internetu objevil postup, jak „vylistovat“ obsah domény .CZ s pomocí NSEC záznamů. Ty umožňují prokázat neexistenci domény tím, že pro každé existující doménové jméno odkazují na další existující záznam v zóně. NSEC3 řeší právě tuto vlastnost, kterou zmíněný postup využívá.

NSEC3 totiž nepracuje s doménovými jmény samotnými, ale jen s jejich hashovanou podobou a není jej tedy možné pro tzv. „zonewalking“ použít. To se bohužel ještě nedoneslo některým zvědavcům, kteří se stále pokouší doménová jména z NSEC3 záznamů extrahovat. To se projevuje tím, že v provozu autoritativních serverů pro  doménu .CZ se u některých klientů (rekurzivních serverů) objevuje neobvyklé množství dotazů na neexistující domény se jmény jako „ha2022l2fk5ei80alie61h33i4r9vcko.cz.“ či „LJA47DB0JD4B6MEVIS2V2NFIRUJ33971.cz.“. U některých klientů jsou to dokonce desítky dotazů za vteřinu bez přestávky a to po několik týdnů.

Pokud jste tedy zapomněli někde na svém serveru zapnutý „zonewalking“ skript pro NSEC3, ušetříte vašemu počítači i dalším po cestě práci, pokud ho vypnete. Získaný seznam neexistujících domén vám totiž nejspíš k ničemu užitečnému stejně nebude.

Bedřich Košata

Autor:

Komentáře (3)

  1. Honza K. říká:

    Budu mít lamerský dotaz. Proč zakazovat ten tzv. zonewalking? Jeho využití je snad zjištění všech domén registrovaných a v zóně. Proč to tak vadí?

  2. říká:

    To by mě také zajímalo. V dřevních dobách se nechala zóna vytáhnout axfr, dnes se tomu vehementně brání – vlastně ne když si to zaplatíte. V této souvislosti se ptám proč tedy pořád funguje lustrace majitelů podle id na lupa.cz?

  3. Bedřich Košata říká:

    Vzhledem k tomu, že se dnešní době se na internetu pohybují spousty botů, které vyhledávají zajímavé cíle pro útoky, spam, typo-squatting či doménové spekulace, je myslím v zájmu každého majitele domény, aby si své informace více hlídal. Zonewalking samozřejmě není jediná možnost jak se k příslušným datům dostat, to ale neznamená, že bychom to měli
    případným útočníkům zjednodušovat.

    Rozhodně si dovedu představit daleko více pochybných důvodů pro „vylistování“ domémy, než těch bohulibých.

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.