Přešli jsme na NSEC3, co z toho vyplývá?

Pro ty, kteří dění kolem české domény a DNSSEC pravidelně sledují, není zpráva z titulku jistě žádnou novinkou. Informaci o přechodu na NSEC3 jsme uveřejnili již před více než dvěma měsíci. Proč o tom tedy dnes psát na blogu?

Nedlouho před tím, než byla tato nová technologie nasazena, se na internetu objevil postup, jak „vylistovat“ obsah domény .CZ s pomocí NSEC záznamů. Ty umožňují prokázat neexistenci domény tím, že pro každé existující doménové jméno odkazují na další existující záznam v zóně. NSEC3 řeší právě tuto vlastnost, kterou zmíněný postup využívá.

NSEC3 totiž nepracuje s doménovými jmény samotnými, ale jen s jejich hashovanou podobou a není jej tedy možné pro tzv. „zonewalking“ použít. To se bohužel ještě nedoneslo některým zvědavcům, kteří se stále pokouší doménová jména z NSEC3 záznamů extrahovat. To se projevuje tím, že v provozu autoritativních serverů pro  doménu .CZ se u některých klientů (rekurzivních serverů) objevuje neobvyklé množství dotazů na neexistující domény se jmény jako „ha2022l2fk5ei80alie61h33i4r9vcko.cz.“ či „LJA47DB0JD4B6MEVIS2V2NFIRUJ33971.cz.“. U některých klientů jsou to dokonce desítky dotazů za vteřinu bez přestávky a to po několik týdnů.

Pokud jste tedy zapomněli někde na svém serveru zapnutý „zonewalking“ skript pro NSEC3, ušetříte vašemu počítači i dalším po cestě práci, pokud ho vypnete. Získaný seznam neexistujících domén vám totiž nejspíš k ničemu užitečnému stejně nebude.

Bedřich Košata

Autor:

Komentáře (3)

  1. Honza K. říká:

    Budu mít lamerský dotaz. Proč zakazovat ten tzv. zonewalking? Jeho využití je snad zjištění všech domén registrovaných a v zóně. Proč to tak vadí?

  2. říká:

    To by mě také zajímalo. V dřevních dobách se nechala zóna vytáhnout axfr, dnes se tomu vehementně brání – vlastně ne když si to zaplatíte. V této souvislosti se ptám proč tedy pořád funguje lustrace majitelů podle id na lupa.cz?

  3. Bedřich Košata říká:

    Vzhledem k tomu, že se dnešní době se na internetu pohybují spousty botů, které vyhledávají zajímavé cíle pro útoky, spam, typo-squatting či doménové spekulace, je myslím v zájmu každého majitele domény, aby si své informace více hlídal. Zonewalking samozřejmě není jediná možnost jak se k příslušným datům dostat, to ale neznamená, že bychom to měli
    případným útočníkům zjednodušovat.

    Rozhodně si dovedu představit daleko více pochybných důvodů pro „vylistování“ domémy, než těch bohulibých.

Napsat komentář: Bedřich Košata Zrušit odpověď na komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..