Esta respuesta describe cómo DNSSec puede permitir "Zone walking" ... donde un malo puede extraer todo los registros DNS de una zona habilitada para DNSSec. NSEC3 es una actualización que evita esto. (Consulte la parte inferior de este artículo )
¿Cómo puedo determinar (externamente) si una zona está usando NSEC o NSEC3?
Si está dispuesto a confiar en un servicio en línea (y no le importa uno que sea bastante delicado), el DNSSEC Checker advertirá (entre otras cosas) acerca de las zonas que no usan NSEC3.
Para verificarlo usted mismo, simplemente consulte un dominio que no existe y busque un registro de recursos NSEC o NSEC3 como respuesta. Una consulta de ejemplo sería dig +dnssec -t any xyzzy14.sdsmt.edu (para una zona que usa NSEC3) o la misma consulta en xyzzy14.berkeley.edu para ver los registros NSEC.
Además, tenga en cuenta que NSEC3 no protege completamente las zonas DNS para evitar su enumeración. De hecho, ningún servidor DNS ha sido inmune a eso, ya que los atacantes siempre pueden hacer un ataque de diccionario con solo buscar nombres que creen que podrían estar allí. El uso de NSEC3 permite que un atacante acelere el ataque del diccionario y lo haga de forma más privada sin conexión. Recuperan todos o la mayoría de los registros NSEC3 mediante la consulta de dominios no existentes y, por lo tanto, obtienen los hashes de todos los hosts de la zona. Luego hacen un ataque de fuerza bruta fuera de línea en los hashes. Incluso existen herramientas para hacer eso, por ejemplo. nsec3walker . Sin embargo, NSEC3 es mucho más difícil de enumerar que NSEC, y puede configurar el recuento de iteraciones para el hash en un valor alto si desea hacerlo más caro.
Lea otras preguntas en las etiquetas dns known-vulnerabilities dnssec