¿Puede alguien explicarme la salida DNSSEC NSEC3?

Question

¿Puede alguien explicarme la salida DNSSEC NSEC3?

#1 de Patrick Mevzek (3 votos)

2

Estoy tratando de entender cómo funcionan los registros NSEC y NSEC3 en DNSSEC. Cuando solicito un dominio inexistente con compatibilidad con NSEC3, obtengo el siguiente resultado

$ dig +dnssec NSEC3 gggg.icann.org. | grep -F "NSEC3" | grep -Fv "RRSIG NSEC3"

    ; <<>> DiG 9.10.3-P4-Ubuntu <<>> +dnssec NSEC3 gggg.icann.org.icann.org.
    ;gggg.icann.org.icann.org.  IN  NSEC3
    l6bdbf682dc45lv4vrfmrfnithopmvm0.icann.org. 3599 IN NSEC3 1 0 5 9974AA028A677BF0 L6CPA6V9R9563KMQT2NF2NL4BE1DPO3U 
    dggsrhgbge97oj2ltjnpkieb951c9dsq.icann.org. 3599 IN NSEC3 1 0 5 9974AA028A677BF0 DGP62KNMI7ESBJ8BEKD60CEF9T7EUCO4 A RRSIG
    fke7dkh6es15igh27a4tl1fic0ukppkp.icann.org. 3599 IN NSEC3 1 0 5 9974AA028A677BF0 FKGU9H93DI168B3MQ3VK7VHTPNN67GA0 A RRSIG

Mi pregunta es, ¿por qué hay 3 registros NSEC3 en la respuesta? En el caso de NSEC, solo obtengo un registro NSEC en respuesta.

dns dnssec enumeration

pregunta driver_ 27.06.2017 - 09:37

fuente

1 respuesta

Lea otras preguntas en las etiquetas dns dnssec enumeration

¿Qué significa realmente la opción ssh-keygen -a? Problema explotando el Desbordamiento de Buffer en un programa C simple

score 3 · Answer 1

Primero, eche un vistazo a enlace puede ayudar a que las cosas se muestren gráficamente y sobre su mouse en la parte superior del registro NSEC3 en la parte inferior para ver todos los detalles.

NSEC3 es mucho más complicado que NSEC (y NSEC5 es mucho más complicado, pero aún no está implementado de todos modos que NSEC3), y el comportamiento no será el mismo.

Básicamente, tiene 3 registros NSEC3 porque está viendo aquí la autenticación de la denegación de existencia de un registro comodín. Los detalles sangrientos se encuentran en la sección 5.5 de RFC7129 , pero deberá leer las secciones anteriores para aprender primero sobre el concepto de "encierro más cercano".

En resumen, el problema se explica por este fragmento:

La respuesta corta es que debido al hashing en NSEC3, pierdes el
  Profundidad de su zona y todo se aplasta en un plano. A
  Para compensar esta pérdida de información, necesita un registro adicional.