DNSSEC 是否仍然存在“枚举区域中的所有名称”问题?

信息安全 dns dnssec
2021-08-16 11:17:07

根据维基百科

DNSSEC 引入了敌对方通过遵循 NSEC 链枚举区域中所有名称的能力。NSEC RR 通过按照区域内所有名称的规范排序将现有名称链接到现有名称来断言区域中不存在哪些名称。因此,攻击者可以依次查询这些 NSEC RR 以获得一个区域中的所有名称。虽然这不是对 DNS 本身的攻击,但它可能允许攻击者通过枚举区域的内容来映射网络主机或其他资源。

大多数 TLD都采用了 DNSSEC。上面描述的问题还存在吗?如何检查(例如 Linux 命令)?

1个回答

首先,我要指出,私人信息不应该发布在公共域名系统中。但是,对于晦涩难懂的情况,这实际上是需要的,DNSSEC 现在支持区域的NSEC3,这可以防止这种攻击(尽管根据我对 NSEC3 工作原理的理解,与普通 NSEC 相比,DNS 查询的成本更高)。

编辑:没有看到这个问题的日期,希望我的回答对某人有所帮助。

Edit2:请注意,正如@kasperd 在下面指出的那样,此设置仍然容易受到离线暴力攻击。阅读下面的评论以获取更多信息。

其它你可能感兴趣的问题
上一篇如何在服务器上安全地存储不记名令牌? 下一篇反现场取证程序