DNSSEC ha ancora il problema "enumera tutti i nomi nella zona"?

6

In base a Wikipedia :

DNSSEC introduces the ability for a hostile party to enumerate all the names in a zone by following the NSEC chain. NSEC RRs assert which names do not exist in a zone by linking from existing name to existing name along a canonical ordering of all the names within a zone. Thus, an attacker can query these NSEC RRs in sequence to obtain all the names in a zone. Although this is not an attack on the DNS itself, it could allow an attacker to map network hosts or other resources by enumerating the contents of a zone.

La maggior parte dei TLD ha adottato DNSSEC. Il problema sopra descritto esiste ancora? Come può essere controllato (ad esempio il comando Linux)?

    
posta lepe 21.07.2015 - 03:43
fonte

1 risposta

5

In primo luogo, farò notare che le informazioni private non devono essere pubblicate nel sistema dei nomi di dominio pubblico . Tuttavia, per il caso oscuro questo è effettivamente necessario DNSSEC ora supporta NSEC3 per le zone, che impedisce questo tipo di attacco (anche se è più costoso sulla query DNS dalla mia comprensione di come funziona NSEC3 rispetto al normale NSEC).

Modifica: non ho visto la data su questa domanda, spero che la mia risposta aiuti qualcuno.

Modifica2: si noti che come @kasperd indica di seguito, questa configurazione è ancora vulnerabile a un attacco di forza bruta offline. Leggi i commenti qui sotto per maggiori informazioni.

    
risposta data 09.06.2016 - 00:24
fonte

Leggi altre domande sui tag