Questa risposta descrive come DNSSec potrebbe consentire "Zone walking" ... dove un cattivo può estrarre tutto i record DNS da una zona abilitata DNSSec. NSEC3 è un aggiornamento che impedisce questo. (Vedi la parte inferiore di questo articolo )
Come posso determinare (esternamente) se una zona sta utilizzando NSEC o NSEC3?
Se sei disposto a fare affidamento su un servizio online (e non preoccuparti di uno che è piuttosto schizzinoso), il DNSSEC Checker avviserà (tra le altre cose) delle zone che non usano NSEC3.
Per controllare da soli, basta interrogare un dominio inesistente e cercare in risposta un record di risorse NSEC o NSEC3. Una query di esempio sarebbe dig +dnssec -t any xyzzy14.sdsmt.edu (per una zona che utilizza NSEC3) o la stessa query a xyzzy14.berkeley.edu per vedere i record NSEC.
Inoltre, si noti che NSEC3 non protegge completamente le zone DNS dall'enumerazione. In effetti nessun server DNS è mai stato immune a questo, dal momento che gli aggressori possono sempre fare un attacco di dizionario semplicemente interrogando per nomi che pensano possano esserci. L'uso di NSEC3 consente a un utente malintenzionato di accelerare l'attacco del dizionario e farlo in modo più privato offline. Recuperano tutti o la maggior parte dei record NSEC3 effettuando una query per domini inesistenti e ottengono quindi gli hash di tutti gli host nella zona. Quindi eseguono un attacco brute-force offline sugli hash. Esistono anche strumenti per farlo, ad es. nsec3walker . Ma NSEC3 è ancora molto più difficile da enumerare di NSEC, e puoi impostare il numero di iterazioni dell'hash su un valore alto se vuoi renderlo più costoso.
Leggi altre domande sui tag dns known-vulnerabilities dnssec