Qualcuno può spiegarmi l'uscita DNECEC NSEC3?

2

Sto cercando di capire come funzionano i record NSEC e NSEC3 in DNSSEC. Quando richiedo un dominio inesistente con i supporti NSEC3, ottengo il seguente output

$ dig +dnssec NSEC3 gggg.icann.org. | grep -F "NSEC3" | grep -Fv "RRSIG NSEC3"

    ; <<>> DiG 9.10.3-P4-Ubuntu <<>> +dnssec NSEC3 gggg.icann.org.icann.org.
    ;gggg.icann.org.icann.org.  IN  NSEC3
    l6bdbf682dc45lv4vrfmrfnithopmvm0.icann.org. 3599 IN NSEC3 1 0 5 9974AA028A677BF0 L6CPA6V9R9563KMQT2NF2NL4BE1DPO3U 
    dggsrhgbge97oj2ltjnpkieb951c9dsq.icann.org. 3599 IN NSEC3 1 0 5 9974AA028A677BF0 DGP62KNMI7ESBJ8BEKD60CEF9T7EUCO4 A RRSIG
    fke7dkh6es15igh27a4tl1fic0ukppkp.icann.org. 3599 IN NSEC3 1 0 5 9974AA028A677BF0 FKGU9H93DI168B3MQ3VK7VHTPNN67GA0 A RRSIG

La mia domanda è, perché ci sono 3 record NSEC3 nella risposta? In caso di NSEC, ricevo solo un record NSEC in risposta.

    
posta driver_ 27.06.2017 - 09:37
fonte

1 risposta

3

Per prima cosa, dai un'occhiata al link che può aiutare ad avere le cose visualizzate graficamente e sopra il mouse sopra il record NSEC3 in basso per vedere tutti i dettagli.

NSEC3 è molto più complicato di NSEC (e NSEC5 è molto più complicato - ma non ancora distribuito comunque - rispetto a NSEC3), e il comportamento non sarà lo stesso.

Fondamentalmente hai 3 record NSEC3 perché stai vedendo qui l'autenticazione della negazione dell'esistenza di un record jolly. I dettagli cruenti sono nel §5.6 di RFC7129 , ma dovrai leggere le sezioni precedenti per imparare prima sul concetto di "encloser più vicino".

In breve, il problema è spiegato da questo snippet:

The short answer is that due to the hashing in NSEC3, you lose the
depth of your zone and everything is hashed into a flat plane. To
make up for this loss of information, you need an extra record.

    
risposta data 28.06.2017 - 01:01
fonte

Leggi altre domande sui tag