NSECおよびNSEC3レコードがDNSSECでどのように機能するかを理解しようとしています。 NSEC3をサポートする存在しないドメインをクエリすると、次の出力が表示されます
$ Dig +dnssec NSEC3 gggg.icann.org. | grep -F "NSEC3" | grep -Fv "RRSIG NSEC3"
; <<>> Dig 9.10.3-P4-Ubuntu <<>> +dnssec NSEC3 gggg.icann.org.icann.org.
;gggg.icann.org.icann.org. IN NSEC3
l6bdbf682dc45lv4vrfmrfnithopmvm0.icann.org. 3599 IN NSEC3 1 0 5 9974AA028A677BF0 L6CPA6V9R9563KMQT2NF2NL4BE1DPO3U
dggsrhgbge97oj2ltjnpkieb951c9dsq.icann.org. 3599 IN NSEC3 1 0 5 9974AA028A677BF0 DGP62KNMI7ESBJ8BEKD60CEF9T7EUCO4 A RRSIG
fke7dkh6es15igh27a4tl1fic0ukppkp.icann.org. 3599 IN NSEC3 1 0 5 9974AA028A677BF0 FKGU9H93DI168B3MQ3VK7VHTPNN67GA0 A RRSIG
私の質問は、応答に3つのNSEC3レコードがあるのはなぜですか? NSECの場合、応答としてNSECレコードを1つだけ取得します。
まず、 http://dnsviz.net/d/gggg.icann.org/WVLgMg/dnssec/ を見て、NSEC3の上にマウスを重ねてグラフィカルに表示すると役立つ場合がありますすべての詳細を確認するには、下部に記録します。
NSEC3はNSECよりもはるかに複雑であり(NSEC5はNSEC3よりはるかに複雑ですが、まだ展開されていません)、動作は同じではありません。
ワイルドカードレコードの存在の拒否の認証が表示されているため、基本的には3つのNSEC3レコードがあります。悲惨な詳細は RFC7129 の§5.6にありますが、最初の「最も近い封入器」の概念について学ぶには、前のセクションを読む必要があります。
つまり、問題は次のスニペットで説明されています。
簡単に言えば、NSEC3のハッシュのために、
ゾーンの深さとすべてが平らな面にハッシュされます。に
この情報の損失を埋め合わせるには、追加の記録が必要です。