NSECを使用しないDNSSECのセキュリティ
DNSSECはNSEC(またはNSEC3)レコードを使用して、要求されたドメイン名が存在しないことを示します。 NSECはゾーンの列挙を許可するため、批判されています。
Dnssecがnsecレコードなしで実装されている場合、つまり、存在しないドメインの認証がない場合はどうなりますか? (ドメインが存在する場合、応答は認証され、ドメインが存在しない場合、応答は認証されません)
私が理解しているように、DANEはNSECを使用してMITMから保護しますが、その方法は正確にはわかりません。攻撃者は認証されたNSEC応答を単に破棄または破壊しないのですか?
DNS応答がDNSSEC認証であると想定されているのか、または(実装されていないと提案されている)NSECであるのか、攻撃者によって制御されたホストを指す非認証のDNS応答に変更されているのかを知る方法がないのではないでしょうか。
私はそれを正しく理解していますか?他に問題はありますか?
NXDOMAINの応答を認証しない場合、vilainが被害者にNXDOMAIN応答を正しい回答の前または代わりに送信できる攻撃は、被害者のリゾルバによって受け入れられるため、攻撃者はドメインを(被害者のビュー)被害者がこの攻撃を検出できない場合。したがって、NSEC、NSEC3、またはNSEC5です。
NSEC応答のドロップはリゾルバに表示され、クエリを再試行してから「ネットワークエラー」と言われるため、これが攻撃であると検出されます。有効なNSEC/NSEC3レコードの破損についても同じです。それらは付随するRRSIGレコードで署名されているため、それらの変更は被害者によって検出されます。
そして被害者は、信頼の連鎖に従うために必要な親ゾーンのDSレコードを確認することで、DNSSEC対応のゾーンがあることを知っています。