DNSSecゾーンがNSEC3を使用して（NSECに対して）保護されているかどうかを確認する方法

オンラインサービスに依存する気がある場合（そして、かなりうるさいものを気にしない場合）、 DNSSEC Checker が警告します（特にNSEC3を使用しないゾーンについて。

自分で確認するには、存在しないドメインにクエリを実行し、応答としてNSECまたはNSEC3リソースレコードを探します。クエリの例は、NSEC3を使用するゾーンのDig +dnssec -t any xyzzy14.sdsmt.eduまたはxyzzy14.berkeley.eduでの同じクエリで、NSECレコードを表示します。

また、NSEC3はDNSゾーンが列挙されないように完全には保護しないことに注意してください。実際、攻撃者はそこにあると思われる名前を照会するだけで常に辞書攻撃を行うことができるため、DNSサーバーはこれに影響されません。 NSEC3を使用すると、攻撃者は辞書攻撃を高速化し、オフラインでよりプライベートに行うことができます。存在しないドメインをクエリすることで、NSEC3レコードのすべてまたはほとんどを取得し、ゾーン内のすべてのホストのハッシュを取得します。次に、ハッシュに対してブルートフォース攻撃をオフラインで行います。それを行うためのツールさえ存在します。 nsec3walker 。ただし、NSEC3はNSECよりも列挙するのがはるかに難しいため、より高価にしたい場合は、ハッシュの反復回数を高い値に設定できます。