Illustration of NSEC and NSEC3 chains in DNSSEC

Autor/Urheber:

Matthäus Wander

Shortlink:

https://dewiki.de/b/314c0f

Quelle:

Wikimedia Commons

Größe:

847 x 334 Pixel (27525 Bytes)

Beschreibung:

The graphic comprises two parts, which illustrate how NSEC3 works:

1. The left side illustrates how a DNSSEC server responds to a query for a non-existing name. The server returns an NSEC3 resource record, which serves as proof that the queried name does not exist. The client can check this by computing the NSEC3 hash value of the queried name.

2. The right side illustrates how an NSEC and NSEC3 chain are structured. The NSEC chain is a list of all names in a DNS zone sorted in alphanumeric order. The NSEC3 chain is a list of all hash values of names in a DNS zone sorted in alphanumeric order of the hash values. Due to the pseudorandom property of the NSEC3 hash function, the ordering of the NSEC3 chain differs from the NSEC3 chain, but this doesn't affect the security proof of a non-existent name.

Lizenz:

CC0

Bild teilen:

         

Weitere Informationen zur Lizenz des Bildes finden Sie hier. Letzte Aktualisierung: Mon, 31 Jul 2023 03:41:45 GMT

Relevante Artikel

NSEC3 ist ein Verfahren, um im Domain Name System (DNS) das Fehlen eines Domainnamens oder Resource Records mit kryptographischen DNSSEC-Signaturen nachzuweisen. Durch den NSEC3 Resource Record können DNS-Spoofing-Angriffe abgewehrt werden, die vorgaukeln, dass ein bestimmter Domainname nicht existiert. NSEC3 wurde von der IETF im Jahr 2008 als Request for Comments veröffentlicht. Im Gegensatz zu dem alternativen NSEC Resource Record versteckt NSEC3 die existierenden Domainnamen durch eine kryptographische Hashfunktion, um sie vor dem Auslesen per Zone Walking zu schützen. .. weiterlesen