Hash 验证NSEC3记录
我正在摆弄DNSSEC,我想尝试验证由Hash 验证NSEC3记录,hash,dns,dnssec,Hash,Dns,Dnssec,我正在摆弄DNSSEC,我想尝试验证由DNSSEC signzone从bind9 utils生成的NSEC3记录(我认为这些记录是有效的)。这是我的区域文件: $ORIGIN dnssectest.mvolfik.tk. $TTL 120 @ SOA dnssectestns.mvolfik.tk. email.example.com. 15 259200 3600 300000 3600 A 192.168.0.101 s3c A 192.168.0.101 $INCLU
DNSSEC signzone
从bind9 utils
生成的NSEC3记录(我认为这些记录是有效的)。这是我的区域文件:
$ORIGIN dnssectest.mvolfik.tk.
$TTL 120
@ SOA dnssectestns.mvolfik.tk. email.example.com. 15 259200 3600 300000 3600
A 192.168.0.101
s3c A 192.168.0.101
$INCLUDE zsk.key
$INCLUDE ksk.key
ZSK和KSK是通过dnssec keygen-a ECDSAP256SHA256 dnssectest.mvolfik.tk.
生成的(分别添加-f KSK
)
然后,我使用命令dnssec signzone-3 deadbeef-h5-o dnssectest.mvolfik.tk-k ksk.key zonefile zsk.key
(将NSEC3与deadbeef
hex salt一起使用,重复5次)
我在分区文件中得到了以下NSEC3记录。已签名:(省略了RRSIG和DNSKEY,认为它们不相关;A和SOA没有改变)
现在我知道这个区域中唯一的域是s3c.dnssectest.mvolfik.tk.
和dnssectest.mvolfik.tk.
,我假设下面的Python脚本将获得与上面签名区域文件中相同的哈希值:(来自中的伪代码)
导入hashlib
def ih(盐、x、k):
如果k==0:
返回hashlib.sha1(x+salt.digest())
返回hashlib.sha1(ih(salt,x,k-1)+salt).digest()
打印(ih(bytes.fromhex(“死牛肉”),b“s3c.dnssectest.mvolfik.tk.”,5.hex())
打印(ih(bytes.fromhex(“死牛肉”),b“dnssectest.mvolfik.tk.”,5.hex())
然而,我得到了b5837498347ba833ab33f15332829a589a80d82
和545e01397a776ee73aa0372aea015408cc384574
。我做错了什么?所以我查看了dnspython
源代码,找到了函数。结果表明,名称必须是有线格式(意味着删除点,而不是在标签前面加长度字节-\x03s3c\x10dnssectest\x07mvolfik\x02tk\x00
等,最后加空字节)。结果用base32(0-9A-V)编码,而不是十六进制。使用dnspython库可能更简单,但下面是完整(有点幼稚)的代码:
导入hashlib,base64
b32_trans=str.maketrans(
“ABCDEFGHIJKLMNOPQRSTUVXYZ234567”、“0123456789ABCDEFGHIJKLMNOPQRSTUV”
)
def ih(盐、x、k):
如果k==0:
返回hashlib.sha1(x+salt.digest())
返回hashlib.sha1(ih(salt,x,k-1)+salt).digest()
def nsec3(盐、名称、k):
如果不是name.endswith(“.”),则:
名称+=”
标签=名称。拆分(“.”)
名称\u wire=b“”。连接(len(l).到\u字节(1,“大”)+l.lower().encode()表示标签中的l)
digest=ih(字节数.fromhex(salt),名称\u wire,k)
返回base64.b32encode(摘要).decode().translate(b32_trans)
打印(nsec3(“死牛肉”、“dnssectest.mvolfik.tk.”,5))
打印(nsec3(“死牛肉”,“s3c.dnssectest.mvolfik.tk.”,5))
这将获得在NSEC3记录中看到的正确哈希值
0 NSEC3PARAM 1 0 5 DEADBEEF
F66KKS17FM851AVA4EARFHS55I3TOO85.dnssectest.mvolfik.tk. 3600 IN NSEC3 1 0 5 DEADBEEF (
D60TA5J5RS4JD5AQK25B1BCUAHGP4DHC
A SOA RRSIG DNSKEY NSEC3PARAM )
D60TA5J5RS4JD5AQK25B1BCUAHGP4DHC.dnssectest.mvolfik.tk. 3600 IN NSEC3 1 0 5 DEADBEEF (
F66KKS17FM851AVA4EARFHS55I3TOO85
A RRSIG )