Eles se parecem muito com os nomes de hashing NSEC3. Eles são baseados em seus subdomínios reais, mas são usados apenas para provas de não existência do DNSSEC e não possuem nenhum outro tipo de registro além do NSEC3 (e RRSIG).
Provavelmente é possível combinar cada hash com seu nome original, desde que você tenha acesso a toda a zona de qualquer maneira, mas, aparentemente, existem ferramentas em seu estado selvagem que apenas impõem força aos hashes cegamente.
Os designs anteriores (NXT e NSEC) formam uma cadeia de nomes de domio de texto simples, e. aaa.example.com tem os registros regulares mais um registro NSEC apontando para bbb.example.com .
A assinatura desse registro prova que não há domínios entre aaa e bbb , então o resolvedor pode ter certeza de que uma resposta NXDOMAIN não é falsa. (Lembre-se de que uma das metas originais do DNSSEC era permitir a assinatura offline da zona, para que os servidores pudessem fornecer essa prova sem precisar acessar as chaves de assinatura.)
No entanto, é muito simples "percorrer" toda a cadeia do início ao fim e aprender todos os nomes de domínio, mesmo que você tenha desativado as transferências de zona. Alguns operadores de domínio consideram um problema de segurança. Por essa razão, o NSEC3 foi inventado e, em vez disso, usa nomes com hash.
(Embora a NSEC3 pré-assinada ainda tenha seus próprios problemas e possa eventualmente ser substituída por NSEC3 "Mentiras Brancas" ou NSEC5, ambas as quais parecem usar uma abordagem diferente envolvendo respostas individualmente assinadas.)