Compreendendo o DNSSEC

Então, eu tenho tentado entender como o DNS e o DNSSEC funcionam lendo os RFCs e também outras várias páginas de ajuda na Internet, mas não tenho certeza se entendi completamente, então eu queria saber se alguém poderia me ajudar Fora.

Aqui estão algumas sinopses do que eu tenho até agora:

O DNSSEC na verdade não criptografa nenhum dado, de modo a manter o sistema eficiente o suficiente para funcionar adequadamente, mas serve para verificar a integridade e autenticidade dos RRsets que um servidor recebe.

O RR DNSKEY é o que contém a chave pública que uma zona pode usar para autenticar a assinatura que vem no RR RRSIG.

Uma zona também terá um DNSKEY no ápice da zona, que pode atuar como um ponto de entrada para a zona. Haverá um DS RR no outro lado do corte de zona que aponta para este DNSKEY.

Estou tendo um pouco de dificuldade com o NSEC RR.
Ele diz que contém todos os tipos de registro de recurso associados a um nome de proprietário de RR e, em seguida, aponta para o próximo nome.

O que significa o nome do proprietário aqui? Isso significa o nome da zona? nome de um host?

Outra pergunta que tenho tem a ver com a interceptação de pacotes. como nada é criptografado, qualquer um poderia interceptar pacotes, certo?

Se este é o caso, então eu estou supondo que é o ponto dos registros NSEC, então se um resolvedor vê algo que o NSEC diz que não deveria, ele sabe que o pacote foi alterado?

Mas eu ainda não vejo exatamente como o DS e o DNSKEY no ápice entram em jogo aqui, porque eu estou assumindo que é o papel que eles desempenham de alguma forma, então eu tenho que estar faltando algo fundamental aqui.

Qualquer ajuda é apreciada.