DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos

1983 entwickelte Paul Mockapetris das Domain Name System (DNS). Das wurde notwendig, weil das Internet rasant anwuchs und sich niemand mehr Knotennamen in Form einer IPv4-Adresse wie 110.64.51.187 merken konnte. Sechs Jahre vorher hatte das Internet noch recht übersichtlich ausgesehen. Bild 1 zeigt eine Karte, in der alle Rechner des Internets im Jahre 1977 eingezeichnet sind.

Auch im Jahr 1983 bestand der Internet-Vorgänger ARPANET nach der Abtrennung des MILNET offiziell nur aus 113 Rechnern. Die National Science Foundation (NSF) finanzierte jedoch amerikanischen Universitäten einen Zugang zu damaligen Supercomputern, die sich vor allem an Universitäten mit ARPANET-Anschluss befanden. Dazu realisierte die NSF das CSNET (später NSFNET) mit TCP/IP-Protokoll und bezahlte X.25-Anschlüsse für Universitäten, die keine eigenen Supercomputer besaßen.

Diese Verbindung von mehreren TCP/IP-Netzen nannte man Internet. Da im Endeffekt alle TCP/IP-Netze miteinander verbunden waren, konnte jeder Rechner erreicht werden. Damit keine IP-Adresskonflikte auftraten, fragten die Netzbetreiber einfach den Verwalter der RFC-Dokumente, Jon Postel, welche IP-Adressen sie verwenden sollten.

Als Jon Postels Liste immer größer wurde, erkannte er frühzeitig, dass IP-Nummern auf Dauer keine Lösung für eine Benennung von Netzknoten sein konnten, und beauftrage Paul Mockapetris mit einer Lösung. Zum einen sollte die Unabhängigkeit der einzelnen Netze gewahrt bleiben, zum anderen konnte er keine zentrale Verwaltung für jeden Knoten aufbauen, da er keine Mitarbeiter hatte.

So entstand die verteilte Datenbank DNS. Postel konnte ganze IP-Adressbereiche an den Verwalter eines Netzes vergeben. Ebenso delegierte er einen Namen, eine sogenannte Domain, an den Netzverwalter. Innerhalb eines Netzes konnte der Verwalter die Namen frei verteilen. Dieses System der dezentralen Verwaltung ermöglichte ihm, die IANA lange Jahre als Ein-Mann-Unternehmen zu führen. Er leitete die IANA bis zu seinem Tod 1998. Zu diesem Zeitpunkt hatte er weniger als zehn Mitarbeiter.

DNS funktionierte, allen Unkenrufen zum Trotz, prächtig. Ein dezentrales weltweites Datennetz, das von einer „One-Man-Show“ verwaltet wird, hielt man damals für unmöglich. Jon Postel und Paul Mockapetris zeigten, dass es trotzdem geht, was vielen Leuten beim CCITT (heute ITU-T) nicht gefiel.

Damit die verteilte Datenbank DNS funktioniert, gibt es mehrere Root-Server. Deren Namen und IP-Adressen muss jeder DNS-Server kennen. Diese Information, siehe Bild 2, erhält ein DNS-Server über eine Konfigurationsdatei. Diese Datei ändert sich nur äußerst selten, so dass DNS-Betreiber sich keine Sorgen um ihre Aktualität machen müssen. Neue Versionen kommen über den Update-Service des Betriebssystems.

Die Root-Server wissen nur recht wenig über das Internet. Fragt man einen der Root-Server nach www.example.com, so antwortet er in natürliche Sprache übersetzt wie ein deutscher Beamter mit „Das weiß ich nicht, dafür bin ich nicht zuständig“. Allerdings gibt er als weitere Information eine Liste mit DNS-Servern und deren IP-Adressen heraus, die für alle Domains, die mit .com enden. zuständig sind.

Doch auch die für .com verantwortlichen Server antworten nur, dass für die Domain .example.com andere Server zuständig sind. Erst diese Server beantworten die Frage des geduldigen Clients mit: „Die IP-Adresse von www.example.com ist 192.0.34.43“.

Page: 1 2 3 4 5 6 7

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago