Doch keine zensurfreien DNS-Server für alle von der SPD

Als verfassungstreuer Bürger biete ich freie DNS-Server zur Umgehung der staatlichen Zensur an. Der Bremer Blog Evildaystar schreibt, dass ich jetzt Unterstützung direkt aus der SPD-Bundeszentrale bekomme. Leider stimmt das nicht.


Bild 1: Der primäre Nameserver der SPD löst bereitwillig auch die Domains der „Konkurrenz“ auf.

Ein Tweet wie dieser verbreitet sich heutzutage schnell. Nicht immer sind die Meldungen jedoch korrekt. Evildaystar hat in seinen Nachforschungen eine Kleinigkeit nicht berücksichtigt.

Der Blogger fand heraus, dass dns2.spd.de (IP: 195.50.146.131) der primäre autoritative Nameserver für die Domain spd.de und wahlkampf09.de ist. Hinzu kommen weitere mit der ehemaligen Volkspartei in Verbindung stehende Domains wie frankwaltersteinmeier.de. Die IP-Adresse 195.50.146.131 ist bei der RIPE auf die SPD registriert. Erstaunt war der engagierte Bremer Blogger jedoch, dass der Server auch die Anfrage nach cdu.de beantwortete, siehe Bild 1.

An den Flags in der Antwort kann man einiges erkennen: Dass kein aa-Flag gesetzt bedeutet, dass die SPD für die CDU nicht autoritativ ist. Das ist nicht weiter verwunderlich, obwohl es die SPD vielleicht gerne so hätte – wenngleich eher politisch als DNS-technisch.

Am ra-Flag erkennt man, dass der DNS-Server der Genossen bereit ist, auch jede Fremd-Domain aufzulösen, und dass es sich nicht um Informationen handelt, die zufällig im Cache stehen, weil man im Willy-Brandt-Haus mal schauen wollte, wie der Webauftritt des Noch-Koalitionspartners aussieht.

Eines hat Evildaystar jedoch nicht zu Ende gedacht: Die Tatsache, dass der SPD-Nameserver von jedermann genutzt werden kann, heißt noch nicht, dass er auch die richtigen, sprich unzensierte Antworten gibt. Wenn der Genossenserver die offiziellen Zensurserver seines Providers Vodafone (früher Arcor) als Forwarder nutzt, dann kommen von dort auch die vom BKA gefälschten Antworten, sobald Vodafone das Gesetz technisch umgesetzt hat.

Die fehlende Prüfung hole ich gerne nach: Als Inhaber der Domain free-germany.com müssen irgendwann Anfragen bei den von mir betriebenen autoritativen DNS-Servern eingehen, wenn ich den SPD-Server danach frage. Fragt sich nur, ob sie von dns2.spd.de selbst oder von Forwardern kommen. Also konfiguriere ich kurzerhand das Logging etwas „verboser“ als sonst und schaue nach.


Bild 2: Die Anfragen an dns2.spd.de landen beim Nameserver von free-germany.com. Aber es wird deutlich, dass die SPD Forwarding nutzt.

Die Anfragen, die ich an dns2.spd.de gestellt habe, gehen auf meinem Server von den IP-Adressen 195.50.140.69 und 195.50.140.133 ein. Das wiederum muss nicht heißen, dass der SPD-Server seine rekursiven Fragen direkt an diese IP-Adressen forwardet.

Weitere Nachforschungen ergeben, dass 195.50.140.69 per PTR-Record auf dns5-p2.arcor-ip.de auflöst. 195.50.140.133 hat keinen PTR-Record. Beide IP-Adressen tauchen in der DNS-Server-Liste von Vodafone/Arcor nicht auf. Dort befinden sich die Server dns1.arcor-ip.de bis dns11.arcor-ip.de, wobei dns10.arcor-ip.de (195.50.140.250) wohl seit längerem nicht mehr existiert. Arcor-Kunden bekommen nur dns1.arcor-ip.de und dns2.arcor-ip.de automatisch konfiguriert. Da es wohl ab und zu Probleme mit den beiden gibt, kann man bei der Hotline die restlichen Server erfragen.

Ich finde heraus, dass Anfragen zur Domain free-germany.com, die ich an dns5.arcor-ip.de stelle auf meinem DNS-Server genauso von dns5-p2.arcor-ip.de eintrudeln, wie die von dns2.spd.de. Das lässt es als sehr wahrscheinlich erscheinen, dass die SPD als Forwarder unter anderem dns5.arcor-ip.de einsetzt. Der gehört jedoch zu den offiziellen Arcor-Servern, die jeder Kunde bei der Hotline bekommt. Die Server dns<x>-p<y>.arcor-ip.de sind vermutlich nur zusätzliche Netzwerkinterfaces der jeweiligen Server mit dem Namen dns<x>.arcor-ip.de, wobei das p für Port stehen könnte.

Theoretisch besteht natürlich die Möglichkeit, dass Arcor nur die beiden für Kunden automatisch konfigurierten Server dns1.arcor-ip.de und dns2.arcor-ip.de vom BKA zensieren lässt, während die anderen frei bleiben. Dann würde auch der SPD-Server korrekte Antworten liefern. Davon ist jedoch nicht auszugehen.

Obwohl die Geschichte vom zensurfreien DNS-Server von der Zensurpartei mit an Sicherheit grenzender Wahrscheinlichkeit nicht stimmt, kann man trotzdem lernen, dass weder Vodafone/Arcor noch die SPD-eigene Firma Office Consult GmbH, die den Genossenserver betreibt, ausreichende Kenntnisse über den Betrieb von DNS-Servern besitzen.


Bild 3: Die SPD erzählt jedem, der es wissen will, dass ihr DNS-Server in zehn Sekunden gekapert werden kann. Der zensurfreie Server ns1.free-germany.com liefert eine andere Information.

Der Bind-Sever der SPD liefert auf den Befehl dig +short @dns2.spd.de version.bind txt ch brav seine Versionsnummer. Man kann in wirklich jeder Anleitung nachlesen, dass man das nicht zulassen soll – insbesondere dann nicht, wenn die Antwort „9.3.1“ lautet, denn alle Versionen vor 9.3.5-P2 können mit der Kaminsky-Attacke in zehn Sekunden geknackt werden. So kann möglicherweise jedermann den Genossen im Willy-Brandt-Haus beliebige Webseiten umleiten, wohin er will – falls man dort überhaupt dns2.spd.de verwendet. Ansonsten muss man sich jedoch die Frage stellen, warum der Server rekursiv auflöst und das auch noch für alle.

Arcor/Vodafone ist bei seiner DNS-Konfiguration kaum besser. So lässt sich leicht nachvollziehen, dass auch alle Arcor-Server für jedermann eine rekursive Auflösung erlauben. Dass ein Provider das zulässt, ist zumindest unüblich und bietet eine riesige Angriffsfläche für DDoS-Attacken auf seine Zensurserver. Wenn ein Provider seine Server nur von seinen Kunden nutzen lässt, kann er anhand der IP-Adresse sehen, wer den Angriff ausführt und strafrechtlich dagegen vorgehen. Außerhalb seines Netzes muss er dazu den Provider des Angreifers befragen. Das kann schwierig werden, wenn dieser beispielsweise in der Ukraine sitzt.

Bei vielen anderen freiwillig zensierenden Providern gibt es teilweise noch schlimmere DNS-Probleme. Wikileaks darf auf jeden Fall schon einmal Platz für die erste BKA-Sperrliste schaffen.

ZDNet.de Redaktion

Recent Posts

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

11 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

2 Tagen ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

2 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

3 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

3 Tagen ago