Eine DNS-Antwort, die größer als 512 Byte ist, kommt durch einen üblichen Consumer-Router nicht durch. Die meisten Antworten sind trotz Signatur kleiner als 512 Byte, jedenfalls, wenn man eine spezifische Frage stellt.
Fragt man beispielsweise ab, an welche Server E-Mails an die Domain nlnetlabs.nl abgeliefert werden können, dann erhält man die Antwort, dass dies bei den Servern omvak.tednet.nl, xs4all.dacht.net und open.nlnetlabs.nl möglich ist. Diese Antwort passt in 174 Byte, siehe Bild 1.
Obwohl die Zone nlnetlabs.nl signiert ist, schickt der DNS-Server keine RRSIG-Records mit, weil er nicht danach gefragt wurde. Anders sieht es aus, wenn man eine ANY-Abfrage durchführt, siehe Bild 2. Das Ergebnis ist 2807 Byte lang. Man erkennt, dass der Client es zunächst über UDP versucht hat. Da die Antwort „abgeschnitten“ war, hat es der Client noch einmal über TCP versucht. Erst der zweite Versuch brachte das richtige Ergebnis.
Ferner sieht man an Bild 2, dass die Abfrage an den öffentlichen DNS-Server ns2.free-germany.com gestellt wurde. Das hat durchaus seinen Grund. Ein typischer Consumer-Level-NAT-Router hätte die Anfrage nicht beantworten können, da er DNS über TCP nicht beherrscht und die Antwort für DNS über UDP zu lang ist.
Im Beispiel von Bild 3 wurde ein Thomson-Speedport-Router mit der Adresse 192.168.0.1 getestet. Man erhält schlicht und einfach keine Antwort, weil der DSL-Router auf TCP-Port 53 gar nicht reagiert. Dieses Verhalten zeigen nahezu alle NAT-Router. Auch viele auf den Unternehmensmarkt zielende NAT-Router beherrschen kein DNS über TCP, etwa die Komponenten von Lancom.
Wer seine Rechner im Heimnetz auf „automatische Netzwerkkonfiguration“ eingestellt hat, kann möglicherweise eine böse Überraschung erleben, wenn einige DNS-Zonen damit beginnen, DNSSEC zu verwenden. Solange die Routerhersteller kein Firmware-Update liefern, muss man sich dieser Problematik bewusst sein und nach Alternativen suchen, insbesondere vor dem Hintergrund, dass die Denic ab dem 2. März Domaininhabern erlaubt, Schlüsselmaterial zu hinterlegen.
Wenn einzelne Domains damit beginnen, ihre Zonen zu signieren, kann es auch bei .de-Domains zu Problemen mit Consumer-NAT-Routern kommen. Dabei hilft auch die „Testbed-Umgebung“ der Denic nicht, da diese auf dieselben Nameserver delegiert wie die Produktivserver der Denic.
Googles App-Entwickler-Kit dient der Tarnung des schädlichen Codes. Der Sicherheitsanbieter Jamf hält die Schadsoftware für…
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…