Grundsätzlich ist das Internet eine sehr robustes Kommunikationsnetz. Als die US-Regierung in den 60er Jahren das ARPANET aufbaute, war ein dezentraler Aufbau eine wesentliche Forderung. Vor dem Hintergrund des kalten Krieges und der Kubakrise stellte man im Pentagon fest, dass bei der damaligen Struktur ausreichte, den zentralen Knoten des militärischen Kommunikationsnetzes auszuschalten, um die gesamte Kommunikation der einzelnen Standorte der US-Army zu unterbinden.
So entwickelte man auf der Grundlage von Packet Switching ein dezentrales Netz, dem der Ausfall eines Knotens oder einer Leitung nichts anhaben konnte. Wenn ein Kommunikationsweg ausfiel, wurden die Datenpakete über andere Verbindungen geleitet. Dies geschah bereits in den Anfängen automatisch ohne manuellen Eingriff.
TCP/IP und DNS gab es im ursprünglichen ARPANET noch nicht. Bei der Entwicklung dieser Protokolle wurde aber darauf geachtet, dass sie für eine dezentrale und ausfallsichere Infrastruktur geeignet sind. Das ist zwar gelungen, jedoch wurden keine Überlegungen angestellt, was passiert, wenn ein Knoten bewusst so sabotiert wird, dass er falsche Daten übermittelt. Da alle Knoten unter der Kontrolle des US-Militärs oder amerikanischer Universitäten standen, berücksichtigte man diesen Fall nicht.
Für das heutige Internet bedeutet das, dass es nur dann zuverlässig funktioniert, wenn alle Teilnehmer die Pakete unverändert an den richtigen Empfänger weitertransportieren. Dabei können durchaus unterschiedliche Wege genommen werden. Falls Pakete allerdings absichtlich an einen falschen Knoten umgeleitet werden, etwa an einen falschen DNS-Server, lassen sich Manipulationen vornehmen, von denen das gesamte Internet weltweit betroffen ist.
Neueste Kommentare
4 Kommentare zu Gefahr durch Anycasting: Root-Server antworten falsch
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wirklich nur Technik – keine Politik?
Es fällt schwez zu glauben, dass das ganze nur ein Malheur gewesen sein soll. Nicht in China. Wie der Autor selbst festgestellt hat, beseitzt dieses Land einen katastrophalen Ruf. Die Anycase/DNSSEC-Technik erscheint mir sinnvoll. Doch Technik und Kryptographie ist immer nur die eine Seite. Vertrauen und Politik die andere. Daher lautet die Tabu-Frage: Wieso stehen solch sensitive Services in fragwürdigen Ländern wie China? Wieso ist ein Disconnect von Ländern wie China ein Tabu? Jaja, die Wirtschaft und die Geschäftemacher…die freie Welt sollte solche Staaten mindestens geneauer „regulieren“ und ihnen solche Möglichkeiten gar nichts erst einräumen. „Versehen“. Da lachen doch die Hühner. Das waren skrupellos berechnete Tests! Hier ist doch wieder was im Busch bei den Kommis!!
sehr interessant
ein sehr interessanter artikel. was wären denn eigentlich mögliche lösung (auch mit hinblick auf die weltweite zunahme des traffics) denn ein zentrales DNS-system kann gar keine lösung sein. denn vom prinzip her ist anycast doch eine super-sache die relativ wenig verwaltung erfordert (oder täusche ich mich da jetzt?) und trotzdem relativ zuverlässig ist. und warum ist die implementierung von DNSSEC eigentlich so ein riesending?
mfg
AW: sehr interessant
Ja, im Prinzip ist das Anycasting ein guter Weg, um viel Traffic zu „verarbeiten“. Die Schwierigkeiten von DNSSEC liegen nicht so sehr im technischen Bereich: denn neben einigen Top Level Domains wie .se für Schweden oder .org gibt es bereits einige Trust-Inseln. Und auch die Root-Zone, sprich, die Daten der Root-Servern,wird/werden noch bis Juni 2010 vollständig signiert sein. Schwierigkeiten bereitet vor allem die neuen Anforderungen an die Verwaltung der privaten Schlüssel und damit politisch-administrative Interessenkonflikte innerhalb von Unternehmen und Ländern. Denn wer den privaten Schlüssel kontrolliert, hat die Macht über die DNS-Informationen.
Rechtschreibfehler
Da müsste man noch mal drüber lesen…
————————————-
Wenn ein AS allerdings absichtlich Fälschungen in Zusammenarbeit mit einer Regierung vornimmt, ist „ES“ schwierig“KOMMA“ das zu entdecken.
Das IP-Spoofing wird nicht erkannt, weil es ganz normal ist, dass“MIT NUR EINEM S“ etwa eine IP-Adresse, die in Schweden registriert ist, von Servern auf der ganzen Welt verwendet wird.
u.s.w.