Anycasting ist eine Technologie, die nach und nach eingeführt wurde, als immer mehr Anfragen an die DNS-Root-Server eingingen. Während die Betreiber der Root-Server B, D, E und H bis heute nur einen Serverstandort verwenden und Rechenleistung sowie Bandbreite weiter ausbauen, haben die Betreiber der Server A, C, F, G, I, J, K, L und M ihre Rechner weltweit per Anycasting verteilt.
Da jeder I-Root-Server die IP-Adresse 192.36.148.17 besitzt, hat der Endanwender keinen Einfluss darauf, welchen Root-Server er wirklich erreicht. Auch kleine und mittelgroße Provider, die ihre Internetanbindung wiederum über große Tier-1-Provider wie Level3, Verizon (vormals UUnet) oder TeliaSonera beziehen, können nur durch die Wahl eines anderen Tier-1-Providers indirekt Einfluss nehmen.
Das IP-Protokoll ist bewusst so ausgelegt, dass in einem Paket nur die IP-Adressen von Absender und Empfänger enthalten sind. Anhand der Empfängeradresse entscheidet ein Router, an welchen direkt erreichbaren Knoten er das Paket weiterleitet. Ein „Pfad“, den das Paket nehmen muss, lässt sich nicht angeben. Gegen Manipulationen würde das ohnehin nichts helfen, da ein Router einen vorgegebenen Pfad einfach ignorieren kann.
Durch Anycasting ist die Anzahl der Root-Server insgesamt auf 202 angestiegen. Das ist so lange kein Problem, wie alle Server dieselben und richtigen Antworten liefern. Allerdings zeigt das Beispiel des falschen I-Root-Servers, dass die Betreiber der Root-Server unter Umständen gar keinen Einfluss darauf haben, welche Antworten ihre Mirrorserver geben.
Auch wird deutlich, dass das Internet von einem Punkt aus weltweit verwundbar ist. China ist schon mehrmals ins Blickfeld gerückt, wenn es darum geht, ausländische Regierungen und Firmen auszuspionieren. Mit Ghostnet wurden die Rechner des Dalai-Lama-Büros infiziert, um das Laptop-Mikrofon als Wanze zu benutzen. Auch andere Regierungsstellen in insgesamt 103 waren von Ghostnet-Angriffen betroffen. Mit dem Aurora-Angriff hat sich China Zugang zu den internen Netze von Banken, High-Tech-Firmen und Rüstungsunternehmen verschafft.
Bei den jetzt bekannt gewordenen falschen Antworten des I-Root-Servers kann man von einem Irrtum ausgehen, da die Falschantworten keinem erkennbaren kriminellen Zweck dienten. Das Beispiel zeigt jedoch, dass ein Land wie China, das Kontrolle über einen Teil des Internet hat, DNS-Server auf anderen Kontinenten, beispielsweise Südamerika, beeinflussen kann. Die rekursiven DNS-Server, die eine Antwort von einem falschen Root-Server bekommt, behalten die falsche Antwort im Cache und gibt sie an ihre Clients weiter. So können große Teile des Internets auf falsche Adressen geleitet werden.
Neueste Kommentare
4 Kommentare zu Gefahr durch Anycasting: Root-Server antworten falsch
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wirklich nur Technik – keine Politik?
Es fällt schwez zu glauben, dass das ganze nur ein Malheur gewesen sein soll. Nicht in China. Wie der Autor selbst festgestellt hat, beseitzt dieses Land einen katastrophalen Ruf. Die Anycase/DNSSEC-Technik erscheint mir sinnvoll. Doch Technik und Kryptographie ist immer nur die eine Seite. Vertrauen und Politik die andere. Daher lautet die Tabu-Frage: Wieso stehen solch sensitive Services in fragwürdigen Ländern wie China? Wieso ist ein Disconnect von Ländern wie China ein Tabu? Jaja, die Wirtschaft und die Geschäftemacher…die freie Welt sollte solche Staaten mindestens geneauer „regulieren“ und ihnen solche Möglichkeiten gar nichts erst einräumen. „Versehen“. Da lachen doch die Hühner. Das waren skrupellos berechnete Tests! Hier ist doch wieder was im Busch bei den Kommis!!
sehr interessant
ein sehr interessanter artikel. was wären denn eigentlich mögliche lösung (auch mit hinblick auf die weltweite zunahme des traffics) denn ein zentrales DNS-system kann gar keine lösung sein. denn vom prinzip her ist anycast doch eine super-sache die relativ wenig verwaltung erfordert (oder täusche ich mich da jetzt?) und trotzdem relativ zuverlässig ist. und warum ist die implementierung von DNSSEC eigentlich so ein riesending?
mfg
AW: sehr interessant
Ja, im Prinzip ist das Anycasting ein guter Weg, um viel Traffic zu „verarbeiten“. Die Schwierigkeiten von DNSSEC liegen nicht so sehr im technischen Bereich: denn neben einigen Top Level Domains wie .se für Schweden oder .org gibt es bereits einige Trust-Inseln. Und auch die Root-Zone, sprich, die Daten der Root-Servern,wird/werden noch bis Juni 2010 vollständig signiert sein. Schwierigkeiten bereitet vor allem die neuen Anforderungen an die Verwaltung der privaten Schlüssel und damit politisch-administrative Interessenkonflikte innerhalb von Unternehmen und Ländern. Denn wer den privaten Schlüssel kontrolliert, hat die Macht über die DNS-Informationen.
Rechtschreibfehler
Da müsste man noch mal drüber lesen…
————————————-
Wenn ein AS allerdings absichtlich Fälschungen in Zusammenarbeit mit einer Regierung vornimmt, ist „ES“ schwierig“KOMMA“ das zu entdecken.
Das IP-Spoofing wird nicht erkannt, weil es ganz normal ist, dass“MIT NUR EINEM S“ etwa eine IP-Adresse, die in Schweden registriert ist, von Servern auf der ganzen Welt verwendet wird.
u.s.w.