Gefahr durch Anycasting: Root-Server antworten falsch

Die derzeit gängige Praxis, Root-DNS-Server per Anycast weltweit zu verteilen, birgt eine ganze Reihe von Risiken. Dies gilt insbesondere dann, wenn Root-Server auch in Ländern stehen, von denen man vermuten muss, dass sie von staatlicher Seite aus gezielte Industriespionage betreiben.

Der Betreiber eines Root-Servers, der Instanzen seiner Server in Staaten wie China einrichtet, muss sich darüber im Klaren sein, dass er keine Kontrolle darüber hat, wer wirklich unter seiner Anycast-IP-Adresse erreichbar ist. Solche Szenarien sind keine Utopie, denn Angriffe wie Ghostnet und Aurora zeigen, dass manche Staaten bei Spionage gegen Firmen und Regierungen wenig Skrupel kennen.

Bei dem jetzt bekannt gewordenen Fall der falschen Antworten des I-Root-Servers in China muss man sich natürlich fragen, warum der verantwortliche Carrier den Verkehr aus Chile ausgerechnet an die chinesische Instanz des I-Root-Servers weitergeroutet hat. Allerdings hat man weder als Firma noch als Regierung darauf Einfluss.

In Europa und USA scheint eine konkrete Gefahr derzeit nicht gegeben. Alle Root-Server, die per Anycasting verteilt sind, haben mindestens einen Standort in den USA und in Europa. Grundsätzlich ist es daher für die Carrier günstiger, einen Standort auf demselben Kontinent zu wählen.

Dennoch sind deutsche Internetnutzer nicht hundertprozentig davor geschützt, dass ihre Kommunikation mit einem DNS-Server aus gecachten Antworten besteht, die aus China stammen. Fällt eine Verbindung aus, wird ein Carrier als Ersatzroute die Verbindung zur chinesischen Instanz eines Root-Servers wählen. Dort müssen Industriespione nur auf ihre Chance warten.

Themenseiten: Hacker, Kommunikation, Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Gefahr durch Anycasting: Root-Server antworten falsch

Kommentar hinzufügen
  • Am 20. April 2010 um 18:20 von Der Aufrechte

    Wirklich nur Technik – keine Politik?
    Es fällt schwez zu glauben, dass das ganze nur ein Malheur gewesen sein soll. Nicht in China. Wie der Autor selbst festgestellt hat, beseitzt dieses Land einen katastrophalen Ruf. Die Anycase/DNSSEC-Technik erscheint mir sinnvoll. Doch Technik und Kryptographie ist immer nur die eine Seite. Vertrauen und Politik die andere. Daher lautet die Tabu-Frage: Wieso stehen solch sensitive Services in fragwürdigen Ländern wie China? Wieso ist ein Disconnect von Ländern wie China ein Tabu? Jaja, die Wirtschaft und die Geschäftemacher…die freie Welt sollte solche Staaten mindestens geneauer „regulieren“ und ihnen solche Möglichkeiten gar nichts erst einräumen. „Versehen“. Da lachen doch die Hühner. Das waren skrupellos berechnete Tests! Hier ist doch wieder was im Busch bei den Kommis!!

  • Am 14. April 2010 um 9:52 von Robert

    sehr interessant
    ein sehr interessanter artikel. was wären denn eigentlich mögliche lösung (auch mit hinblick auf die weltweite zunahme des traffics) denn ein zentrales DNS-system kann gar keine lösung sein. denn vom prinzip her ist anycast doch eine super-sache die relativ wenig verwaltung erfordert (oder täusche ich mich da jetzt?) und trotzdem relativ zuverlässig ist. und warum ist die implementierung von DNSSEC eigentlich so ein riesending?

    mfg

    • Am 19. April 2010 um 13:34 von Matthias Maier

      AW: sehr interessant
      Ja, im Prinzip ist das Anycasting ein guter Weg, um viel Traffic zu „verarbeiten“. Die Schwierigkeiten von DNSSEC liegen nicht so sehr im technischen Bereich: denn neben einigen Top Level Domains wie .se für Schweden oder .org gibt es bereits einige Trust-Inseln. Und auch die Root-Zone, sprich, die Daten der Root-Servern,wird/werden noch bis Juni 2010 vollständig signiert sein. Schwierigkeiten bereitet vor allem die neuen Anforderungen an die Verwaltung der privaten Schlüssel und damit politisch-administrative Interessenkonflikte innerhalb von Unternehmen und Ländern. Denn wer den privaten Schlüssel kontrolliert, hat die Macht über die DNS-Informationen.

  • Am 14. April 2010 um 9:23 von Schlaumeyer

    Rechtschreibfehler
    Da müsste man noch mal drüber lesen…

    ————————————-

    Wenn ein AS allerdings absichtlich Fälschungen in Zusammenarbeit mit einer Regierung vornimmt, ist „ES“ schwierig“KOMMA“ das zu entdecken.

    Das IP-Spoofing wird nicht erkannt, weil es ganz normal ist, dass“MIT NUR EINEM S“ etwa eine IP-Adresse, die in Schweden registriert ist, von Servern auf der ganzen Welt verwendet wird.

    u.s.w.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *