Gefahr durch Anycasting: Root-Server antworten falsch

Die derzeit gängige Praxis, Root-DNS-Server per Anycast weltweit zu verteilen, birgt eine ganze Reihe von Risiken. Dies gilt insbesondere dann, wenn Root-Server auch in Ländern stehen, von denen man vermuten muss, dass sie von staatlicher Seite aus gezielte Industriespionage betreiben.

Der Betreiber eines Root-Servers, der Instanzen seiner Server in Staaten wie China einrichtet, muss sich darüber im Klaren sein, dass er keine Kontrolle darüber hat, wer wirklich unter seiner Anycast-IP-Adresse erreichbar ist. Solche Szenarien sind keine Utopie, denn Angriffe wie Ghostnet und Aurora zeigen, dass manche Staaten bei Spionage gegen Firmen und Regierungen wenig Skrupel kennen.

Bei dem jetzt bekannt gewordenen Fall der falschen Antworten des I-Root-Servers in China muss man sich natürlich fragen, warum der verantwortliche Carrier den Verkehr aus Chile ausgerechnet an die chinesische Instanz des I-Root-Servers weitergeroutet hat. Allerdings hat man weder als Firma noch als Regierung darauf Einfluss.

In Europa und USA scheint eine konkrete Gefahr derzeit nicht gegeben. Alle Root-Server, die per Anycasting verteilt sind, haben mindestens einen Standort in den USA und in Europa. Grundsätzlich ist es daher für die Carrier günstiger, einen Standort auf demselben Kontinent zu wählen.

Dennoch sind deutsche Internetnutzer nicht hundertprozentig davor geschützt, dass ihre Kommunikation mit einem DNS-Server aus gecachten Antworten besteht, die aus China stammen. Fällt eine Verbindung aus, wird ein Carrier als Ersatzroute die Verbindung zur chinesischen Instanz eines Root-Servers wählen. Dort müssen Industriespione nur auf ihre Chance warten.