Gefahr durch Anycasting: Root-Server antworten falsch

Am 24. März machte Mauricio Vergara Ereche, DNS-Administrator bei nic.cl, dem Verwalter der chilenischen Top-Level-Domain (TLD) .cl eine erstaunliche Entdeckung: Der DNS-Root-Server i.root-servers.net lieferte falsche Antworten für Domains wie facebook.com oder twitter.com.

So antwortete der Server auf die Frage nach www.facebook.com mit der IP-Adresse 8.7.198.45. Dass es sich dabei nicht um die IP-Adresse von Facebook handelt, ist fast schon nebensächlich. Der Root-Server hätte die Aufgabe gehabt, die Frage nicht selbst zu beantworten, sondern den anfragenden Computer an die DNS-Server der TLD .com zu verweisen. Diese wiederum hätten an die Nameserver von Facebook weiterleiten müssen.

Der Root-Server i.root-servers.net wird von der schwedischen Firma Autonomica betrieben. Der Fehler wurde jedoch in China verursacht. Autonomica ist eine Tochter von Netnod, dem größten Internetaustauschknoten in Schweden. Wie bei den meisten Root-Server handelt es sich nicht um einen einzigen Rechner, sondern um mehrere Computer, die weltweit verteilt sind, jedoch unter einer einzigen IP-Adresse erreichbar sind. Diese Technologie bezeichnet man als Anycasting.

Einer dieser Rechner steht in Peking. Offensichtlich gab es in China einen Fehler im Routing, so dass die Pakete für den I-Root-Server mit der IP-Adresse 192.36.148.17 versehentlich über das chinesische Zensursystem geleitet wurden. Somit landeten die Pakete nicht beim I-Root-Server, sondern bei einem Fake-DNS-Server hinter der „großen Firewall“, auf den alle Internetnutzer innerhalb Chinas umgeleitet werden.

Durch die Fehlkonfiguration in China landete Mauricio Vergara Ereche auf dem falschen DNS-Server, der für Facebook eine falsche IP-Adresse als Antwort lieferte. Dass die chinesische Regierung absichtlich den Verkehr für ausländischen Datenverkehr hinter die „große Firewall“ geleitet hat, kann man in diesem Fall wohl ausschließen. Dennoch zeigt das Beispiel, dass das Internet an vielen Stellen verwundbar ist.