Wenn die DENIC ausfällt: So bleibt die Website erreichbar

Allerdings kann es passieren, dass ein Eintrag früher aus dem Cache verschwindet als es der Domain-Inhaber vorgibt. Die Cachegröße lässt sich bei den DNS-Servern begrenzen, um Out-of-Memory-Fehler zu verhindern. In Bind9 trägt man dazu beispielsweise max-cache-size 256M; in das Configfile ein, um die Cachegröße auf 256 MByte zu setzen. Ist dieser Wert erreicht, entfernt Bind9 die ältesten Einträge.

Viele Administratoren von rekursiven Nameservern begrenzen die Cachezeit. Trägt man in Bind9 etwa max-cache-ttl 10800; ein, so speichert der Server einen Eintrag maximal drei Stunden, auch wenn der Domaininhaber eine länge Dauer vorgegeben hat. Die Begrenzung hat oft sicherheitstechnische Hintergründe. Sollte einem Server mit einem Cache-Poisoning-Angriff, etwa einer Kaminsky-Attacke, ein gefälschter Eintrag untergeschoben worden sein, wird er nach spätestens drei Stunden wieder gelöscht.

Betreiber von rekursiven DNS-Servern sollten aber überlegen, dass bisher mit gegen den Kaminsky-Angriff gepatchten Server kein Cache-Poisoning-Angriff bekannt geworden ist. Zudem bietet eine Cachezeit von 3 Stunden keinen wirklichen Schutz. Man sollte daher den maximalen TTL-Wert auf mindestens 7 Tage (604800 Sekunden) setzen oder auf die Begrenzung ganz verzichten.

Domaininhaber, die ihre Erreichbarkeit für möglichst viele Anwender auch während eines Ausfalls der TLD-Server anstreben, sollten sowohl für ihre autoritativen DNS-Server als auch für ihre anderen Einträge einen TTL-Wert von mindestens 24 Stunden festlegen. Falls www.example.com aus dem Cache eines rekursiven Servers genau dann verschwindet, wenn die TLD-Server nicht richtig funktionieren, besteht die Chance, dass die NS-Einträge zu einem anderen Zeitpunkt ablaufen. Dann kann der rekursive Server den Eintrag für www.example.com von den autoritativen DNS-Servern holen, ohne dass dazu die Server der TLD betriebsbereit sein müssen.

In den meisten Fällen sind Cachezeiten von 24 Stunden und höher kein Problem. Wenn sich IP-Adressen einmal ändern, sollte man rechtzeitig vorher die TTL-Werte reduzieren. Wer allerdings eine dynamische IP-Adresse besitzt, die sich täglich ändert, muss mit kleinen TTL-Werten zwischen 30 und 60 Sekunden arbeiten.

Ferner sollte man darauf achten, dass der Server möglichst vollständige Antworten mit Authority und Additional Section gibt, siehe Bild 3. Wenn der Nameserver eines Benutzers einen Eintrag unter Umgehung des TLD-Servers beim autoritativen Server abfragt, bekommt er unaufgefordert die DNS-Server und deren IP-Adresse mitgeliefert – und zwar mit neuer Cachezeit. Im Beispiel von Bild 3 kann nach einer Abfrage die gesamte Domain example.com weitere 26 Stunden erreicht werden, ohne dass die Server der TLD befragt werden müssten.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

Bayerische KI-Agentur bietet KI-KOMPASS

Das KI-Werkzeug "BAIOSPHERE KI-KOMPASS" soll Unternehmen den Einstieg in KI erleichtern.

1 Woche ago

Cloudflare: Weltweiter Internettraffic wächst 2024 um 17,2 Prozent

Das Wachstum konzentriert sich wie im Vorjahr auf das zweite Halbjahr. Google dominiert bei den…

1 Woche ago

Adobe stopft kritische Löcher in Reader und Acrobat

Sie ermöglichen eine Remotecodeausführung. Angreifbar sind Acrobat DC, 2024 und 2020 sowie Reader DC und…

1 Woche ago

Dezember-Patchday: Microsoft schließt Zero-Day-Lücke

Die öffentlich bekannte und bereits ausgenutzte Schwachstelle erlaubt eine Rechteausweitung. Betroffen sind alle unterstützten Versionen…

1 Woche ago

Quantencomputer: Google meldet Durchbruch bei Fehlerkorrektur

Der neue Quantenchip Willow löst eine Herausforderung, an der seit 30 Jahren gearbeitet wird. Google…

1 Woche ago

OpenAI veröffentlicht KI-Video-Tool Sora

Es erstellt kurze Videoclips aus Textaufforderungen. Sora steht ab sofort Abonnenten von ChatGPT Plus und…

1 Woche ago