Doch keine zensurfreien DNS-Server für alle von der SPD

Ein spannendes Gerücht kursiert auf Twitter: Der Bremer Blog Evildaystar schreibt, dass die SPD "versehentlich" einen öffentlichen zensurfreien DNS-Server betreibe. Leider stimmt das nicht.

Als verfassungstreuer Bürger biete ich freie DNS-Server zur Umgehung der staatlichen Zensur an. Der Bremer Blog Evildaystar schreibt, dass ich jetzt Unterstützung direkt aus der SPD-Bundeszentrale bekomme. Leider stimmt das nicht.


Bild 1: Der primäre Nameserver der SPD löst bereitwillig auch die Domains der „Konkurrenz“ auf.

Ein Tweet wie dieser verbreitet sich heutzutage schnell. Nicht immer sind die Meldungen jedoch korrekt. Evildaystar hat in seinen Nachforschungen eine Kleinigkeit nicht berücksichtigt.

Der Blogger fand heraus, dass dns2.spd.de (IP: 195.50.146.131) der primäre autoritative Nameserver für die Domain spd.de und wahlkampf09.de ist. Hinzu kommen weitere mit der ehemaligen Volkspartei in Verbindung stehende Domains wie frankwaltersteinmeier.de. Die IP-Adresse 195.50.146.131 ist bei der RIPE auf die SPD registriert. Erstaunt war der engagierte Bremer Blogger jedoch, dass der Server auch die Anfrage nach cdu.de beantwortete, siehe Bild 1.

An den Flags in der Antwort kann man einiges erkennen: Dass kein aa-Flag gesetzt bedeutet, dass die SPD für die CDU nicht autoritativ ist. Das ist nicht weiter verwunderlich, obwohl es die SPD vielleicht gerne so hätte – wenngleich eher politisch als DNS-technisch.

Am ra-Flag erkennt man, dass der DNS-Server der Genossen bereit ist, auch jede Fremd-Domain aufzulösen, und dass es sich nicht um Informationen handelt, die zufällig im Cache stehen, weil man im Willy-Brandt-Haus mal schauen wollte, wie der Webauftritt des Noch-Koalitionspartners aussieht.

Eines hat Evildaystar jedoch nicht zu Ende gedacht: Die Tatsache, dass der SPD-Nameserver von jedermann genutzt werden kann, heißt noch nicht, dass er auch die richtigen, sprich unzensierte Antworten gibt. Wenn der Genossenserver die offiziellen Zensurserver seines Providers Vodafone (früher Arcor) als Forwarder nutzt, dann kommen von dort auch die vom BKA gefälschten Antworten, sobald Vodafone das Gesetz technisch umgesetzt hat.

Die fehlende Prüfung hole ich gerne nach: Als Inhaber der Domain free-germany.com müssen irgendwann Anfragen bei den von mir betriebenen autoritativen DNS-Servern eingehen, wenn ich den SPD-Server danach frage. Fragt sich nur, ob sie von dns2.spd.de selbst oder von Forwardern kommen. Also konfiguriere ich kurzerhand das Logging etwas "verboser" als sonst und schaue nach.


Bild 2: Die Anfragen an dns2.spd.de landen beim Nameserver von free-germany.com. Aber es wird deutlich, dass die SPD Forwarding nutzt.

Die Anfragen, die ich an dns2.spd.de gestellt habe, gehen auf meinem Server von den IP-Adressen 195.50.140.69 und 195.50.140.133 ein. Das wiederum muss nicht heißen, dass der SPD-Server seine rekursiven Fragen direkt an diese IP-Adressen forwardet.

Weitere Nachforschungen ergeben, dass 195.50.140.69 per PTR-Record auf dns5-p2.arcor-ip.de auflöst. 195.50.140.133 hat keinen PTR-Record. Beide IP-Adressen tauchen in der DNS-Server-Liste von Vodafone/Arcor nicht auf. Dort befinden sich die Server dns1.arcor-ip.de bis dns11.arcor-ip.de, wobei dns10.arcor-ip.de (195.50.140.250) wohl seit längerem nicht mehr existiert. Arcor-Kunden bekommen nur dns1.arcor-ip.de und dns2.arcor-ip.de automatisch konfiguriert. Da es wohl ab und zu Probleme mit den beiden gibt, kann man bei der Hotline die restlichen Server erfragen.

Ich finde heraus, dass Anfragen zur Domain free-germany.com, die ich an dns5.arcor-ip.de stelle auf meinem DNS-Server genauso von dns5-p2.arcor-ip.de eintrudeln, wie die von dns2.spd.de. Das lässt es als sehr wahrscheinlich erscheinen, dass die SPD als Forwarder unter anderem dns5.arcor-ip.de einsetzt. Der gehört jedoch zu den offiziellen Arcor-Servern, die jeder Kunde bei der Hotline bekommt. Die Server dns<x>-p<y>.arcor-ip.de sind vermutlich nur zusätzliche Netzwerkinterfaces der jeweiligen Server mit dem Namen dns<x>.arcor-ip.de, wobei das p für Port stehen könnte.

Theoretisch besteht natürlich die Möglichkeit, dass Arcor nur die beiden für Kunden automatisch konfigurierten Server dns1.arcor-ip.de und dns2.arcor-ip.de vom BKA zensieren lässt, während die anderen frei bleiben. Dann würde auch der SPD-Server korrekte Antworten liefern. Davon ist jedoch nicht auszugehen.

Obwohl die Geschichte vom zensurfreien DNS-Server von der Zensurpartei mit an Sicherheit grenzender Wahrscheinlichkeit nicht stimmt, kann man trotzdem lernen, dass weder Vodafone/Arcor noch die SPD-eigene Firma Office Consult GmbH, die den Genossenserver betreibt, ausreichende Kenntnisse über den Betrieb von DNS-Servern besitzen.


Bild 3: Die SPD erzählt jedem, der es wissen will, dass ihr DNS-Server in zehn Sekunden gekapert werden kann. Der zensurfreie Server ns1.free-germany.com liefert eine andere Information.

Der Bind-Sever der SPD liefert auf den Befehl dig +short @dns2.spd.de version.bind txt ch brav seine Versionsnummer. Man kann in wirklich jeder Anleitung nachlesen, dass man das nicht zulassen soll – insbesondere dann nicht, wenn die Antwort „9.3.1“ lautet, denn alle Versionen vor 9.3.5-P2 können mit der Kaminsky-Attacke in zehn Sekunden geknackt werden. So kann möglicherweise jedermann den Genossen im Willy-Brandt-Haus beliebige Webseiten umleiten, wohin er will – falls man dort überhaupt dns2.spd.de verwendet. Ansonsten muss man sich jedoch die Frage stellen, warum der Server rekursiv auflöst und das auch noch für alle.

Arcor/Vodafone ist bei seiner DNS-Konfiguration kaum besser. So lässt sich leicht nachvollziehen, dass auch alle Arcor-Server für jedermann eine rekursive Auflösung erlauben. Dass ein Provider das zulässt, ist zumindest unüblich und bietet eine riesige Angriffsfläche für DDoS-Attacken auf seine Zensurserver. Wenn ein Provider seine Server nur von seinen Kunden nutzen lässt, kann er anhand der IP-Adresse sehen, wer den Angriff ausführt und strafrechtlich dagegen vorgehen. Außerhalb seines Netzes muss er dazu den Provider des Angreifers befragen. Das kann schwierig werden, wenn dieser beispielsweise in der Ukraine sitzt.

Bei vielen anderen freiwillig zensierenden Providern gibt es teilweise noch schlimmere DNS-Probleme. Wikileaks darf auf jeden Fall schon einmal Platz für die erste BKA-Sperrliste schaffen.

Neueste Kommentare 

10 Kommentare zu Doch keine zensurfreien DNS-Server für alle von der SPD

Kommentar hinzufügen
  • Am 7. August 2009 um 10:57 von evil daystar

    DNS-Root-Server
    thx, für deine Recherche. Aber was ist mit ?dig @195.50.146.131 cdu.de?:
    […]
    ;; AUTHORITY SECTION:
    de. 983 IN NS C.DE.NET.
    de. 983 IN NS F.NIC.de.
    de. 983 IN NS L.DE.NET.
    de. 983 IN NS S.DE.NET.
    de. 983 IN NS Z.NIC.de.
    de. 983 IN NS A.NIC.de.
    […]

    • Am 7. August 2009 um 11:18 von Christoph H. Hochstätter

      AW: DNS-Root-Server
      Das kann schon dabei rauskommen. Mit "dig @195.50.146.131 cdu.de" macht man eine A-Query. Man beuaftragt den Server also nur, die IP-Adresse von cdu.de herauszufinden. Das macht er ja auch

      In der Authority-Section kommen die bestmöglichen Nameserver, die dns2.spd.de aus dem Cache kennt. Das können die Root-Server (a.root-servers.net, etc.) sein, wie im beschriebenen Fall die TLD-Server der .de-Domain oder eben die autoritativen Server für cdu.de sein.

      Man kann mit "dig @195.50.146.131 cdu.de NS" den Server explizit beauftragen, die Nameserver von cdu.de herauszufinden. Dann stehen die erstmal im Cache von dns2.spd.de (195.50.146.131). Eine nachfolgende Query "dig @195.50.146.131 cdu.de" gibt dann für die Cachedauer immer die Server von cdu.de an (wall.cdu.de, ns1.arcor-ip.de, etc.)

      • Am 7. August 2009 um 11:42 von Jali

        AW: AW: DNS-Root-Server
        Spätestens nach der x-ten Anfrage, müßten aber die gleichen Ergebnisse kommen wie bei Dir, irgendwann hat ja der Arcor-Server die Adresse auch im Cache. Da nunmehr auch die einfache Abfrage mit dig, dasselbe Ergebnis liefert, wie bei Dir, spricht einiges dafür, das man bei der SPD im Laufe des gestrigen Tages den Forwarder eingetragen hat. Die werden ja mitbekommen haben, was los war.

        • Am 7. August 2009 um 11:56 von evil daystar

          AW: AW: AW: DNS-Root-Server
          Die Reaktion der SPD: http://evildaystar.de/2009/08/spd-reagiert-auf-dns-server-problem/

        • Am 7. August 2009 um 12:24 von Christoph H. Hochstätter

          AW: AW: AW: DNS-Root-Server
          Nein, ist leider nicht so, siehe meinen Kommentar bei http://evildaystar.de/2009/08/spd-reagiert-auf-dns-server-problem/comment-page-1/#comment-687

          Mit wäre es ja auch lieber, wenn es anders wäre:

          SPD bietet freien DNS-Server an -> Presse berichtet -> Unfähiger Admin versucht Schadensbegrezung -> Alles ist noch schlimmer als vorher

          Aber so ist es nicht.

          Es muss also reichen, dass der SPD-Server freiwillig rausposaunt, dass er noch nicht gegen die Kaminsky-Attacke gepatcht ist und so von jedem in 10 Sekunden gekapert werden kann.

          Und eine DDoS-Attacke kann man auch gut fahren, weil er für alle rekusriv auflöst.

          Ist doch immerhin etwas ;-)

  • Am 7. August 2009 um 13:00 von Christoph H. Hochstätter

    Gerade noch etwas Lustiges entdeckt
    Der SPD-Server erlaubt auch AXFR für alle. Securitymäßig scheinen die Leute der SPD-eigenen Office-Consult gut drauf zu sein ;-)

    Wenn es schon keinen gläsernen Staat gibt, dann wenigstens eine gläserne Partei.

    Man probiere mal den Befehl "host -a -l spd.de dns2.spd.de"

  • Am 7. August 2009 um 14:10 von Erwin Feiler

    Hilfe!!
    > Als verfassungstreuer Bürger biete ich freie DNS-Server
    > zur Umgehung der staatlichen Zensur an

    Kann mir das nochmal jemand langsam zum Mitschreiben erklären? Was mach ich als Anwender/Surfer mit nem DNS Server? ich hab doch nur nen Browser….?

    Danke erwin

  • Am 19. August 2009 um 22:15 von Anonymous

    In bester Gesellschaft
    Die SPD sind nicht die ersten mit diesen Problemen. Resolver, AXRF und ungepatched: http://republikflucht.wordpress.com/2009/04/25/die-liebe-telekom-und-das-domain-name-system/

  • Am 5. September 2009 um 0:20 von evil daystar

    SPD erklärt ihre Bind-Version
    Johannes Boie von der Süddeutschen Zeitung hat die SPD gefragt, warum sie ihren Bind nicht updatet. Kreative Antwort der SPD-Pressestelle:

    ?Diese Sicherheitslücke wurde bereits vor langer Zeit geschlossen. Man sollte sich nicht durch die angezeigte Versionsnummer blenden lassen, diese ist frei einstellbar.?

    Siehe: http://evildaystar.de/2009/09/die-dns-server-der-spd-fortsetzung/

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *