Gefahr durch Anycasting: Root-Server antworten falsch

Ende März stellte ein DNS-Verwalter in Chile fest, dass ihm ein schwedischer Root-Server falsche Antworten gab. Die Ursache dafür lag in China. ZDNet zeigt, wie sich weltweit verteilte DNS-Server für Spionagezwecke einsetzen lassen.

Am 24. März machte Mauricio Vergara Ereche, DNS-Administrator bei nic.cl, dem Verwalter der chilenischen Top-Level-Domain (TLD) .cl eine erstaunliche Entdeckung: Der DNS-Root-Server i.root-servers.net lieferte falsche Antworten für Domains wie facebook.com oder twitter.com.

So antwortete der Server auf die Frage nach www.facebook.com mit der IP-Adresse 8.7.198.45. Dass es sich dabei nicht um die IP-Adresse von Facebook handelt, ist fast schon nebensächlich. Der Root-Server hätte die Aufgabe gehabt, die Frage nicht selbst zu beantworten, sondern den anfragenden Computer an die DNS-Server der TLD .com zu verweisen. Diese wiederum hätten an die Nameserver von Facebook weiterleiten müssen.

Die meisten DNS-Root-Server sind derzeit weltweit per Anycasting verteilt. Steht eine Instanz in einem Land wie China, kann das durchaus eine Sicherheitsgefahr für andere Teile der Welt bedeuten (Quelle: root-servers.org, Screenshot: ZDNet).
Die meisten DNS-Root-Server sind derzeit weltweit per Anycasting verteilt. Steht eine Instanz in einem Land wie China, kann das durchaus eine Sicherheitsgefahr für andere Teile der Welt bedeuten (Quelle: root-servers.org, Screenshot: ZDNet).

Der Root-Server i.root-servers.net wird von der schwedischen Firma Autonomica betrieben. Der Fehler wurde jedoch in China verursacht. Autonomica ist eine Tochter von Netnod, dem größten Internetaustauschknoten in Schweden. Wie bei den meisten Root-Server handelt es sich nicht um einen einzigen Rechner, sondern um mehrere Computer, die weltweit verteilt sind, jedoch unter einer einzigen IP-Adresse erreichbar sind. Diese Technologie bezeichnet man als Anycasting.

Einer dieser Rechner steht in Peking. Offensichtlich gab es in China einen Fehler im Routing, so dass die Pakete für den I-Root-Server mit der IP-Adresse 192.36.148.17 versehentlich über das chinesische Zensursystem geleitet wurden. Somit landeten die Pakete nicht beim I-Root-Server, sondern bei einem Fake-DNS-Server hinter der „großen Firewall“, auf den alle Internetnutzer innerhalb Chinas umgeleitet werden.

Durch die Fehlkonfiguration in China landete Mauricio Vergara Ereche auf dem falschen DNS-Server, der für Facebook eine falsche IP-Adresse als Antwort lieferte. Dass die chinesische Regierung absichtlich den Verkehr für ausländischen Datenverkehr hinter die „große Firewall“ geleitet hat, kann man in diesem Fall wohl ausschließen. Dennoch zeigt das Beispiel, dass das Internet an vielen Stellen verwundbar ist.

Themenseiten: Hacker, Kommunikation, Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Gefahr durch Anycasting: Root-Server antworten falsch

Kommentar hinzufügen
  • Am 14. April 2010 um 9:23 von Schlaumeyer

    Rechtschreibfehler
    Da müsste man noch mal drüber lesen…

    ————————————-

    Wenn ein AS allerdings absichtlich Fälschungen in Zusammenarbeit mit einer Regierung vornimmt, ist „ES“ schwierig“KOMMA“ das zu entdecken.

    Das IP-Spoofing wird nicht erkannt, weil es ganz normal ist, dass“MIT NUR EINEM S“ etwa eine IP-Adresse, die in Schweden registriert ist, von Servern auf der ganzen Welt verwendet wird.

    u.s.w.

  • Am 14. April 2010 um 9:52 von Robert

    sehr interessant
    ein sehr interessanter artikel. was wären denn eigentlich mögliche lösung (auch mit hinblick auf die weltweite zunahme des traffics) denn ein zentrales DNS-system kann gar keine lösung sein. denn vom prinzip her ist anycast doch eine super-sache die relativ wenig verwaltung erfordert (oder täusche ich mich da jetzt?) und trotzdem relativ zuverlässig ist. und warum ist die implementierung von DNSSEC eigentlich so ein riesending?

    mfg

    • Am 19. April 2010 um 13:34 von Matthias Maier

      AW: sehr interessant
      Ja, im Prinzip ist das Anycasting ein guter Weg, um viel Traffic zu „verarbeiten“. Die Schwierigkeiten von DNSSEC liegen nicht so sehr im technischen Bereich: denn neben einigen Top Level Domains wie .se für Schweden oder .org gibt es bereits einige Trust-Inseln. Und auch die Root-Zone, sprich, die Daten der Root-Servern,wird/werden noch bis Juni 2010 vollständig signiert sein. Schwierigkeiten bereitet vor allem die neuen Anforderungen an die Verwaltung der privaten Schlüssel und damit politisch-administrative Interessenkonflikte innerhalb von Unternehmen und Ländern. Denn wer den privaten Schlüssel kontrolliert, hat die Macht über die DNS-Informationen.

  • Am 20. April 2010 um 18:20 von Der Aufrechte

    Wirklich nur Technik – keine Politik?
    Es fällt schwez zu glauben, dass das ganze nur ein Malheur gewesen sein soll. Nicht in China. Wie der Autor selbst festgestellt hat, beseitzt dieses Land einen katastrophalen Ruf. Die Anycase/DNSSEC-Technik erscheint mir sinnvoll. Doch Technik und Kryptographie ist immer nur die eine Seite. Vertrauen und Politik die andere. Daher lautet die Tabu-Frage: Wieso stehen solch sensitive Services in fragwürdigen Ländern wie China? Wieso ist ein Disconnect von Ländern wie China ein Tabu? Jaja, die Wirtschaft und die Geschäftemacher…die freie Welt sollte solche Staaten mindestens geneauer „regulieren“ und ihnen solche Möglichkeiten gar nichts erst einräumen. „Versehen“. Da lachen doch die Hühner. Das waren skrupellos berechnete Tests! Hier ist doch wieder was im Busch bei den Kommis!!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *