Grundsätzlich kann jeder Internetprovider, der selbst Autonomes System (AS) ist, den Verkehr von und zu einer bestimmten IP-Adresse umleiten und Manipulationen vornehmen. Bei Unicast-Adressen fällt das allerdings im Peering recht schnell auf, wenn man einmal davon ausgeht, dass die großen Tier-1- und Tier-2-Provider grundsätzlich gegen IP-Spoofing vorgehen.
Wenn ein AS allerdings absichtlich Fälschungen in Zusammenarbeit mit einer Regierung vornimmt, ist es schwierig das zu entdecken. Das gilt insbesondere für Anycast-Adressen. Das IP-Spoofing wird nicht erkannt, weil es ganz normal ist, dass etwa eine IP-Adresse, die in Schweden registriert ist, von Servern auf der ganzen Welt verwendet wird.
Der Betreiber eines rekursiven DNS-Servers, etwa ein großer Provider für Privatkunden auf einem anderen Kontinent, wird keinen Verdacht schöpfen, wenn er Pakete bekommt, die von der offiziellen IP-Adresse des I-Root-Servers stammen. Er kann in der Regel nur erkennen, dass sie von seinem Tier-1-Carrier beim Austauschknoten angeliefert wurden.
Die Fälschung erkennt der Betreiber nur, wenn er den Inhalt untersucht. Dann ist es offensichtlich, dass ein Root-Server direkt eine Adresse wie www.example.com aufgelöst hat. Außerdem kann er mit einem Traceroute erkennen, dass die Adresse über China geroutet wird, was aber nicht grundsätzlich verdächtig ist, schließlich steht eine offizielle Instanz des I-Root-Servers dort.
Generell ist es für einen Industriespion, der mit Hilfe eines Staates an Informationen kommen will, keine gute Idee, grundsätzlich falsche Informationen über einen DNS-Server zu verteilen. Eine Manipulation die große Teile eines Kontinents betrifft, dürfte schnell auffallen. Allerdings ist es möglich, gezielt einzelne Firmen zu treffen, ohne dabei entdeckt zu werden. Dazu muss der Spion selektiv die IP-Adressen der Firmen, die er ausspionieren möchte, herausfiltern, und nur an diese falsche DNS-Informationen liefern.
Auch ist es keine gute Idee, für einen gezielten Angriff IP-Adressen von Websites wie Facebook oder Twitter zu fälschen. Es fällt weniger auf, eine Site zu manipulieren, die von der betroffenen Firma häufig besucht wird, etwa die Extranet-Website eines Geschäftspartners. Dazu muss sich der Angreifer natürlich ein SSL-Zertifikat beschaffen, das auf die Website ausgestellt ist und das von den gängigen Browsern akzeptiert wird. Einem Staat dürfte die Beschaffung eines solchen Zertifikats jedoch leicht möglich sein.
Gegen Manipulationen von DNS-Servern kann nur DNSSEC helfen. Damit wird verhindert, dass ein Angreifer gefälschte, aber korrekt signierte Antworten liefern kann. Damit DNSSEC praktikabel funktioniert, muss es jedoch weltweit in der gesamten Domainhierarchie implementiert sein. Das wird aber noch viele Jahre dauern. Bisher existieren nur einzelne "Vertrauensinseln", deren Trust-Anchors man sich jeweils einzeln beschaffen muss.
Neueste Kommentare
4 Kommentare zu Gefahr durch Anycasting: Root-Server antworten falsch
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Rechtschreibfehler
Da müsste man noch mal drüber lesen…
————————————-
Wenn ein AS allerdings absichtlich Fälschungen in Zusammenarbeit mit einer Regierung vornimmt, ist „ES“ schwierig“KOMMA“ das zu entdecken.
Das IP-Spoofing wird nicht erkannt, weil es ganz normal ist, dass“MIT NUR EINEM S“ etwa eine IP-Adresse, die in Schweden registriert ist, von Servern auf der ganzen Welt verwendet wird.
u.s.w.
sehr interessant
ein sehr interessanter artikel. was wären denn eigentlich mögliche lösung (auch mit hinblick auf die weltweite zunahme des traffics) denn ein zentrales DNS-system kann gar keine lösung sein. denn vom prinzip her ist anycast doch eine super-sache die relativ wenig verwaltung erfordert (oder täusche ich mich da jetzt?) und trotzdem relativ zuverlässig ist. und warum ist die implementierung von DNSSEC eigentlich so ein riesending?
mfg
AW: sehr interessant
Ja, im Prinzip ist das Anycasting ein guter Weg, um viel Traffic zu „verarbeiten“. Die Schwierigkeiten von DNSSEC liegen nicht so sehr im technischen Bereich: denn neben einigen Top Level Domains wie .se für Schweden oder .org gibt es bereits einige Trust-Inseln. Und auch die Root-Zone, sprich, die Daten der Root-Servern,wird/werden noch bis Juni 2010 vollständig signiert sein. Schwierigkeiten bereitet vor allem die neuen Anforderungen an die Verwaltung der privaten Schlüssel und damit politisch-administrative Interessenkonflikte innerhalb von Unternehmen und Ländern. Denn wer den privaten Schlüssel kontrolliert, hat die Macht über die DNS-Informationen.
Wirklich nur Technik – keine Politik?
Es fällt schwez zu glauben, dass das ganze nur ein Malheur gewesen sein soll. Nicht in China. Wie der Autor selbst festgestellt hat, beseitzt dieses Land einen katastrophalen Ruf. Die Anycase/DNSSEC-Technik erscheint mir sinnvoll. Doch Technik und Kryptographie ist immer nur die eine Seite. Vertrauen und Politik die andere. Daher lautet die Tabu-Frage: Wieso stehen solch sensitive Services in fragwürdigen Ländern wie China? Wieso ist ein Disconnect von Ländern wie China ein Tabu? Jaja, die Wirtschaft und die Geschäftemacher…die freie Welt sollte solche Staaten mindestens geneauer „regulieren“ und ihnen solche Möglichkeiten gar nichts erst einräumen. „Versehen“. Da lachen doch die Hühner. Das waren skrupellos berechnete Tests! Hier ist doch wieder was im Busch bei den Kommis!!