Wenn die DENIC ausfällt: So bleibt die Website erreichbar

Allerdings kann es passieren, dass ein Eintrag früher aus dem Cache verschwindet als es der Domain-Inhaber vorgibt. Die Cachegröße lässt sich bei den DNS-Servern begrenzen, um Out-of-Memory-Fehler zu verhindern. In Bind9 trägt man dazu beispielsweise max-cache-size 256M; in das Configfile ein, um die Cachegröße auf 256 MByte zu setzen. Ist dieser Wert erreicht, entfernt Bind9 die ältesten Einträge.

Viele Administratoren von rekursiven Nameservern begrenzen die Cachezeit. Trägt man in Bind9 etwa max-cache-ttl 10800; ein, so speichert der Server einen Eintrag maximal drei Stunden, auch wenn der Domaininhaber eine länge Dauer vorgegeben hat. Die Begrenzung hat oft sicherheitstechnische Hintergründe. Sollte einem Server mit einem Cache-Poisoning-Angriff, etwa einer Kaminsky-Attacke, ein gefälschter Eintrag untergeschoben worden sein, wird er nach spätestens drei Stunden wieder gelöscht.

Betreiber von rekursiven DNS-Servern sollten aber überlegen, dass bisher mit gegen den Kaminsky-Angriff gepatchten Server kein Cache-Poisoning-Angriff bekannt geworden ist. Zudem bietet eine Cachezeit von 3 Stunden keinen wirklichen Schutz. Man sollte daher den maximalen TTL-Wert auf mindestens 7 Tage (604800 Sekunden) setzen oder auf die Begrenzung ganz verzichten.

Domaininhaber, die ihre Erreichbarkeit für möglichst viele Anwender auch während eines Ausfalls der TLD-Server anstreben, sollten sowohl für ihre autoritativen DNS-Server als auch für ihre anderen Einträge einen TTL-Wert von mindestens 24 Stunden festlegen. Falls www.example.com aus dem Cache eines rekursiven Servers genau dann verschwindet, wenn die TLD-Server nicht richtig funktionieren, besteht die Chance, dass die NS-Einträge zu einem anderen Zeitpunkt ablaufen. Dann kann der rekursive Server den Eintrag für www.example.com von den autoritativen DNS-Servern holen, ohne dass dazu die Server der TLD betriebsbereit sein müssen.

In den meisten Fällen sind Cachezeiten von 24 Stunden und höher kein Problem. Wenn sich IP-Adressen einmal ändern, sollte man rechtzeitig vorher die TTL-Werte reduzieren. Wer allerdings eine dynamische IP-Adresse besitzt, die sich täglich ändert, muss mit kleinen TTL-Werten zwischen 30 und 60 Sekunden arbeiten.

Ferner sollte man darauf achten, dass der Server möglichst vollständige Antworten mit Authority und Additional Section gibt, siehe Bild 3. Wenn der Nameserver eines Benutzers einen Eintrag unter Umgehung des TLD-Servers beim autoritativen Server abfragt, bekommt er unaufgefordert die DNS-Server und deren IP-Adresse mitgeliefert – und zwar mit neuer Cachezeit. Im Beispiel von Bild 3 kann nach einer Abfrage die gesamte Domain example.com weitere 26 Stunden erreicht werden, ohne dass die Server der TLD befragt werden müssten.

Themenseiten: Kommunikation, Security-Praxis, Server, Servers

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Wenn die DENIC ausfällt: So bleibt die Website erreichbar

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *