Gefahr durch Anycasting: Root-Server antworten falsch

Anycasting ist eine Technologie, die nach und nach eingeführt wurde, als immer mehr Anfragen an die DNS-Root-Server eingingen. Während die Betreiber der Root-Server B, D, E und H bis heute nur einen Serverstandort verwenden und Rechenleistung sowie Bandbreite weiter ausbauen, haben die Betreiber der Server A, C, F, G, I, J, K, L und M ihre Rechner weltweit per Anycasting verteilt.

Da jeder I-Root-Server die IP-Adresse 192.36.148.17 besitzt, hat der Endanwender keinen Einfluss darauf, welchen Root-Server er wirklich erreicht. Auch kleine und mittelgroße Provider, die ihre Internetanbindung wiederum über große Tier-1-Provider wie Level3, Verizon (vormals UUnet) oder TeliaSonera beziehen, können nur durch die Wahl eines anderen Tier-1-Providers indirekt Einfluss nehmen.

Das IP-Protokoll ist bewusst so ausgelegt, dass in einem Paket nur die IP-Adressen von Absender und Empfänger enthalten sind. Anhand der Empfängeradresse entscheidet ein Router, an welchen direkt erreichbaren Knoten er das Paket weiterleitet. Ein „Pfad“, den das Paket nehmen muss, lässt sich nicht angeben. Gegen Manipulationen würde das ohnehin nichts helfen, da ein Router einen vorgegebenen Pfad einfach ignorieren kann.

Durch Anycasting ist die Anzahl der Root-Server insgesamt auf 202 angestiegen. Das ist so lange kein Problem, wie alle Server dieselben und richtigen Antworten liefern. Allerdings zeigt das Beispiel des falschen I-Root-Servers, dass die Betreiber der Root-Server unter Umständen gar keinen Einfluss darauf haben, welche Antworten ihre Mirrorserver geben.

Auch wird deutlich, dass das Internet von einem Punkt aus weltweit verwundbar ist. China ist schon mehrmals ins Blickfeld gerückt, wenn es darum geht, ausländische Regierungen und Firmen auszuspionieren. Mit Ghostnet wurden die Rechner des Dalai-Lama-Büros infiziert, um das Laptop-Mikrofon als Wanze zu benutzen. Auch andere Regierungsstellen in insgesamt 103 waren von Ghostnet-Angriffen betroffen. Mit dem Aurora-Angriff hat sich China Zugang zu den internen Netze von Banken, High-Tech-Firmen und Rüstungsunternehmen verschafft.

Bei den jetzt bekannt gewordenen falschen Antworten des I-Root-Servers kann man von einem Irrtum ausgehen, da die Falschantworten keinem erkennbaren kriminellen Zweck dienten. Das Beispiel zeigt jedoch, dass ein Land wie China, das Kontrolle über einen Teil des Internet hat, DNS-Server auf anderen Kontinenten, beispielsweise Südamerika, beeinflussen kann. Die rekursiven DNS-Server, die eine Antwort von einem falschen Root-Server bekommt, behalten die falsche Antwort im Cache und gibt sie an ihre Clients weiter. So können große Teile des Internets auf falsche Adressen geleitet werden.