Am 24. März machte Mauricio Vergara Ereche, DNS-Administrator bei nic.cl, dem Verwalter der chilenischen Top-Level-Domain (TLD) .cl eine erstaunliche Entdeckung: Der DNS-Root-Server i.root-servers.net lieferte falsche Antworten für Domains wie facebook.com oder twitter.com.
So antwortete der Server auf die Frage nach www.facebook.com mit der IP-Adresse 8.7.198.45. Dass es sich dabei nicht um die IP-Adresse von Facebook handelt, ist fast schon nebensächlich. Der Root-Server hätte die Aufgabe gehabt, die Frage nicht selbst zu beantworten, sondern den anfragenden Computer an die DNS-Server der TLD .com zu verweisen. Diese wiederum hätten an die Nameserver von Facebook weiterleiten müssen.
Die meisten DNS-Root-Server sind derzeit weltweit per Anycasting verteilt. Steht eine Instanz in einem Land wie China, kann das durchaus eine Sicherheitsgefahr für andere Teile der Welt bedeuten (Quelle: root-servers.org, Screenshot: ZDNet).
Der Root-Server i.root-servers.net wird von der schwedischen Firma Autonomica betrieben. Der Fehler wurde jedoch in China verursacht. Autonomica ist eine Tochter von Netnod, dem größten Internetaustauschknoten in Schweden. Wie bei den meisten Root-Server handelt es sich nicht um einen einzigen Rechner, sondern um mehrere Computer, die weltweit verteilt sind, jedoch unter einer einzigen IP-Adresse erreichbar sind. Diese Technologie bezeichnet man als Anycasting.
Einer dieser Rechner steht in Peking. Offensichtlich gab es in China einen Fehler im Routing, so dass die Pakete für den I-Root-Server mit der IP-Adresse 192.36.148.17 versehentlich über das chinesische Zensursystem geleitet wurden. Somit landeten die Pakete nicht beim I-Root-Server, sondern bei einem Fake-DNS-Server hinter der „großen Firewall“, auf den alle Internetnutzer innerhalb Chinas umgeleitet werden.
Durch die Fehlkonfiguration in China landete Mauricio Vergara Ereche auf dem falschen DNS-Server, der für Facebook eine falsche IP-Adresse als Antwort lieferte. Dass die chinesische Regierung absichtlich den Verkehr für ausländischen Datenverkehr hinter die „große Firewall“ geleitet hat, kann man in diesem Fall wohl ausschließen. Dennoch zeigt das Beispiel, dass das Internet an vielen Stellen verwundbar ist.
Neueste Kommentare
4 Kommentare zu Gefahr durch Anycasting: Root-Server antworten falsch
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Rechtschreibfehler
Da müsste man noch mal drüber lesen…
————————————-
Wenn ein AS allerdings absichtlich Fälschungen in Zusammenarbeit mit einer Regierung vornimmt, ist „ES“ schwierig“KOMMA“ das zu entdecken.
Das IP-Spoofing wird nicht erkannt, weil es ganz normal ist, dass“MIT NUR EINEM S“ etwa eine IP-Adresse, die in Schweden registriert ist, von Servern auf der ganzen Welt verwendet wird.
u.s.w.
sehr interessant
ein sehr interessanter artikel. was wären denn eigentlich mögliche lösung (auch mit hinblick auf die weltweite zunahme des traffics) denn ein zentrales DNS-system kann gar keine lösung sein. denn vom prinzip her ist anycast doch eine super-sache die relativ wenig verwaltung erfordert (oder täusche ich mich da jetzt?) und trotzdem relativ zuverlässig ist. und warum ist die implementierung von DNSSEC eigentlich so ein riesending?
mfg
AW: sehr interessant
Ja, im Prinzip ist das Anycasting ein guter Weg, um viel Traffic zu „verarbeiten“. Die Schwierigkeiten von DNSSEC liegen nicht so sehr im technischen Bereich: denn neben einigen Top Level Domains wie .se für Schweden oder .org gibt es bereits einige Trust-Inseln. Und auch die Root-Zone, sprich, die Daten der Root-Servern,wird/werden noch bis Juni 2010 vollständig signiert sein. Schwierigkeiten bereitet vor allem die neuen Anforderungen an die Verwaltung der privaten Schlüssel und damit politisch-administrative Interessenkonflikte innerhalb von Unternehmen und Ländern. Denn wer den privaten Schlüssel kontrolliert, hat die Macht über die DNS-Informationen.
Wirklich nur Technik – keine Politik?
Es fällt schwez zu glauben, dass das ganze nur ein Malheur gewesen sein soll. Nicht in China. Wie der Autor selbst festgestellt hat, beseitzt dieses Land einen katastrophalen Ruf. Die Anycase/DNSSEC-Technik erscheint mir sinnvoll. Doch Technik und Kryptographie ist immer nur die eine Seite. Vertrauen und Politik die andere. Daher lautet die Tabu-Frage: Wieso stehen solch sensitive Services in fragwürdigen Ländern wie China? Wieso ist ein Disconnect von Ländern wie China ein Tabu? Jaja, die Wirtschaft und die Geschäftemacher…die freie Welt sollte solche Staaten mindestens geneauer „regulieren“ und ihnen solche Möglichkeiten gar nichts erst einräumen. „Versehen“. Da lachen doch die Hühner. Das waren skrupellos berechnete Tests! Hier ist doch wieder was im Busch bei den Kommis!!