FAQ: DNS-Verbiegungen

Antworten auf die häufigsten Fragen zu DNS-Umleitungen der Provider

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Lesezeit: 6 Min.
Von
  • Johannes Endres
Inhaltsverzeichnis

Ich versuche, unter Linux auf die Freigaben in meinem Windows-Netz zuzugreifen. Die Netzwerk-Ansicht von Nautilus zeigt mir zwar alle Server an, aber bei einem Klick darauf erscheint nur die Fehlermeldung „Einhängen des Ortes nicht möglich“. Was ist da kaputt?

Wenn ich mich über VPN in das Netzwerk meiner Firma einwähle, kann ich auf das Intranet dort nicht zugreifen. Stattdessen bekomme ich eine Such- und Werbeseite von T-Online zu sehen. Wieso?

Ich komme aus unserem Firmennetz nicht ins Internet. Mein Admin sagt mir, ich müsse einen Proxy benutzen, und der würde vollautomatisch konfiguriert. Das klappt aber offenbar nicht. Warum?

Auf meinem Notebook habe ich ein Skript, das per Ping-Befehl prüft, ob der Netzwerkdrucker unserer Firma verfügbar ist. Daheim führt das zu Fehlermeldungen, weil das Skript meint, der Drucker sei erreichbar, was aber gar nicht stimmt.

Alle diese Symptome können daher kommen, dass Ihr Provider in die Namensauflösung im Domain Name System eingreift und die Antworten verändert. Er liefert dann die Adresse eines seiner Server zurück, wenn die richtige Antwort eigentlich „den Namen gibts nicht“ wäre. Die genannten Programme und Protokolle verlassen sich auf diese Fehlermeldung und funktionieren nicht korrekt, wenn sie stattdessen eine falsche IP-Adresse bekommen.

Kann ich die DNS-Verbiegung irgendwie abschalten?

Ja. T-Online und Alice regeln das über ihre Online-Kundencenter im Browser. Entweder geben Sie einen vollkommen unsinnigen Domain-Namen in Ihren Browser ein, um die Suchergebnisseite aufzurufen. Oder Sie nutzen unseren c’t-Link, unter dem wir die Abschalt-Links zusammengestellt haben. Damit die Umstellung wirksam wird, müssen Sie anschließend Ihren Router veranlassen, sich erneut ins Internet einzuwählen.

Als Kabel-Deutschland-Kunde rufen Sie die kostenlose Nummer 08 00/5 26 66 25 an. Dort lassen Sie sich mit einem Mitarbeiter verbinden, der Internet-Support leisten darf. Nach Aussage von Kabel Deutschland kann dieser die „DNS-Suchhilfe“ für Ihren Anschluss deaktivieren. Bei unseren Stichproben waren jedoch nicht alle Mitarbeiter darüber informiert. Sie müssen also eventuell hartnäckig bleiben.

Kann ich nicht einfach OpenDNS benutzen?

Entgegen dem Anschein, den der Name erweckt, ist OpenDNS ein konfigurierbarer Internet-Filter, der zum Beispiel surfende Kinder schützen soll. Dazu beantwortet der Dienst DNS-Anfragen nach gesperrten Seiten mit der Adresse eines Servers, der eine Sperrmeldung liefert. Zur Grundfunktion gehört außerdem eine „Tippfehlerkorrektur“, die der Ihres Providers ähnelt.

Kann ich auch selbst einen DNS-Server betreiben? Umgehe ich damit Filter und gefälschte Antworten?

Ja, das würde funktionieren. Ihr DNS-Server würde dann die DNS-Hierarchie selbst abklappern. Das erzeugt allerdings zusätzlichen Netzwerkverkehr und Last auf den beteiligten Servern. Und es dauert etwas länger als die Frage bei einem DNS-Server, der die Antwort im Cache hat. Außerdem ist es nicht ganz einfach, so einen Server aufzusetzen und er erfordert einen ständig laufenden Rechner, der dauernd Strom verbraucht.

Gibt es denn keine DNS-Server, die keine Antworten fälschen?

Doch. Sie müssen dafür allerdings einen vertrauenswürdigen Betreiber finden. Denn wenn jemand Ihre Zugriffe auf www.0815-Bank.de auf seinen Server umleiten kann, ist der Weg zu Ihren PINs und TANs nicht mehr weit. Eine sinnvolle Quelle ist die Liste frei verwendbarer DNS-Server beim Chaos Computer Club (siehe c’t-Link).

Allerdings gibt es noch eine Stolperfalle: Es kann sein, dass die DNS-Server der Provider unterschiedliche Adressen zurückliefern, je nachdem, von wo die Anfrage kommt. So hatte früher www.kabeldeutschland.de für Zugriffe aus dem eigenen Netz eine andere Adresse als für Zugriffe aus dem Internet.

Wenn Sie einen der frei verwendbaren Server nutzen, fragt der immer über das Internet beim DNS Ihres Providers an. Obwohl Sie also innerhalb des Netzes sind, benutzen Sie dann immer die externen Zugänge.

Okay, das Risiko gehe ich ein. Wie bekomme ich meine Rechner dazu, den externen DNS-Server zu benutzen?

Das hängt von Ihrem Router ab. Der enthält selbst einen DNS-Server, der nichts anderes tut, als die Anfragen an den Server weiterzuleiten, den der Provider bei der Einwahl mitteilt. Das Eleganteste wäre es, dem Router einen anderen Partner-Server beizubringen. Uns ist allerdings kein Router bekannt, bei dem man für einen DSL-Zugang nur die DNS-Server-Adresse umstellen kann.

Dass er selbst der DNS-Server fürs lokale Netz ist, teilt der Router den PCs per DHCP mit. Bei den meisten Router-Modellen kann man in der DHCP-Konfiguration eintragen, dass er den PCs stattdessen die Adresse des externen freien DNS-Servers zuweisen soll. Dann fragen die Clients direkt den externen Server.

Bei meinem Router (einer Fritzbox) kann ich in den DHCP-Einstellungen keinen DNS-Server eintragen. Bin ich jetzt verloren?

Nein. In modernen PC-Betriebssystemen kann man den DNS-Server unabhängig von den anderen Netzwerk-Parametern einstellen.

Unter Windows öffnen Sie die Eigenschaften Ihrer LAN- oder WLAN-Verbindung und doppelklicken auf dem Reiter „Netzwerk“ das „Internetprotokoll Version 4“. Im nächsten Dialog lassen Sie oben den Knopf bei „IP-Adresse automatisch beziehen“ stehen und klicken unten auf „Folgende DNS-Serveradressen verwenden“. Dann können Sie zwei verschiedene Server eintragen.

Unter Mac OS klicken Sie in den Netzwerkeinstellungen auf „Weitere Optionen“. Im nächsten Dialog gibt es eine eigene Seite für die DNS-Server. Die per DHCP bezogenen Adressen stehen hier grau und verschwinden, sobald Sie über den Plus-Knopf unten eigene Server-Adressen hinzufügen.

www.ct.de/1011168 ()