Die DNS-Rootserver und die Denial-of-Service-Attacken
Nach Auskünften aus dem Kreis der Betreiber der Rootserver im des Internet liefen die Attacken auf die Rootserver vor gut zwei Wochen über mehrere Länder. Eine Konsequenz bei Verisign/NSI: Der J-Rootserver zieht um.
IP-Traffic am M-Rootserver während der DDoS-Attacken im Oktober, Quelle: M.ROOT-SERVERS.NET/Wide Project
Nach Auskünften aus dem Kreis der Betreiber der Rootserver im Domain Name System (DNS) des Internet liefen die Attacken auf die Rootserver vor gut zwei Wochen über kompromittierte Server in mehreren Ländern. FBI-Chef Robert Mueller hatte in einer Rede vor Vertretern der Informational Technology Association of America (ITAA) die USA und Südkorea als Ursprung der Anfragenflut genannt, die sieben der 13 Rootserver (a bis m) bis an den Rand ihrer Kapazität auslastete.
F-Root-Betreiber Paul Vixie, Mitentwickler des DNS-Server Bind, hatte dagegen unmittelbar nach der größten Denial-of-Service-Attacke seinerseits die eingehenden Anfragen zu Servern in mindestens vier Ländern zurückverfolgt. "Übrigens alle US-freundlich", sagte Vixie gegenüber heise online. Ein terroristischer Hintergrund sei damit wohl auszuschließen. "Zwei der Server waren ok, zwei waren nicht so ganz ok und sieben konnte ich von hier aus überhaupt nicht erreichen", so das Fazit von Vixie zum Verlauf des einstündigen Angriffs (siehe Grafik über den IP-Traffic am M-Rootserver im entsprechenden Monat). Die verwendeten IP-Adressen waren zufällig ausgewählte, aber real existierende Adressen.
Da keiner vollständig zusammengebrochen ist, Nutzer in aller Welt den Angriff nicht bemerkten und das System grundsätzlich seine Robustheit bewiesen hat, ist für die Internet Corporation for Assigned Names and Numbers (ICANN), private Aufsicht über die Rootserver, der Fall erst einmal abgeschlossen. "Um die Verfolgung der Täter kümmern wir uns nicht," sagte ICANN-Technik-Chef John Crain.
Keine Rückschlüsse
Das FBI hält sich unter Hinweis auf die "laufenden Ermittlungen" zu allen weiteren Fragen bedeckt. Warum der FBI-Chef ausgerechnet die USA und Südkorea genannt hat, bleibt damit Gegenstand von Spekulationen. Muellers Bemerkung entstammt einer Rede über die Restrukturierung der Cybercrime-Einheiten des FBI, allen voran des National Infrastructure Protection Center (NIPC). Dass Server in diesen beiden Ländern von den Angreifern genutzt wurden, ist für Beobachter übrigens wenig verwunderlich, vor allem wegen der hohen Zahl von DSL-Nutzern, deren Rechner besonders leicht von den DDoS-Angreifern genutzt werden können.
FBI-Sprecher Bill Murry wiederholte auf Anfrage von heise online so auch lediglich, dass die bislang entdeckten Server noch keinerlei Rückschluss auf die möglichen Täter zuließen. Aber jede noch so kleine Information bringe die Ermittler näher an die eigentliche Quelle. Auch über eine mögliche Zusammenarbeit mit anderen Diensten, etwa dem im September gegründeten High Tech Crime Center von Europol, machte Murray keine Angaben. Rolf Hegel, Chef des Serious Crime Department bei Europol, sagte laut Presseberichten bei der Compsec-Konferenz, seine Behörde sei auf derartige Angriffe auf Kommunikationsnetzwerke nicht vorbereitet. Einen Kommentar zu einer möglichen Zusammenarbeit wollte Europol nicht abgeben.
Weit weniger dramatisch sieht Paul Vixie den Angriff. Zwar könnten künftige DDoS-Attacken professioneller ausfallen und schwerer abzuwehren sein. Daher müssten die Rootserver-Betreiber über noch mehr Redundanz und mögliche Abwehrmaßnahmen nachdenken. Die eigentliche Lehre aus dem Vorfall hat Vixie jedoch schon mehrfach gepredigt. "Securing the edge" ist für seinen Geschmack die eigentliche Aufgabe. Sicherlich könne man jeden korrumpierten Server, der bei solchen Aktionen als Täter missbraucht wird, einzeln aufräumen, grundsätzliche Lösungen bei der Absicherung der Systeme im Internet seien aber notwendig. In der IETF wird zudem an einer Verbesserung der Tools gegen DDoS-Attacken gearbeitet.
Bessere Verteilung der Rootserver
Als eine Sicherheitsmaßnahme kann man schließlich auch die erste Änderung innerhalb des Systems der 13 Rootserver seit dem Tod von Internet-Pionier und RFC-Herausgeber Jon Postel betrachten. ICANNs Technik-Chef teilte Anfang der Woche mit, dass einer der beiden VeriSign-Server, der Rootserver J, künftig unter neuer Adresse erreichbar ist. Um den neuen Standort zu adressieren, müssen Administratoren in aller Welt das so genannte hints file ändern. Allerdings werde der Server auch noch für lange Zeit unter der alten Adresse erreichbar bleiben, sagte ICANN-Direktor Karl Auerbach.
Mit der Maßnahme hat VeriSign offensichtlich für eine bessere Verteilung der Rootserver sorgen wollen. Bislang waren beide vom Exmonopolisten betriebenen Server, A und J, innerhalb eines Subnetzes untergebracht -- "und vermutlich sogar im selben Gebäude", meinte Auerbach. Eigentlich eine überraschende Tatsache -- sollte man doch meinen, dass die Positionierung solch zentraler Server spätestens nach den schlechten Erfahrungen, die Microsoft mit der Platzierung mehrerer DNS-Server in einem Subnetz gemacht hat, anders gehandhabt wird (siehe dazu auch den Hintergrundbericht zum DNS Microsoft, das Internet und die Namen).
"Ich hätte gedacht, , das wäre die beste Gelegenheit gewesen, den J-Rootserver nach Europa oder Asien zu übersiedeln”, kommentierte Auerbach zudem. ICANN-Präsident Stuart Lynn hatte noch bei Treffen in Shanghai bestritten, dass die Übersiedelung eines Rootservers ohne weiteres vorgenommen werden könnte. Der genaue Standort der Rootserver wird aus Sicherheitsgründen geheim gehalten. (Monika Ermert) / (jk)
