Hintergründe der Attacken auf DNS-Rootserver noch unklar

Die Hintergründe der gestrigen Attacken auf die Rootserver des Domain Name System (DNS) sind weiter ungeklärt. Die Angriffe waren nach Einschätzung von Daniel Karrenberg aber "kein Ereignis", was den DNS Root Name Service angehe. "Der Service war jederzeit mehrfach redundant verfügbar", erklärte der Cheftechnologe des Amsterdamer RIPE NCC am Tag danach. Zwischen 11 und 13 Uhr deutscher Zeit am gestrigen Dienstag hatte eine Welle von Angriffen mindestens zwei der dreizehn Root Name Server nahezu komplett ausgeschaltet. Andere Root Server kamen offenbar besser mit der Attacke zurecht und sorgten dafür, dass man auch beim RIPE NCC erst durch das hauseigene Monitoring wichtiger DNS-Server auf den Vorfall aufmerksam wurde.

"Alle Root-Name-Server-Betreiber werden den Angriff genau analysieren", sagte Karrenberg, "und falls nötig, operationelle Schlüsse daraus ziehen." Falls man dabei noch etwas Bemerkenswertes feststelle, werde RIPE NCC dies auch der Öffentlichkeit mitteilen. Keine Bestätigung gab es vorerst dafür, dass es sich um südkoreanische Hacker gehandelt haben soll, wie die Nachrichtenagentur AP berichtet hatte. Die Rückverfolgung großer Attacken gestaltet sich in der Regel schwierig, da sie zum Beispiel über weltweit verzweigte Bot-Netze gefahren werden. Die Herkunft der Anfragen, die die angegriffenen Server in die Knie zwingen, aus einer bestimmten Region, sagt daher noch nichts darüber aus, wo der Angreifer sitzt.

Auch John Crain, Chief Technology Officer bei der Internet Corporation for Assigned Names and Numbers (ICANN), winkt beim Thema "koreanischer Hacker" ab. "Es ist noch zu früh für derartige Aussagen, wir werden noch eine ganze Weile brauchen, bis wir wissen, was genau passiert ist oder wer verantwortlich war." Ein Grund dafür, dass es den Root Server G und den von ICANN betriebenen L-Server stärker traf, könne aber die Nähe zu den offenbar doch stark involvierten asiatischen Netzen sein. Zudem bestätigte Crain, dass das Fehlen eines Anycast-Netzwerkes für die steil nach oben gehenden Antwortzeiten der beiden Server mitverantwortlich sei. Ein Anycast-Netz hätte die Last auf mehrere verzweigte identische Server verteilen können. "ICANN hat sich in der Tat entschieden, ein Anycast-Sytem für den L Root Server aufzubauen und arbeitet derzeit an der Implementierung. Wir haben gestern einige der eingeplanten neuen Server vorzeitig ans Netz gebracht, um die Last während des Angriffs abzufangen."

Unterdessen widersprach Neustar Ultra Services (ehemals UltraDNS) heute Berichten, nach denen ihre Serversysteme gezielt angegriffen worden seien. "UltraDNS war nicht das Ziel des Angriffs", teilte ein Sprecher des Unternehmens auf Anfrage von heise online mit. Allerdings blieb das Unternehmen weitere Erklärungen noch schuldig. (Monika Ermert) / (vbr)