Öffentlicher DNS-Server von Google

Google stellt einen öffentlich zugänglichen DNS-Server zur Verfügung. Er soll sowohl schneller antworten als auch besser gegen Angriffe geschützt sein als andere.

In Pocket speichern vorlesen Druckansicht 359 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christian Kirsch

Schneller, sicherer und zuverlässiger: Das sind die Ziele, die Google sich für seinen eigenen DNS-Server gesetzt hat. Der Dienst steht allen Interessierten kostenlos als Alternative zum Server ihres Internet-Anbieters zur Verfügung. Ein höheres Tempo soll er dadurch erreichen, dass er DNS-Einträge aktualisiert, bevor ihre Gültigkeitsdauer (time to live, TTL) abgelaufen ist. Dadurch seien ständig aktuelle Einträge vorrätig und müssten nicht erst geholt werden, wenn der Server bei einer Anfrage feststellt, dass die TTL abgelaufen ist.

Gegen bekannte DNS-Angriffe wie Cache-Poisoning, etwa durch die Kaminsky-Attacke, und Denial-of-Service will Google den Dienst gehärtet haben. Er führe einfache Gültigkeitsprüfungen durch und weise etwa "verdächtige" Antworten anderer Nameserver sofort ab. Dazu gehören fehlerhafte Nachrichten ebenso wie solche, in denen die zurückübermittelte Anfrage-ID, Quell-IP oder -Port oder der Name der Query nicht zu denen der Original-Anfrage passen. Da diese Datenfelder relativ klein sind, können Angreifer jedoch durch eine hinreichend große Menge gefälschter Antworten zufällig passende Werte verwenden und damit dem Server eine falsche Namensauflösung unterschieben.

Dagegen soll zusätzliche Entropie helfen, wie Google erläutert. So benutzt der Dienst nicht den üblichen Port 53, sondern wählt bei jeder Anfrage einen zufälligen aus. Stehen mehrere Nameserver zur Beantwortung einer Anfrage zur Verfügung, benutzt er wiederum einen zufällig bestimmten. Eine weitere Entropieerhöhung bringt das Verwenden gemischter Groß- und Kleinschreibung in der Anfrage: Bei der Namensauflösung spielt diese Unterscheidung keine Rolle. Enthält die vom vorgeblich antwortenden Server gesendete Antwort die Anfrage jedoch nicht in exakt derselben Schreibweise, kann der Empfänger sie als Fälschung verwerfen.

Interessenten können Googles DNS-Dienst unter den IP-Adressen 8.8.8.8 und 8.8.4.4 erreichen. Allerdings sollte man sich die aktuellen Einstellungen für den Nameserver notieren, bevor man die Einträge dauerhaft ändert, warnt Google. (ck)