Internet in Deutschland bekommt eigenen DNS-Rootserver

Seit dem heutigen Dienstag werden DNS-Abfragen in Deutschland, müssen sie denn bis zur letzten Instanz weitergeleitet werden, aus Frankfurt beantwortet.

In Pocket speichern vorlesen Druckansicht 181 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Monika Ermert

Normale User werden es kaum gemerkt haben, doch seit heute werden ihre DNS-Abfragen, müssen sie denn bis zur letzten Instanz weitergeleitet werden, aus Frankfurt beantwortet. Das DeNIC und der Verband eco haben heute eine so genannte Anycast-Instanz des von der europäischen IP-Registry RIPE NCC betriebenen k-Root-Servers am DeCIX in Betrieb genommen. Mittels Anycast lässt sich für jeden einzelnen Rootserver ein eigenes Netz von verteilten Servern aufbauen, die über einen identischen Datenbestand verfügen und unter ein und derselben IP-Adresse erreichbar sind (siehe dazu: Distributing Authoritative Name Servers via Shared Unicast Addresses, RFC 3258).

Die DNS-Server ohne Verteilung mittels Anycast (Klicken für vergrößerte Ansicht) (Quelle: RIPE NCC)

Der k-Server ist einer von 13 Rootservern, die als oberste und letztlich einzig aussageberechtigte Instanz für die Root-Zone die Umsetzung von Domain- und Host-Namen in die zugehörigen IP-Adressen erledigen. Die Betreiber der Rootserver wollen nach und nach durch die Anycast-Technik das DNS robuster und schneller machen. Wer mit Netzwerktopologien vertraut ist, kann per Traceroute den Weg bis zur neuen Anycast-Instanz des k-Rootservers in Frankfurt verfolgen, IP- und DNS-Adresse sind identisch mit dem k-Server in London.

"Der Gewinn an Geschwindigkeit liegt im Millisekundenbereich", sagte DeNIC-Chefin Sabine Dolderer beim Startschuss am heutigen Dienstag in Frankfurt. Tests in Dubai ergaben laut RIPE-Geschäftsführer Axel Pawlik beispielweise eine Verringerung der Antwortzeit von 130 auf 30 Millisekunden. Dubai verfügt seit kurzem über eine Anycast-Instanz des vom Internet Software Consortium betreuten f-Servers. Das ISC hat seit Beginn der Anycast-Bemühungen bereits 19 Ableger auf allen fünf Kontinenten installiert. Wichtige Standorte werden in Zukunft nach Einschätzung von RIPE-Experte Andrei Robachevsky Anycast-Instanzen mehrerer Root-Server beherbergen. Allerdings gebe es eine technische Obergrenze dafür: zu viele Anycast-Server könnten eine Region im Falle eines technischen Problems leicht komplett vom Netz abschneiden, da kein Zugriff mehr auf die Originalserver erfolgt.

Die weltweite Verteilung der DNS-Server mittels Anycast vor Installation des k-Root-Servers in Frankfurt (Klicken für vergrößerte Ansicht) (Quelle: RIPE NCC)

Insgesamt vier der 13 Rootserver-Betreiber arbeiten bereits mit Anycast. Die Folgen möglicher DDoS-Attacken können durch die Verteilung auf viele Standorte abgemildert werden. Auch das Zurückverfolgen der Attacken wird durch die verteilten Standorte leichter. Für RIPE NCC ist der Frankfurter Server nach dem in Amsterdam eingerichteten "global node" die erste lokale Anycast-Instanz. Das DeNIC lieferte dazu die Hardware, eci bietet den Anschluss am Internet-Austauschknoten DeCIX. Das Management bleibt beim RIPE NCC.

Mehr Redundanz und ein Stück mehr Unabhängigkeit fürs deutsche Netz sind laut Dolderer die größten Vorteile. RIPE will noch in diesem Jahr bis zu 10 Anycast-Standorte in Betrieb nehmen. Die DNS-Landkarte wird sich damit entscheidend verändern. Die Massierung von Rootservern in den USA ist bereits Vergangenheit, schon jetzt stehen mehr Rootserver außerhalb der USA als im Land selbst. Nach wie vor aber ist der von VeriSign betreute A-Server der Master aller Server: Die Entscheidungen darüber, was in die Root kommt und was nicht, fällt dort in enger Absprache mit dem Aufsicht führenden US-Handelsministerium. "Technisch ist das Konzentrationsproblem gelöst", sagt Dolderer, "das politische Problem bleibt."

Zum DNS, der Anycast-Technik und der Verteilung der Rootserver siehe auch:

  • Distributing Authoritative Name Servers via Shared Unicast Addresses, RFC 3258
  • Host Anycasting Service, RFC 1546

(Monika Ermert) (jk)