Unruhe im DNS: Alle Maschinen stop, Gentlemen!

Paul Vixie, Gründer des Internet Software Consortiums, Chefarchitekt des DNS-Servers BIND und Betreiber des F-Root-Servers im Domain Name System des Internet, warnte Anfang der Woche die Gemeinde. Unter der IP-Nummer des F-Root-Servers hatten Unbekannte, unter dem Deckmantel "halboffener" TCP-Verbindungen (TCP "halfopens"), Scans über zahlreiche Netze gemacht.

Vixie kündigte an, er werde der Angelegenheit nachgehen. Gegenüber heise online kritisierte er allerdings auch die Nachlässigkeit von Internet-Providern, die durch die Zulassung beliebiger IP-Source-Adressen -- und das von wenig sicheren Endpunkten wie DSL-, ISDN- oder Dial-up-Internetzugängen aus -- diese Art der Angriffe erst möglich machten. Würden die Netze dagegen so gefiltert, dass nur IP-Adressen aus dem eigenen Netzbereich nach außen verschickt werden könnten, würde dem Treiben Einhalt geboten werden. "Das zu fixen ist so einfach und kostet die Provider fast nichts", meint Vixie.

Der F-Rootserver, einem von 13 Servern, die als Anlaufstellen für definitive und autorisierte Auskünfte für die korrekten Adressen von Top Level Domains im Netz dienen, verarbeitet immerhin 272 Millionen Anfragen pro Tag. Auf die Frage nach dem Motiv der Angreifer meinte Vixie, man wolle ihn wohl ärgern. Vixie muss sich jetzt mit dem bei ihm zahlreich eingehenden Abuse-Meldungen herumschlagen.

Karl Auerbach, Direktor bei der für das Domain Name System verantwortlichen Internet Corporation for Assigned Names and Numbers (ICANN), warnte derweil noch einmal vor möglichen Bedrohungsszenarien für das hierarchisch organisierte DNS. Das Horrorszenario schlechthin ist für den Cisco-Ingenieur etwa eine Denial-of-Service-Attacke auf mehrere oder alle Root-Server unter dem ICANN-Regime. Der Mißbrauch einer Root-Server-IP-Adresse, wie Vixie ihn jetzt meldete, ist nach Ansicht von Auerbach die andere Seite derselben Medaille. Denn Provider und professionelle User würden sich beim Einsatz geeigneter Filter nach und nach von dem virtuell "usurpierten" Server verabschieden, bis dieser ebenso unbenutzbar werde wie der wegen einer DoS-Attacke nicht erreichbare Server. Vor allem bei gezielten, konzertierten Aktionen von Seiten der Angreifer könnte zumindest die Reaktionsgeschwindigkeit im DNS stark leiden. Auerbach, der mit der ICANN-Verwaltung im Dauerclinch liegt, empfiehlt seiner Organisation, dringend für Redundanz bei dezentral abgelegten Backup-Kopien zu sorgen.

Gefahren fürs DNS drohen dabei nicht nur durch die gezielten Attacken böswilliger Angreifer. Erst im April machte Vixie darauf aufmerksam, dass vermutlich durch falsche Default-Einstellungen von neu eingerichteten Windows-Servern Millionen von Anmeldeversuchen für nicht-öffentliche IP-Adressen bei den Root-Servern aufprallten. Diese hatten dort überhaupt nichts zu suchen, belasteten aber die Server enorm. Seine Anfang der Woche verbreitete Aufforderung "Alle Maschinen stop, Gentlemen" -- eigentlich auf die einlaufenden Beschwerden wegen der Scans bezogen -- ist also durchaus vieldeutig und dürfte nicht die letzte dieser Art gewesen sein. (Monika Ermert) / (jk)