DNS-Verbiegungen
Seite 3: DĂĽrfen die das?
DĂĽrfen die das?
Die Internet-Gremien lehnen DNS-Verbiegungen zwar ab, doch dem Wortlaut der RFCs, die die Standards des Internet bilden, widerspricht die Praxis nicht. Denn die RFCs legen nur fest, wie der Server die Antworten übermittelt. Beim Lesen des RFC hat man den Eindruck, dass das ganz selbstverständlich dieselben sind, die der Server selbst bekommen hat. Doch im Text steht das nicht explizit. Im RFC 973 schrieb Paul Mockapetris zwar 1986 an die Betreiber von DNS-Servern: "Jedenfalls sollen Sie nicht über andere Teile des Namensraums lügen." Doch 1987 goss er DNS in die derzeit gültige Fassung der RFCs 1034 und 1035 die dieses Lügenverbot nicht mehr enthalten. Pikanterweise ist derselbe Paul Mockapetris heute Vorstandsvorsitzender und Technik-Chef der Firma Nominum, die DNS-Server-Software an Provider liefert – inklusive dem Modul "Vantio NXR", das für die DNS-Umleitungen zuständig ist.
Nominum nennt die DNS-Manipulation "Web Error Redirection". Und im eigenen White Paper Zehn Schritte zur erfolgreichen Web Error Redirection heißt es: "Der erste und wichtigste Schritt ist, sicherzustellen, dass die NXDomain-Umleitung [...] ohne negative Auswirkungen auf Nicht-Web-Anwendungen implementiert wird." Nominum verspricht zwar, mit Hilfe von Filtern nur die Anfragen umzuleiten, die auf Webseiten führen. Das ist allerdings prinzipiell unmöglich, da der DNS-Server nicht erkennen kann, zu welchem Zweck der Client den Namen auflösen möchte. Schließlich steht als einzige Information der abgefragte Name zur Verfügung. Die Programmierer und Admins beim Provider raten also aufgrund des Namens, was damit geschehen soll.
Das kann man bei Kabel Deutschland leicht nachvollziehen: Wenn ein Name nicht auflösbar ist, aber beispielsweise mit www, web oder http beginnt, liefert der DNS die Adresse des Kabel-Deutschland-Suchservers, also auch für www.gibts.nicht.heise.de und wwww.ct.de. Wahrscheinlich ist diese nicht öffentliche Liste der umzuleitenden Namensteile noch etwas länger. Alle anderen Namen führen zur korrekten Fehlermeldung. Ähnlich vorsichtig leiten Alice die Anfragen um. T-Online und Versatel gehen wesentlich aggressiver vor: Der DNS-Server hat offensichtlich nur eine Liste von Namensteilen, die er nicht verbiegt. So führt die Frage nach mail.nicht.heise.de zur korrekten Fehlermeldung, während maul.nicht.heise.de ebenso auf den T-Suchserver zeigt wie nicht.heise.de und nackte, nicht vergebene Domain-Namen wie sdfgh.de [Update: Dieses Beispiel wurde mittlerweile als Domain registriert].
