bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Telekom will mein Business Anschuss in DBG für Mensa sc

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Telekom will mein Business Anschuss in DBG für Mensa schlissen...
From: Michael Vistein <michael@xxxxxxxxxx>
Date: Fri, 26 Jul 2013 16:15:18 +0200
Hallo Helmut,

Am 24.07.2013 18:39, schrieb Helmut Hullen:
Wichtiger dürfte sein, was denn der "Whistleblower" mit seinem
"rekursiven Nameserver" eigentlich gemeint haben könnte.\

Das DNS System ist hierarchisch aufgebaut. Wenn du jetzt zum Beispiel wissen möchtest, wer "listserv.heise.de" ist, musst du zuerst die Root-Nameserver fragen (IP Adressen sind allgemein bekannt), wer ".de" ist. Du bekommst dann eine Liste von Nameservern (als Namen). Einen dieser Server musst du dann nach "heise.de" fragen, und du wirst wieder eine Liste von Nameservern erhalten. Usw ...

Da insbesondere auch die Listen der Nameserver selbst nochmal aufgelöst werden müssen (außer es sind Glue Records dabei, dann werden die IP Adressen gleich mitgeliefert, sozusagen als Rekursions-Anfang) führt dieses Verfahren zu verhältnismäßig hohem Traffic.

Ein rekursiver DNS Resolver macht alle diese Schritte für den Anfragenden und liefert ein Ergebnis zurück. Ggf. wird das Ergebnis dann auch noch gecacht für spätere Anfragen. Praktisch alle Internet-Provider bieten solche Server an, damit die Kunden nicht jedes mal die gesamte Hierarchie selbst durchlaufen müssen. Arktur bietet auch einen solchen Server für die internen Clients (und leitet die Anfragen ggf. an den vom ISP zur Verfügung gestellten Server weiter).

Soweit ist das ja alles auch noch kein Problem. Ein offener, nicht rekursiver Nameserver ist kein Problem. Der antwortet nur auf Anfragen zu Domains, die er selbst kontrolliert - da sind i.d.R. keine großen Antwortpakete dabei. Und über fremde Domains sagt er gar nichts.

Einen offenen, rekursiven Nameserver hingegen kann man zu beliebigen Domains befragen, also auch zu speziell präparierten. Mit Hilfe von IP Spoofing (dank UDP trivial) kann man den DDOS machen (dazu hattest du ja einen Link gemailt ...)

Der "Whistleblower" ist wohl davon ausgegangen, dass dem Betreiber eines DNS Servers die Grundlagen des DNS Systems bekannt seinen. Das ist halt mit "normalen" Internet-Kunden nicht immer der Fall.

Viele Grüße,

Michael

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user
 « Vorige im Thread  Dieser Thread  Nächste im Thread » 

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 26.07.2013