Sicherheitsnetz für Root-Server greift

Am 6. Februar dieses Jahres ist ein Angriff auf fünf der 13 Root-Server, die für die Adressverwaltung im Internet zuständig sind, erfolgt. Die ICANN veröffentlichte nun eine Analyse, in der die Attacke und Lösungsansätze geschildert werden.

Die jüngste Attacke erfolgte laut ICANN [Internet Corporation for Assigned Names and Numbers] in zwei Wellen: Eine zweieinhalbstündige und einige Stunden später eine fünfstündige Anfragensalve. Der Ausgangspunkt wird im Bereich Asien-Pazifik vermutet, die möglichen Motive reichen dabei von der puren sportlichen Herausforderung bis zur "Werbekampagne" für ein Botnet.

Zwei der fünf angegriffenen Server gingen unter dem Beschuss in die Knie und mussten 90 Prozent der Anfragen zurückweisen. Alle anderen Root-Server funktionierten weiterhin normal.

Die neu eingesetzte Anycast-Technologie hat dabei Sorge getragen, dass die meisten Internet-Benutzer von dem Angriff nichts mitbekommen haben.

DDoS-Attacke

Bei einer so genannten DDoS-Attacke [Distributed Denial of Service] werden die betroffenen Server mit einer großen Menge von Anfragen konfrontiert, die zur Überlastung und letztendlich zum Absturz des Systems führen.

• Die ICANN-Analyse [sechs Seiten, pdf]

• Root-Servers.org

• Verteilter Angriff auf Root-Server

Bewährungsprobe für Anycast-System

Es gibt 13 von der ICANN koordinierte Root-Server im Internet [mit den Bezeichnungen "A" bis "M"]. Sie nehmen Anfragen an das Domain Name System [DNS] entgegen und wandeln Domainnamen in IP-Adressen und umgekehrt um.

Einige der Root-Server bestehen dabei nicht aus einem, sondern mehreren Computern an verschiedenen Standorten, die zu einem Server zusammengeschlossen und über dieselbe IP-Adresse erreichbar sind [Anycast].

Durch Anycast findet sich nun über 100 Root-Server auf jeden Kontinent in Ländern von Australien bis Venezuela.

Das Anycast-System sorgt damit für eine Verteilung des Datenverkehrs und wirkt auch lokalen Gebrechen wie dem Ausfall durch ein Erdbeben entgegen.

Alle Rootserver bald mit Anycast

Die zwei am 6. Februar zweitweise ausgefallenen Server waren laut ICANN jener des US-Verteidigungsministeriums in Ohio [G] und der von der ICANN in Kalifornien betriebene [L], die Anycast beide noch nicht implementiert haben.

Nachdem Anycast die Bewährungsprobe nun bestanden hat, sollen nun auch die restlichen Rootserver D, E, G, H und L diese Technik implementieren.

Letzter großer Angriff im Oktober 2002

Die Anycast-Technologie wurde in Reaktion auf den letzten großen Angriff auf die Root-Server eingeführt. Im Oktober 2002 standen neun der 13 Server unter Beschuss und versagten zeitweise ihren Dienst.

• Wikipedia-Infos zu den Root-Servern

Alle Pakete über 512 Byte blockiert

Im Falle einer Attacke haben die DNS-Betreiber im allgemeinen zwei Möglichkeiten: Entweder die Bandbreite derart zu erhöhen, dass die Server allen Anfragen nachkommen können oder Muster in der Anfragenflut auszumachen, die entweder eine Komplett-Blockade der identifizierten Angriffsquelle oder eine gezielte Filterung der böswilligen Datenpakete erlaubt.

Im konkreten Fall im Februar bemerkten die Betreiber rasch, dass diese böswilligen Datenpakete allesamt größer als 512 Byte waren, und filterten diese daher einfach heraus.

Da die meisten Anfragen normalerweise die Größe von 100 Byte nicht überschreiten, hatte diese Blockade keine Auswirkungen auf den regulären Netzverkehr.

"ORSN" als Backup für ICANN-Netzwerk

Das alternative DNS-Netzwerk "Open Root Server Network" [ORSN], fungiert als Backup zum bestehenden ICANN-Netzwerk. Es ist technisch mit dem ICANN-Root kompatibel, aber nicht der politischen Einflussnahme der ICANN ausgesetzt.

• ORSN