frage zu dns-servern

**tenim** · 24.04.09, 21:46

ich habe eine dns-server -software welche als resolver/cache arbeitet und ausschliesslich die 13 rootserver kennt und auch kontaktiert.
diese beantworten anfragen ja nicht direkt, sondern liefern nur die ip des jeweiligen dns-servers der ihnen bekannt ist und der die anfrage beantworten könnte. jetzt meine frage:

wenn meine anfrage jetzt z.b. vom rootserver A an server 1.2.3.4
weitergeleitet wird, erfährt dann server 1.2.3.4 nur die ip des rootservers(um ihm antworten zu können) oder meine eigene(so das er direkt mir antworten könnte)?

meine das sicherheitstechnisch. kann ich immer sicher sein, das wenn ich eine anfrage an dns-server x stelle und dieser die anfrage an server y weiterleitet(ich habe ja keine kontrolle darüber, welche anderen server x kontaktiert), das y nur die ip von x kennt und nie meine eigene?

**marce** · 25.04.09, 09:12

Nein.

Wenn ich das gerade um die Uhrzeit richtig im Kopf habe (und ohne drüber nachgedacht zu haben bzw. nachgeforscht zu haben) stellt dann Dein Server die Anfrage an den Server, der ihm vom Root-DNS genannt wurde - bei dem taucht dann also Deine IP auf.

Was hat das dann aber nun mit Sicherheit zu tun?

**muell200** · 25.04.09, 09:17

Zitat von marce

Wenn ich das gerade um die Uhrzeit richtig im Kopf habe (und ohne drüber nachgedacht zu haben bzw. nachgeforscht zu haben) stellt dann Dein Server die Anfrage an den Server, der ihm vom Root-DNS genannt wurde - bei dem taucht dann also Deine IP auf.

stimme @marc zu

du kannst dir die verbindung z.b.: mit tcpdump genauer anschauen

aber die frage bleibt... was hat das mit sicherheit zu tun?

**tenim** · 25.04.09, 11:05

was hat das mit sicherheit zu tun?

lest ihr keine nachrichten wir z.b. unter heise? heutzutage reicht es schon, ausversehen eine falsche anfrage an einen dns-server zu stellen um auf einer liste zu landen und unter kipo-generalverdacht zu fallen. man muss dann beweisen, das es ein versehen bzw. zufall war. und auf diesen sch.... hab ich keine bock.

**hennesiv** · 25.04.09, 11:47

hi,

die root server arbeiten rein iterativ, heisst du fragst an root server er gibt dir die infos, die er hat und du kontaktierst dann weiter.

d.h. root server -> deine ip
nächster server -> deine ip usw.

**FLOST** · 25.04.09, 12:17

Zitat von tenim

lest ihr keine nachrichten wir z.b. unter heise? heutzutage reicht es schon, ausversehen eine falsche anfrage an einen dns-server zu stellen um auf einer liste zu landen und unter kipo-generalverdacht zu fallen. man muss dann beweisen, das es ein versehen bzw. zufall war. und auf diesen sch.... hab ich keine bock.

Das hat mit Systemsicherheit nichts zu tun.

Was du meinst ist wohl die geplante Internetsperre wegen Kinderpornographie. Dabei handelt es sich momentan um DNS-Server einger ISP´s.

Diese Disskusion erübrigt sich für dich, da du einen eigenen DNS-Server betreibst, du bekommst die Informationen also ohne die ISP DNS-Server.

Die Root-DNS-Server und die TLD-DNS-Server sind soweit unabhängig, dass der deutsche Gesetzgeber darauf keinen Zugriff hat. Deine Bedenken sind insofern allso unbegründet. Von Seite des DNS droht dir wohl kein Unbill.

Wogegen du allerdings Machtlos bist sind Man-in-the-middle Angriffe auf DNS und TK-Quellenüberwachung.

**tenim** · 25.04.09, 14:39

naja, ich dachte halt, was ist, wenn der server, an den ich vom rootserver
weitergeleitet werde einer "dieser" dns-servern ist. dann nützt mir mein dns-server auch nichts.

**FLOST** · 25.04.09, 14:55

DNS ist hirarchsich aufgebaut. Die DNS-Server der ISP´s sind höchstens für deren Domain verantwortlich. Ansonnsten kommt eine DNS-Abfrage nicht an sie heran (immer davon ausgehend, dass du deinen eigenen DNS-Server verwendest).

Du schreibst, du fragst die Root-DNS-Server ab. Diese liefern dir die Adressen der DNS-Server für die von dir angefragte TLD zurück. Diese fragst du dann nach der Domain, als Antwort bekommst du die Adressen der für die jeweilige Domain verantwortlichen DNS-Server zurück. Diese fragst du dann nach einer Subdomain oder nach dem jeweiligen Host.

Erst an der letzten Stelle kannst du an einen der gefilterten DNS-Servern kommen. Diese sind aber nur für "Ihre" Domain verantwortlich - für andere nicht (also wohl nicht für gesperrte Domains, da die großen Provider wohl nicht selbst gesperrt werden).

Es ist politisch nicht durchsetzbar, dass die Bundesregierung Filterlisten für die Root-DNS-Server diktiert. Selbst die DNS-Server für die TLD .de unterstehen nicht der Kontrolle der Bundesregierung. Schon gar nicht DNS-Server von irgendwelchen anderen TLD.

Deswegen gehen die ja auch an die DNS-Server der ISP. Die können sie evtl. (höchstrichterlich noch zu klären) dazu zwingen zu filtern. Diese DNS-Server sind vermutlich für die Mehrheit der Internetbenutzer der Zugangspunkt. Allerdings lassen diese sich leicht umgehen, indem ein anderer DNS-Server eingetragen wird. Deswegen ist diese Maßnahme nur lächerliches Strohfeuer.

**UzumakiNaruto** · 25.04.09, 15:58

um es zu veranschaulichen

client will www.example.de aufrufen

client -> fragt lokalen dns (evtl. dns relay (wenn 0815 router)

dns server:
lokaler dns fragt root-server nach www.example.de
root-server sagt: 1.1.1.1

lokaler dns fragt 1.1.1.1 nach www.example.de
1.1.1.1 sagt: 2.2.2.2

lokaler dns fragt 2.2.2.2 nach www.example.de
2.2.2.2 sagt: 3.3.3.3

lokaler dns sagt zu client: 3.3.3.3

dns relay:
lokaler dns fragt den dns vom isp

und erst jetzt fängt das spiel an das sonst dein dns-server macht.