254533

Anycast-Technik schützt die Infrastruktur des Internets

13.03.2007 | 16:05 Uhr |

Die DoS-Angriffe auf die DNS-Root-Server vor ein paar Wochen sind nach einem Bericht der ICANN weitgehend gescheitert, weil die Betreiber dieser wichtigen Systeme aus der Vergangenheit gelernt haben.

Anfang Februar wurden die Root-Server des DNS, das Herz des Internets, von einer Vielzahl von Rechnern angegriffen, um sie außer Gefecht zu setzen ( wir berichteten ). Die Internet-Verwaltung ICANN hat dazu jetzt einen ersten Bericht vorgelegt. Demnach hat eine Technik namens "Anycast" das Schlimmste verhindert.

Die Angriffe galten sechs der 13 Root-Server, die im Internet für die Namensauflösung von IP-Adressen verantwortlich sind und (umgekehrt) die höchste Autorität darstellen. Andere Name-Server verlassen sich sich in einem hierarchisch organisierten System auf die dort vorgehaltenen Informationen, welcher Internet-Server unter welcher IP-Adresse erreichbar ist. Wenn das DNS (Domain Name Service) komplett ausfallen würde, wären die Name-Server der Internet-Provider auf die recht schnell veraltenden Daten angewiesen, die sie zwischengespeichert haben. Websites wären dann bald nicht mehr unter ihren gewohnten Namen (etwa www.pcwelt.de) erreichbar, nur noch direkt über ihre IP-Adressen.

Bereits im Jahr 2002 gab es einen groß angelegten DoS-Angriff (Denial of Service) auf das DNS ( wir berichteten ). Daraus haben die meisten Betreiber dieser weltweit verteilten Systeme Lehren gezogen. Die Root-Name-Server werden durch die Anycast-Technik vor Überlastung durch zu viele Anfragen geschützt. Dabei werden Anfragen an einen der Root-Server automatisch auf insgesamt mehr als 100 Server verteilt, sodass Lastspitzen abgefangen werden.

Lediglich zwei der Root-Server sind noch nicht mit Anycast ausgestattet. Sie werden vom US-Verteidigungsministerium (das ursprünglich den Auftrag zur Schaffung des Internets erteilte) sowie von der Internet-Verwaltung ICANN betrieben. Diese beiden Server ("G" und "L" genannt) gingen unter den Angriffen Anfang Februar auch beinahe in die Knie. Drei weitere der Root-Server sind ebenfalls noch nicht mit Anycast geschützt, waren jedoch nicht Ziel dieser Angriffe. Bei diesen wird diese Technik in Zukunft ebenfalls eingeführt.

Die Angriffe kamen vor allem aus dem asiatischen Raum. Die Annahme, dass die DoS-Angriffe von einigen Botnets aus Südkorea ausgingen, bezeichnet die ICANN hingegen als spekulativ. Weitere Untersuchungen sollen mehr Licht in die Art des Angriffs und seine Verursacher bringen.

0 Kommentare zu diesem Artikel
254533