• IT-Karriere:
  • Services:

DNS: Any-Anfragen müssen nicht mehr beantwortet werden

Bisher war es laut Standard möglich, von DNS-Servern eine Liste aller Records für eine Domain anzufragen. Doch das ist problematisch und kann für Amplification-Angriffe missbraucht werden. Ein neuer RFC sagt daher, dass man diese Anfragen nicht mehr beantworten muss.

Artikel veröffentlicht am , Hanno Böck
Standardkonforme DNS-Server müssen Any-Anfragen in Zukunft nicht mehr beantworten.
Standardkonforme DNS-Server müssen Any-Anfragen in Zukunft nicht mehr beantworten. (Bild: Victorgrigas, Wikimedia Commons/CC-BY-SA 3.0)

Ein von der IETF veröffentlichter RFC erlaubt es DNS-Servern, sogenannte Any-Anfragen nicht mehr zu beantworten. Der Hintergrund: Solche Anfragen können für Amplification-Angriffe missbraucht werden und sind zudem oft schwer zu implementieren. Initiiert wurde diese Änderung von der Firma Cloudflare. Deren Mitarbeiter Marek Majkowski erklärt die Hintergründe in einem Blogpost.

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden, Berlin, Meckenheim
  2. Polyform Kunststofftechnik GmbH & Co. Betriebs KG, Rinteln

Zu einer Domain sind in DNS-Servern üblicherweise verschiedene Records hinterlegt. Ein A-Record gibt etwa an, welche IPv4-Adresse standardmäßig zu einer Domain gehört, ein AAAA-Record liefert die passende IPv6-Adresse, ein MX-Record die zur Domain gehörenden Mailserver. Ein Client kann diese Records einzeln abfragen. Ein besonderer Anfragetyp namens Any sorgt dafür, dass ein DNS-Server alle dort vorhandenen Records zurückgibt.

Implementierung von Any komplex

Doch laut Majkowski gibt es mit diesen Any-Anfragen einige Probleme. In komplexeren Setups ist es nicht immer trivial möglich, alle Records auszugeben. Es gab demnach in der Cloudflare-DNS-Software eine ganze Reihe von Stellen, in denen Any als sehr komplexer Sonderfall behandelt wurde. Cloudflare hatte daher bereits 2015 entschieden, solche Any-Anfragen nicht mehr zu beantworten.

Von Anwendungen werden Any-Anfragen im Normalfall nicht genutzt. Laut dem Cloudflare-Blogpost gab es vor einigen Jahren eine Änderung in Firefox, bei der Any-Anfragen genutzt wurden, diese wurde aber kurz darauf zurückgenommen. Zudem nutzt der Mailserver Qmail Any-Queries. Laut einem Kommentar von Majkowski hat man dies beim Standard berücksichtigt, um sicherzustellen, dass die Zusammenarbeit mit Qmail weiterhin funktioniert.

Denial-of-Service-Angriffe mit DNS-Verstärkung

Ein weiterer Grund, der gegen die Beantwortung von Any-Anfragen spricht, sind Amplification-Angriffe. Der Hintergrund: Das UDP-Protokoll hat keinen Mechanismus, um sicherzustellen, dass der Absender eines Datenpakets tatsächlich echt ist. Das können Angreifer für Denial-of-Service-Angriffe ausnutzen, indem sie Anfragen an einen DNS-Server schicken, die eine falsche Absender-IP enthalten.

Da eine Antwort auf eine Any-Anfrage oft sehr groß ist, tritt hier ein Verstärkungseffekt auf: Der Angreifer schickt ein kleines Datenpaket, die Antwort, die beim Opfer landet, ist aber deutlich größer. Somit kann ein Angreifer mit einer vergleichsweise langsamen Internetleitung für eine große Menge an Datenverkehr sorgen, die das Opfer des Angriffs verarbeiten muss.

Der jetzt veröffentlichte RFC 8482 sieht nun vor, dass DNS-Server auf Any-Anfragen in verschiedener Weise reagieren können. So können sie etwa statt aller Records nur einen beliebigen Record schicken. Alternativ können sie einen sogenannten Host-Information-Record schicken und dort in einer kurzen Nachricht darauf hinweisen, dass die Funktion nicht unterstützt wird.

Unterschiedliches Verhalten über TCP und UDP möglich

Der RFC erlaubt es auch explizit, Anfragen mittels UDP und TCP unterschiedlich zu behandeln. Das ermöglicht es DNS-Servern, Any-Anfragen weiterhin zu unterstützen, ohne dass ein Risiko für Amplification-Angriffe besteht. Denn über TCP funktionieren diese nicht.

Für eine solche Lösung hat man sich beim Bind-Server entschieden. Dort gibt es seit Version 9.11 eine Option "minimal-any". Die führt dazu, dass Anfragen via TCP weiterhin normal beantwortet werden, bei Anfragen über UDP wird nur der erste konfigurierte Record zurückgegeben. Die meisten Tools verschicken Any-Anfragen automatisch über TCP, damit führt das in der Praxis dazu, dass die Anfragen im Normalfall für Debugging-Zwecke weiterhin funktionieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. mit 1.629€ Tiefpreis auf Geizhals
  2. (u. a. Asus ROG STRIX B550-I Gaming Mainboard für 169,90€, Alpenföhn Brocken 3 Black Edition...
  3. (u. a. Xbox Games Sale: bis zu 50 Prozent Rabatt auf Xbox-Spiele, bis zu 481,49€ Rabatt auf...
  4. 45€ monatlich, keine Aktivierungsgebühr (nach einem Jahr monatlich kündbar)

MrCoffee 12. Apr 2019

Ich sehe da eher das Problem, dass eine Firma die stabile Netzwerkstruktur untergräbt...

DerET 20. Mär 2019

Worin besteht denn überhaupt die Notwendigkeit, Any Anfragen überhaupt zu stellen?


Folgen Sie uns
       


Keyboardio Atreus im Test: Die Tastatur für platzbewusste Ergonomiker
Keyboardio Atreus im Test
Die Tastatur für platzbewusste Ergonomiker

Eine extreme Tastatur für besondere Geschmäcker: Die Atreus von Keyboardio ist äußerst gewöhnungsbedürftig, belohnt aber mit angenehmem Tippgefühl.
Ein Test von Tobias Költzsch

  1. HyperX x Ducky One 2 Mini im Test Kompakt, leuchtstark, limitiert
  2. Nemeio Tastatur mit E-Paper-Tasten ist finanziert
  3. Everest Max im Test Mehr kann man von einer Tastatur nicht wollen

In eigener Sache: Golem-PCs mit Ryzen 5000 und Radeon RX 6800
In eigener Sache
Golem-PCs mit Ryzen 5000 und Radeon RX 6800

Mehr Leistung zum gleichen Preis: Der Golem Highend wurde mit dem Ryzen 5 5600X ausgestattet, die Geforce RTX 3070 kann optional durch eine günstigere und schnellere Radeon RX 6800 ersetzt werden.

  1. Video-Coaching für IT-Profis Shifoo geht in die offene Beta
  2. In eigener Sache Golem-PCs mit RTX 3070 günstiger und schneller
  3. In eigener Sache Die konfigurierbaren Golem-PCs sind da

Energie- und Verkehrswende: Klimaneutrales Fliegen in weiter Ferne
Energie- und Verkehrswende
Klimaneutrales Fliegen in weiter Ferne

Wasserstoff-Flugzeuge und E-Fuels könnten den Flugverkehr klimafreundlicher machen, sie werden aber gigantische Mengen Strom benötigen.
Eine Recherche von Hanno Böck

  1. Luftfahrt Neuer Flughafen in Berlin ist eröffnet
  2. Luftfahrt Booms Überschallprototyp wird im Oktober enthüllt
  3. Flugzeuge CO2-neutral zu fliegen, reicht nicht

    •  /