DNS: Any-Anfragen müssen nicht mehr beantwortet werden

Bisher war es laut Standard möglich, von DNS-Servern eine Liste aller Records für eine Domain anzufragen. Doch das ist problematisch und kann für Amplification-Angriffe missbraucht werden. Ein neuer RFC sagt daher, dass man diese Anfragen nicht mehr beantworten muss.

Artikel veröffentlicht am , Hanno Böck
Standardkonforme DNS-Server müssen Any-Anfragen in Zukunft nicht mehr beantworten.
Standardkonforme DNS-Server müssen Any-Anfragen in Zukunft nicht mehr beantworten. (Bild: Victorgrigas, Wikimedia Commons/CC-BY-SA 3.0)

Ein von der IETF veröffentlichter RFC erlaubt es DNS-Servern, sogenannte Any-Anfragen nicht mehr zu beantworten. Der Hintergrund: Solche Anfragen können für Amplification-Angriffe missbraucht werden und sind zudem oft schwer zu implementieren. Initiiert wurde diese Änderung von der Firma Cloudflare. Deren Mitarbeiter Marek Majkowski erklärt die Hintergründe in einem Blogpost.

Zu einer Domain sind in DNS-Servern üblicherweise verschiedene Records hinterlegt. Ein A-Record gibt etwa an, welche IPv4-Adresse standardmäßig zu einer Domain gehört, ein AAAA-Record liefert die passende IPv6-Adresse, ein MX-Record die zur Domain gehörenden Mailserver. Ein Client kann diese Records einzeln abfragen. Ein besonderer Anfragetyp namens Any sorgt dafür, dass ein DNS-Server alle dort vorhandenen Records zurückgibt.

Implementierung von Any komplex

Doch laut Majkowski gibt es mit diesen Any-Anfragen einige Probleme. In komplexeren Setups ist es nicht immer trivial möglich, alle Records auszugeben. Es gab demnach in der Cloudflare-DNS-Software eine ganze Reihe von Stellen, in denen Any als sehr komplexer Sonderfall behandelt wurde. Cloudflare hatte daher bereits 2015 entschieden, solche Any-Anfragen nicht mehr zu beantworten.

Von Anwendungen werden Any-Anfragen im Normalfall nicht genutzt. Laut dem Cloudflare-Blogpost gab es vor einigen Jahren eine Änderung in Firefox, bei der Any-Anfragen genutzt wurden, diese wurde aber kurz darauf zurückgenommen. Zudem nutzt der Mailserver Qmail Any-Queries. Laut einem Kommentar von Majkowski hat man dies beim Standard berücksichtigt, um sicherzustellen, dass die Zusammenarbeit mit Qmail weiterhin funktioniert.

Denial-of-Service-Angriffe mit DNS-Verstärkung

Ein weiterer Grund, der gegen die Beantwortung von Any-Anfragen spricht, sind Amplification-Angriffe. Der Hintergrund: Das UDP-Protokoll hat keinen Mechanismus, um sicherzustellen, dass der Absender eines Datenpakets tatsächlich echt ist. Das können Angreifer für Denial-of-Service-Angriffe ausnutzen, indem sie Anfragen an einen DNS-Server schicken, die eine falsche Absender-IP enthalten.

Da eine Antwort auf eine Any-Anfrage oft sehr groß ist, tritt hier ein Verstärkungseffekt auf: Der Angreifer schickt ein kleines Datenpaket, die Antwort, die beim Opfer landet, ist aber deutlich größer. Somit kann ein Angreifer mit einer vergleichsweise langsamen Internetleitung für eine große Menge an Datenverkehr sorgen, die das Opfer des Angriffs verarbeiten muss.

Der jetzt veröffentlichte RFC 8482 sieht nun vor, dass DNS-Server auf Any-Anfragen in verschiedener Weise reagieren können. So können sie etwa statt aller Records nur einen beliebigen Record schicken. Alternativ können sie einen sogenannten Host-Information-Record schicken und dort in einer kurzen Nachricht darauf hinweisen, dass die Funktion nicht unterstützt wird.

Unterschiedliches Verhalten über TCP und UDP möglich

Der RFC erlaubt es auch explizit, Anfragen mittels UDP und TCP unterschiedlich zu behandeln. Das ermöglicht es DNS-Servern, Any-Anfragen weiterhin zu unterstützen, ohne dass ein Risiko für Amplification-Angriffe besteht. Denn über TCP funktionieren diese nicht.

Für eine solche Lösung hat man sich beim Bind-Server entschieden. Dort gibt es seit Version 9.11 eine Option "minimal-any". Die führt dazu, dass Anfragen via TCP weiterhin normal beantwortet werden, bei Anfragen über UDP wird nur der erste konfigurierte Record zurückgegeben. Die meisten Tools verschicken Any-Anfragen automatisch über TCP, damit führt das in der Praxis dazu, dass die Anfragen im Normalfall für Debugging-Zwecke weiterhin funktionieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
25 Jahre Starship Troopers
Paul Verhoevens missverstandene Satire

Als Starship Troopers in die Kinos kam, wurde ihm faschistoides Gedankengut unterstellt. Dabei ist der Film des Niederländers Paul Verhoeven eine beißende Satire.
Von Peter Osteried

25 Jahre Starship Troopers: Paul Verhoevens missverstandene Satire
Artikel
  1. Azure DevOps: Die Entwicklerplattform, die es richtig macht
    Azure DevOps
    Die Entwicklerplattform, die es richtig macht

    Azure DevOps ist eine mächtige und ständig wachsende Plattform. Ich bin Fan - und zwar aus guten Gründen.
    Ein IMHO von Rene Koch

  2. Lügenvorwürfe: Beschwerden über Telekom-Drückerkolonnen auch in Karlsruhe
    Lügenvorwürfe
    Beschwerden über Telekom-Drückerkolonnen auch in Karlsruhe

    Wie in Köln arbeiten Telekom-Werber offenbar auch in Karlsruhe mit fragwürdigen Methoden. Verbraucherschützer fordern ein Verbot solcher Besuche ohne Einwilligung.

  3. Energiekrise: Brauchen wir Atomkraftwerke noch?
    Energiekrise
    Brauchen wir Atomkraftwerke noch?

    Wegen des Kriegs in der Ukraine laufen die letzten drei deutschen Atomkraftwerke bis Mitte April. Ein Weiterbetrieb wird gefordert. Wie realistisch oder sinnvoll ist das?
    Eine Analyse von Werner Pluta

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Kingston NV2 2TB 104,90€ • Patriot Viper VPN100 2TB 123,89€ • Alternate: Weekend Sale • WSV bei MediaMarkt • XIAOMI Watch S1 149€ • Alphacool Eiswolf 2 AiO 360 Radeon RX 6800/XT 227,89€ • MindStar: be quiet! Dark Power 13 1000W 259€ • The Legend of Zelda: Link's Awakening 39,99€ [Werbung]
    •  /