• IT-Karriere:
  • Services:

DNS: Any-Anfragen müssen nicht mehr beantwortet werden

Bisher war es laut Standard möglich, von DNS-Servern eine Liste aller Records für eine Domain anzufragen. Doch das ist problematisch und kann für Amplification-Angriffe missbraucht werden. Ein neuer RFC sagt daher, dass man diese Anfragen nicht mehr beantworten muss.

Artikel veröffentlicht am , Hanno Böck
Standardkonforme DNS-Server müssen Any-Anfragen in Zukunft nicht mehr beantworten.
Standardkonforme DNS-Server müssen Any-Anfragen in Zukunft nicht mehr beantworten. (Bild: Victorgrigas, Wikimedia Commons/CC-BY-SA 3.0)

Ein von der IETF veröffentlichter RFC erlaubt es DNS-Servern, sogenannte Any-Anfragen nicht mehr zu beantworten. Der Hintergrund: Solche Anfragen können für Amplification-Angriffe missbraucht werden und sind zudem oft schwer zu implementieren. Initiiert wurde diese Änderung von der Firma Cloudflare. Deren Mitarbeiter Marek Majkowski erklärt die Hintergründe in einem Blogpost.

Stellenmarkt
  1. Polizeipräsidium Schwaben Süd/West, Kempten, Krumbach
  2. Dataport, verschiedene Standorte

Zu einer Domain sind in DNS-Servern üblicherweise verschiedene Records hinterlegt. Ein A-Record gibt etwa an, welche IPv4-Adresse standardmäßig zu einer Domain gehört, ein AAAA-Record liefert die passende IPv6-Adresse, ein MX-Record die zur Domain gehörenden Mailserver. Ein Client kann diese Records einzeln abfragen. Ein besonderer Anfragetyp namens Any sorgt dafür, dass ein DNS-Server alle dort vorhandenen Records zurückgibt.

Implementierung von Any komplex

Doch laut Majkowski gibt es mit diesen Any-Anfragen einige Probleme. In komplexeren Setups ist es nicht immer trivial möglich, alle Records auszugeben. Es gab demnach in der Cloudflare-DNS-Software eine ganze Reihe von Stellen, in denen Any als sehr komplexer Sonderfall behandelt wurde. Cloudflare hatte daher bereits 2015 entschieden, solche Any-Anfragen nicht mehr zu beantworten.

Von Anwendungen werden Any-Anfragen im Normalfall nicht genutzt. Laut dem Cloudflare-Blogpost gab es vor einigen Jahren eine Änderung in Firefox, bei der Any-Anfragen genutzt wurden, diese wurde aber kurz darauf zurückgenommen. Zudem nutzt der Mailserver Qmail Any-Queries. Laut einem Kommentar von Majkowski hat man dies beim Standard berücksichtigt, um sicherzustellen, dass die Zusammenarbeit mit Qmail weiterhin funktioniert.

Denial-of-Service-Angriffe mit DNS-Verstärkung

Ein weiterer Grund, der gegen die Beantwortung von Any-Anfragen spricht, sind Amplification-Angriffe. Der Hintergrund: Das UDP-Protokoll hat keinen Mechanismus, um sicherzustellen, dass der Absender eines Datenpakets tatsächlich echt ist. Das können Angreifer für Denial-of-Service-Angriffe ausnutzen, indem sie Anfragen an einen DNS-Server schicken, die eine falsche Absender-IP enthalten.

Da eine Antwort auf eine Any-Anfrage oft sehr groß ist, tritt hier ein Verstärkungseffekt auf: Der Angreifer schickt ein kleines Datenpaket, die Antwort, die beim Opfer landet, ist aber deutlich größer. Somit kann ein Angreifer mit einer vergleichsweise langsamen Internetleitung für eine große Menge an Datenverkehr sorgen, die das Opfer des Angriffs verarbeiten muss.

Der jetzt veröffentlichte RFC 8482 sieht nun vor, dass DNS-Server auf Any-Anfragen in verschiedener Weise reagieren können. So können sie etwa statt aller Records nur einen beliebigen Record schicken. Alternativ können sie einen sogenannten Host-Information-Record schicken und dort in einer kurzen Nachricht darauf hinweisen, dass die Funktion nicht unterstützt wird.

Unterschiedliches Verhalten über TCP und UDP möglich

Der RFC erlaubt es auch explizit, Anfragen mittels UDP und TCP unterschiedlich zu behandeln. Das ermöglicht es DNS-Servern, Any-Anfragen weiterhin zu unterstützen, ohne dass ein Risiko für Amplification-Angriffe besteht. Denn über TCP funktionieren diese nicht.

Für eine solche Lösung hat man sich beim Bind-Server entschieden. Dort gibt es seit Version 9.11 eine Option "minimal-any". Die führt dazu, dass Anfragen via TCP weiterhin normal beantwortet werden, bei Anfragen über UDP wird nur der erste konfigurierte Record zurückgegeben. Die meisten Tools verschicken Any-Anfragen automatisch über TCP, damit führt das in der Praxis dazu, dass die Anfragen im Normalfall für Debugging-Zwecke weiterhin funktionieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)
  2. (u. a. RTX 2080 ROG Strix Gaming Advanced für 699€, RTX 2080 SUPER Dual Evo OC für 739€ und...
  3. täglich neue Deals bei Alternate.de

MrCoffee 12. Apr 2019

Ich sehe da eher das Problem, dass eine Firma die stabile Netzwerkstruktur untergräbt...

DerET 20. Mär 2019

Worin besteht denn überhaupt die Notwendigkeit, Any Anfragen überhaupt zu stellen?


Folgen Sie uns
       


Smartphone-Kameravergleich 2019

Der Herbst ist Oberklasse-Smartphone-Zeit, und wir haben uns im Test die Kameras der aktuellen Geräte angeschaut. Im Vergleich zeigt sich, dass die Spitzengruppe bei der Bildqualität weiter zusammengerückt ist, es aber immer noch Geräte gibt, die sich durch bestimmte Funktionen hervortun.

Smartphone-Kameravergleich 2019 Video aufrufen
Deep Fakes: Hello, Adele - bist du's wirklich?
Deep Fakes
Hello, Adele - bist du's wirklich?

Mit Deep Fakes wird geblödelt, gehetzt und geputscht. Bedrohen Videos, die vorgaukeln, Stars und Politiker zu zeigen, die Demokratie? Möglich, nur anders, als wir denken.
Eine Analyse von Meike Laaff

  1. Machine Learning Kalifornien will gegen Deep-Fake-Pornografie vorgehen
  2. Machine Learning Tensorflow 2.0 macht Keras-API zum zentralen Bestandteil
  3. Neural Structured Learning Tensorflow lernt auf Graphen und strukturierten Daten

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

Radeon RX 5500 (4GB) im Test: AMDs beste 200-Euro-Karte seit Jahren
Radeon RX 5500 (4GB) im Test
AMDs beste 200-Euro-Karte seit Jahren

Mit der Radeon RX 5500 hat AMD endlich wieder eine sparsame und moderne Mittelklasse-Grafikkarte im Angebot. Verglichen mit Nvidias Geforce GTX 1650 Super reicht es zum Patt - aber nicht in allen Bereichen.
Ein Test von Marc Sauter

  1. Workstation-Grafikkarte AMDs Radeon Pro W5700 hat USB-C-Anschluss
  2. Navi-Grafikeinheit Apple bekommt Vollausbau und AMD bringt RX 5300M
  3. Navi-14-Grafikkarte AMD stellt Radeon RX 5500 vor

    •  /