DNS: Any-Anfragen müssen nicht mehr beantwortet werden

Bisher war es laut Standard möglich, von DNS-Servern eine Liste aller Records für eine Domain anzufragen. Doch das ist problematisch und kann für Amplification-Angriffe missbraucht werden. Ein neuer RFC sagt daher, dass man diese Anfragen nicht mehr beantworten muss.

Artikel veröffentlicht am , Hanno Böck
Standardkonforme DNS-Server müssen Any-Anfragen in Zukunft nicht mehr beantworten.
Standardkonforme DNS-Server müssen Any-Anfragen in Zukunft nicht mehr beantworten. (Bild: Victorgrigas, Wikimedia Commons/CC-BY-SA 3.0)

Ein von der IETF veröffentlichter RFC erlaubt es DNS-Servern, sogenannte Any-Anfragen nicht mehr zu beantworten. Der Hintergrund: Solche Anfragen können für Amplification-Angriffe missbraucht werden und sind zudem oft schwer zu implementieren. Initiiert wurde diese Änderung von der Firma Cloudflare. Deren Mitarbeiter Marek Majkowski erklärt die Hintergründe in einem Blogpost.

Stellenmarkt
  1. Senior Software Developer (w/m/d)
    Allianz Deutschland AG, Stuttgart
  2. Gruppenleitung (m/w/d) Sales Systems (eCommerce)
    ITERGO Informationstechnologie GmbH, München
Detailsuche

Zu einer Domain sind in DNS-Servern üblicherweise verschiedene Records hinterlegt. Ein A-Record gibt etwa an, welche IPv4-Adresse standardmäßig zu einer Domain gehört, ein AAAA-Record liefert die passende IPv6-Adresse, ein MX-Record die zur Domain gehörenden Mailserver. Ein Client kann diese Records einzeln abfragen. Ein besonderer Anfragetyp namens Any sorgt dafür, dass ein DNS-Server alle dort vorhandenen Records zurückgibt.

Implementierung von Any komplex

Doch laut Majkowski gibt es mit diesen Any-Anfragen einige Probleme. In komplexeren Setups ist es nicht immer trivial möglich, alle Records auszugeben. Es gab demnach in der Cloudflare-DNS-Software eine ganze Reihe von Stellen, in denen Any als sehr komplexer Sonderfall behandelt wurde. Cloudflare hatte daher bereits 2015 entschieden, solche Any-Anfragen nicht mehr zu beantworten.

Von Anwendungen werden Any-Anfragen im Normalfall nicht genutzt. Laut dem Cloudflare-Blogpost gab es vor einigen Jahren eine Änderung in Firefox, bei der Any-Anfragen genutzt wurden, diese wurde aber kurz darauf zurückgenommen. Zudem nutzt der Mailserver Qmail Any-Queries. Laut einem Kommentar von Majkowski hat man dies beim Standard berücksichtigt, um sicherzustellen, dass die Zusammenarbeit mit Qmail weiterhin funktioniert.

Denial-of-Service-Angriffe mit DNS-Verstärkung

Ein weiterer Grund, der gegen die Beantwortung von Any-Anfragen spricht, sind Amplification-Angriffe. Der Hintergrund: Das UDP-Protokoll hat keinen Mechanismus, um sicherzustellen, dass der Absender eines Datenpakets tatsächlich echt ist. Das können Angreifer für Denial-of-Service-Angriffe ausnutzen, indem sie Anfragen an einen DNS-Server schicken, die eine falsche Absender-IP enthalten.

Da eine Antwort auf eine Any-Anfrage oft sehr groß ist, tritt hier ein Verstärkungseffekt auf: Der Angreifer schickt ein kleines Datenpaket, die Antwort, die beim Opfer landet, ist aber deutlich größer. Somit kann ein Angreifer mit einer vergleichsweise langsamen Internetleitung für eine große Menge an Datenverkehr sorgen, die das Opfer des Angriffs verarbeiten muss.

Der jetzt veröffentlichte RFC 8482 sieht nun vor, dass DNS-Server auf Any-Anfragen in verschiedener Weise reagieren können. So können sie etwa statt aller Records nur einen beliebigen Record schicken. Alternativ können sie einen sogenannten Host-Information-Record schicken und dort in einer kurzen Nachricht darauf hinweisen, dass die Funktion nicht unterstützt wird.

Unterschiedliches Verhalten über TCP und UDP möglich

Der RFC erlaubt es auch explizit, Anfragen mittels UDP und TCP unterschiedlich zu behandeln. Das ermöglicht es DNS-Servern, Any-Anfragen weiterhin zu unterstützen, ohne dass ein Risiko für Amplification-Angriffe besteht. Denn über TCP funktionieren diese nicht.

Für eine solche Lösung hat man sich beim Bind-Server entschieden. Dort gibt es seit Version 9.11 eine Option "minimal-any". Die führt dazu, dass Anfragen via TCP weiterhin normal beantwortet werden, bei Anfragen über UDP wird nur der erste konfigurierte Record zurückgegeben. Die meisten Tools verschicken Any-Anfragen automatisch über TCP, damit führt das in der Praxis dazu, dass die Anfragen im Normalfall für Debugging-Zwecke weiterhin funktionieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Screenshots zeigen neue Oberfläche
Windows 11 geleakt

Durch einen Leak der ISO von Microsofts Betriebssystem Windows 11 sind Details der Benutzeroberfläche inklusive des Startmenüs bekannt geworden.

Screenshots zeigen neue Oberfläche: Windows 11 geleakt
Artikel
  1. Suchmaschinen: Huawei könnte bei Google-Konkurrent Qwant einsteigen
    Suchmaschinen
    Huawei könnte bei Google-Konkurrent Qwant einsteigen

    Die französische Suchmaschine Qwant macht weiterhin mehr Verluste als Umsatz. Das Geld von Huawei kann sie daher dringend gebrauchen.

  2. Mikromobilität: Im Rhein liegen Hunderte E-Scooter
    Mikromobilität
    Im Rhein liegen Hunderte E-Scooter

    Sie aus dem Wasser holen zu lassen ist zumindest einem Vermieter der E-Scooter zu teuer.

  3. Elon Musk: Tesla-Chef verkauft sein letztes Haus in Kalifornien
    Elon Musk
    Tesla-Chef verkauft sein letztes Haus in Kalifornien

    Seit Mitte 2020 trennt sich Elon Musk nach und nach von seinen Immobilien. Nun verkauft er sein letztes Anwesen - eine Villa in Kalifornien.

MrCoffee 12. Apr 2019

Ich sehe da eher das Problem, dass eine Firma die stabile Netzwerkstruktur untergräbt...

DerET 20. Mär 2019

Worin besteht denn überhaupt die Notwendigkeit, Any Anfragen überhaupt zu stellen?


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial MX500 500GB 48,99€ • Amazon-Geräte günstiger • WD Black SN850 500GB PCIe 4.0 89€ • Apple iPhone 12 mini 64GB Rot 589€ • Far Cry 6 + Steelbook PS5 69,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Amazon Music Ultd. 6 Mon. gratis bei Kauf eines Echo Dot (4. Gen.) [Werbung]
    •  /