• IT-Karriere:
  • Services:

DNS: Any-Anfragen müssen nicht mehr beantwortet werden

Bisher war es laut Standard möglich, von DNS-Servern eine Liste aller Records für eine Domain anzufragen. Doch das ist problematisch und kann für Amplification-Angriffe missbraucht werden. Ein neuer RFC sagt daher, dass man diese Anfragen nicht mehr beantworten muss.

Artikel veröffentlicht am , Hanno Böck
Standardkonforme DNS-Server müssen Any-Anfragen in Zukunft nicht mehr beantworten.
Standardkonforme DNS-Server müssen Any-Anfragen in Zukunft nicht mehr beantworten. (Bild: Victorgrigas, Wikimedia Commons/CC-BY-SA 3.0)

Ein von der IETF veröffentlichter RFC erlaubt es DNS-Servern, sogenannte Any-Anfragen nicht mehr zu beantworten. Der Hintergrund: Solche Anfragen können für Amplification-Angriffe missbraucht werden und sind zudem oft schwer zu implementieren. Initiiert wurde diese Änderung von der Firma Cloudflare. Deren Mitarbeiter Marek Majkowski erklärt die Hintergründe in einem Blogpost.

Stellenmarkt
  1. LÖWEN ENTERTAINMENT GmbH, Rellingen
  2. BERLIN-CHEMIE AG, Berlin

Zu einer Domain sind in DNS-Servern üblicherweise verschiedene Records hinterlegt. Ein A-Record gibt etwa an, welche IPv4-Adresse standardmäßig zu einer Domain gehört, ein AAAA-Record liefert die passende IPv6-Adresse, ein MX-Record die zur Domain gehörenden Mailserver. Ein Client kann diese Records einzeln abfragen. Ein besonderer Anfragetyp namens Any sorgt dafür, dass ein DNS-Server alle dort vorhandenen Records zurückgibt.

Implementierung von Any komplex

Doch laut Majkowski gibt es mit diesen Any-Anfragen einige Probleme. In komplexeren Setups ist es nicht immer trivial möglich, alle Records auszugeben. Es gab demnach in der Cloudflare-DNS-Software eine ganze Reihe von Stellen, in denen Any als sehr komplexer Sonderfall behandelt wurde. Cloudflare hatte daher bereits 2015 entschieden, solche Any-Anfragen nicht mehr zu beantworten.

Von Anwendungen werden Any-Anfragen im Normalfall nicht genutzt. Laut dem Cloudflare-Blogpost gab es vor einigen Jahren eine Änderung in Firefox, bei der Any-Anfragen genutzt wurden, diese wurde aber kurz darauf zurückgenommen. Zudem nutzt der Mailserver Qmail Any-Queries. Laut einem Kommentar von Majkowski hat man dies beim Standard berücksichtigt, um sicherzustellen, dass die Zusammenarbeit mit Qmail weiterhin funktioniert.

Denial-of-Service-Angriffe mit DNS-Verstärkung

Ein weiterer Grund, der gegen die Beantwortung von Any-Anfragen spricht, sind Amplification-Angriffe. Der Hintergrund: Das UDP-Protokoll hat keinen Mechanismus, um sicherzustellen, dass der Absender eines Datenpakets tatsächlich echt ist. Das können Angreifer für Denial-of-Service-Angriffe ausnutzen, indem sie Anfragen an einen DNS-Server schicken, die eine falsche Absender-IP enthalten.

Da eine Antwort auf eine Any-Anfrage oft sehr groß ist, tritt hier ein Verstärkungseffekt auf: Der Angreifer schickt ein kleines Datenpaket, die Antwort, die beim Opfer landet, ist aber deutlich größer. Somit kann ein Angreifer mit einer vergleichsweise langsamen Internetleitung für eine große Menge an Datenverkehr sorgen, die das Opfer des Angriffs verarbeiten muss.

Der jetzt veröffentlichte RFC 8482 sieht nun vor, dass DNS-Server auf Any-Anfragen in verschiedener Weise reagieren können. So können sie etwa statt aller Records nur einen beliebigen Record schicken. Alternativ können sie einen sogenannten Host-Information-Record schicken und dort in einer kurzen Nachricht darauf hinweisen, dass die Funktion nicht unterstützt wird.

Unterschiedliches Verhalten über TCP und UDP möglich

Der RFC erlaubt es auch explizit, Anfragen mittels UDP und TCP unterschiedlich zu behandeln. Das ermöglicht es DNS-Servern, Any-Anfragen weiterhin zu unterstützen, ohne dass ein Risiko für Amplification-Angriffe besteht. Denn über TCP funktionieren diese nicht.

Für eine solche Lösung hat man sich beim Bind-Server entschieden. Dort gibt es seit Version 9.11 eine Option "minimal-any". Die führt dazu, dass Anfragen via TCP weiterhin normal beantwortet werden, bei Anfragen über UDP wird nur der erste konfigurierte Record zurückgegeben. Die meisten Tools verschicken Any-Anfragen automatisch über TCP, damit führt das in der Praxis dazu, dass die Anfragen im Normalfall für Debugging-Zwecke weiterhin funktionieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 9,99€
  2. (-20%) 47,99€
  3. 14,29€
  4. 39,99€

MrCoffee 12. Apr 2019

Ich sehe da eher das Problem, dass eine Firma die stabile Netzwerkstruktur untergräbt...

DerET 20. Mär 2019

Worin besteht denn überhaupt die Notwendigkeit, Any Anfragen überhaupt zu stellen?


Folgen Sie uns
       


Rahmenloser TV von Samsung (CES 2020)

Der fast unsichtbare Rand des Q950TS hat anscheinend nicht nur Vorteile.

Rahmenloser TV von Samsung (CES 2020) Video aufrufen
Streaming: Zehn besondere Serien für die Zeit der Isolation
Streaming
Zehn besondere Serien für die Zeit der Isolation

Kein Kino, kein Fitnessstudio, kein Theater, keine Bars, kein gar nix. Das Coronavirus hat das Land (und die Welt) lahmgelegt, so dass viele nun zu Hause sitzen: Zeit für Serien-Streaming.
Eine Rezension von Peter Osteried

  1. Videostreaming Fox kauft Tubi für 440 Millionen US-Dollar
  2. Musikindustrie in Deutschland Mehr Umsatz dank Audiostreaming
  3. Besuch bei Justwatch Größte Streaming-Suchmaschine ohne echte Konkurrenz

Coronakrise: Hardware-Industrie auf dem Weg der Besserung
Coronakrise
Hardware-Industrie auf dem Weg der Besserung

Fast alle Fabriken für Hardware laufen wieder - trotz verlängertem Chinese New Year. Bei Launches und Lieferengpässen sieht es anders aus.
Ein Bericht von Marc Sauter

  1. Kaufberatung (2020) Die richtige CPU und Grafikkarte
  2. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen

Coronavirus: Spiele statt Schule
Coronavirus
Spiele statt Schule

Wer wegen des Coronavirus mit Kindern zu Hause ist, braucht einen spannenden Zeitvertreib. Unser Autor - selbst Vater - findet: Computerspiele können ein sinnvolles Angebot sein. Vorausgesetzt, man wählt die richtigen.
Von Rainer Sigl

  1. Google Chrome rollt Regeln für Same-Site-Cookies vorerst zurück
  2. Coronavirus Österreich diskutiert verpflichtendes Tracking
  3. Sport@home Kampfkunst geht online

    •  /