Zum Inhalt springen

Root-Nameserver

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 13. März 2007 um 07:51 Uhr durch Soloturn (Diskussion | Beiträge) (Root Server sind über die ganze Welt verteilt). Sie kann sich erheblich von der aktuellen Version unterscheiden.
Mirror des K-Root-Servers in Amsterdam

Root-Server nehmen im Internet Anfragen des Domain Name System von Computern aus aller Welt entgegen und verweisen auf die autoritativen DNS-Servern der gewünschten Top Level Domain (TLD).

Root-Server stehen hierarchisch gesehen an oberster Stelle im Domain Name System. Sie werden von verschiedenen Institutionen betrieben, die ICANN koordiniert den Betrieb.

Root Server sind über die ganze Welt verteilt

Es gibt 13 von der ICANN koordinierte Root-Server im Internet („A“ bis „M“). Dies stellt ein Maximum dar, da nur 13 Root-Server mit ihren Adressen in ein UDP-Antwort-Paket auf eine SOA-Anfrage passen. Das DNS erlaubt UDP-Pakete nur bis 512 Byte, darüber muss das ressourcenintensivere TCP verwendet werden.

Buchstabe Alter Name Betreiber Ort
A ns.internic.net VeriSign Dulles, Virginia, USA
B ns1.isi.edu ISI Marina Del Rey, Kalifornien, USA
C c.psi.net Cogent Communications verteilt (anycast)
D terp.umd.edu University of Maryland College Park, Maryland, USA
E ns.nasa.gov NASA Mountain View, Kalifornien, USA
F ns.isc.org ISC verteilt (anycast)
G ns.nic.ddn.mil U.S. DoD NIC Columbus, Ohio, USA
H aos.arl.army.mil U.S. Army Research Lab Aberdeen Proving Ground, Maryland, USA
I nic.nordu.net Autonomica verteilt (anycast)
J VeriSign verteilt (anycast)
K RIPE NCC verteilt (anycast)
L ICANN Los Angeles, Kalifornien, USA
M WIDE Project verteilt (anycast)

Einige Root-Server bestehen jedoch nicht aus einem, sondern mehreren Computern, die zu einem logischen Server zusammengeschlossen sind. Diese Computer (Nodes) befinden sich an verschiedenen Standorten um die ganze Welt und sind per Anycast über dieselbe IP-Adresse erreichbar. Anfang 2007 nutzen sechs Root-Server Anycast[1].

Ende 2006 gab es zusammen mit allen Anycast-Instanzen 123 Root-Server

Aktualisierung des Inhalts

Änderungsanträge an der Root-Zone werden zunächst von der ICANN im Rahmen der IANA-Aufgaben auf technische Korrektheit geprüft, anschließend an das U.S. Department of Commerce weitergeleitet. Dieses beauftragt VeriSign die Änderung der Zone zu publizieren.[2] Alle Root-Server synchronisieren ihren Datenbestand von redundanten Verteilungs-Servern von VeriSign. In der Vergangenheit synchronisierten die Root-Server noch zwei mal täglich direkt vom A-Root, dies wurde jedoch aufgegeben, um diesen Single Point of Failure zu beseitigen.

Ausfallsicherheit und Angriffe

Die Root-Server bearbeiten eine sehr große Anzahl von Anfragen, ein erheblicher Teil davon verursacht durch fehlerhafte Software oder Netzwerkkonfiguration. Eine Filterung auf DNS-Ebene findet nicht statt, da dies aufgrund der Einfachheit einer DNS-Anfrage mehr Ressourcen aufwenden würde, als alle Anfragen zu beantworten.

Gemäß RFC 2870 muss jeder Root-Server mit dem dreifachen Peak des am stärksten belasteten Root-Servers umgehen können. Das bedeutet, dass ein Root-Server im Normalbetrieb nur maximal ein Drittel seiner Kapazität ausnutzen darf. Fallen zwei Drittel der Root-Server aus, soll das noch betriebsfähige Drittel die Anfragen beantworten können.

Der Angriff mit der größten Wirkung auf die Root-Server fand am 21. Oktober 2002 statt. Ein DDoS erfolgte 75 Minuten lang mit zusammen 900 MBit/s (1,8 Mpkts/s) auf alle 13 Root-Server. Alle Root-Server blieben zwar lauffähig, da die vorgeschalteten Firewalls den Angriffsverkehr verwarfen, allerdings waren etwa neun Root-Server durch die überfluteten Leitungen schlecht bis gar nicht erreichbar. Root-Server-Lookups wurden dadurch deutlich verzögert, durch das Caching gab es jedoch kaum Störungen bei den Anwendern. Ausgelöst durch den DDoS-Angriff wurde die Umsetzung von Anycast beschleunigt.

Ein weiterer Angriff fand am 15. Februar 2006 statt, einige Tage, nachdem die Nameserver einer von der ICANN nicht genannten Top-Level-Domain angegriffen worden waren.[3] Dieser DDoS-Angriff wurde als DNS Amplification Attack durchgeführt, wodurch sich das aufgekommene Datenvolumen vervielfachte. Zwei der lediglich drei angegriffenen Root-Server waren 15 Minuten lang nicht erreichbar.

Am 6. Februar 2007 fand ein weiterer DDoS-Angriff auf die Root-Server und gleichzeitig auf einige TLD-Nameserver statt. Zwei Root-Server waren nicht erreichbar.[4]

Kritik

Heute erachten es manche für problematisch, dass VeriSign und das US-Handelsministerium eine zentrale Rolle im Prozess der Root-Zonenänderung spielen.

Bevor Anycast eingesetzt wurde, befand sich der überwiegende Großteil der Root-Server aus historischen Gründen in den USA. Dies wurde kritisiert, da es das Domain Name System, welches einen wesentlichen Bestandteil des Internets darstellte, für physische Angriffe verwundbarer machte.

Historische Root-Server-Karte vor dem Einsatz von Anycast

Unter anderem deshalb entstanden alternative Root-Server-Netzwerke wie das europäische Open Root Server Network.

Quellennachweise

  1. http://root-servers.org
  2. http://iana.org/procedures/process-flow.html
  3. http://icann.org/committees/security/dns-ddos-advisory-31mar06.pdf
  4. http://heise.de/netze/news/meldung/84880
Abgerufen von „https://de.wikipedia.org/w/index.php?title=Root-Nameserver&oldid=29064989