SPD und das DNS-Server Problem

In seinem Blog weist Christoph Hochstätter darauf hin, dass es eben doch keinen zensurfreien DNS Server bei der SPD gäbe.

Tatsächlich ergeben seine Recherchen, dass der Server einen Forwarder benutzt, den man so nicht sieht. Dies ist aber ein Umstand, den ich nicht testen konnte, weil ich leider keinen Zugriff auf die Logs eines autorativen DNS habe.

Obwohl der DNS Server offen ist -was ja laut Herrn Fischer so böse sein soll- ist er daher vermutlich nicht geeignet, die Zensur zu umgehen, weil der Forwarder falsche Antworten geben wird. Schade, dadurch ist die Sache natürlich nicht mehr ganz so lustig.

Christoph schrieb hierzu in den Kommentaren sehr passend:

Ist ja auch ziemlich komplex das Thema. Zum Glück zu komplex, dass die Provider es beherrschen würden.

Ob der offene Server der SPD nun wirklich auf die Zensur läuft, oder nicht, werden wir erst sehen, wenn die ersten Sperrlisten geleakt werden.

Falls der SPD Server solange lebt, da er in die ganze Welt rausposaunt, dass er nicht gegen die DDoS -Attacke, die Dan Kaminsky beschreibt, gesichert ist.

Update: Christoph Hochstätter hat eine weitere amüsante Entdeckung gemacht: Probiert mal “host -a -l spd.de dns2.spd.de” aus (siehe Kommentar).

Tags: , , , ,

14 Antworten zu “SPD und das DNS-Server Problem”

  1. SPD vs. Zensur…

    Wer bisher dachte die SPD gehe mit der geplanten Internetzensur konform, hat sich wohl geirrt. Denn die SPD selbst bietet einen eigenen, offenen DNS Server an, der, zumindest bisher, nichts zensiert. Mehr dazu hier. Ich schmeiß mich weg!

    Update: …

  2. Nein, es sieht nicht danach aus, als ob die SPD etwas geändert hätte. In der Authortity-Section kommen in der Regel immer die NS-Einträge, die der Server gerade im Cache hat. (root, DE-TLD, oder eben von cdu.de)

    Da er Forwarder konfiguriert hat, muss er nicht selbst die NS-Server rauskriegen.

    Beispiel:

    Ich vermute mal, dass der SPD-Server ZDNet.de nicht im Cache hat. Ich frage “dig @dns2.spd.de zdnet.de”.

    Dann kommt:
    ——-
    ;; AUTHORITY SECTION:
    de. 42999 IN NS z.nic.de.
    de. 42999 IN NS a.nic.de.
    de. 42999 IN NS c.de.net.
    de. 42999 IN NS f.nic.de.
    de. 42999 IN NS l.de.net.
    de. 42999 IN NS s.de.net.
    ———-

    Jetzt frage ich unmittelbar danach “dig @dns2.spd.de zdnet.de NS”.

    Und danach wieder meine ursprüngliche Query “dig @dns2.spd.de zdnet.de”. Die Antwort ist jetzt anders als noch vor wenigen Sekunden:

    ———-
    ;; AUTHORITY SECTION:
    zdnet.de. 402 IN NS ns2.cnet.com.
    zdnet.de. 402 IN NS ns.cnet.com.
    zdnet.de. 402 IN NS ns2.cnet.co.uk.
    ———-

    Einfach deswegen, weil der SPD-Server jetzt die Nameserver von ZDNet.de im Cache hat. Die 402 ist die Cache-Restlaufzeit in Seklunden. nach 402 Sekunden kommt wieder die alte Antwort “a.nic.de, etc.”

    • Jali sagt:

      Zwei Punkte die dagegen sprechen:
      1. Ich habe die Anfrage an den SPD Server ja nicht nur einmal gestellt, die Ergebnisse hätten sich also unterscheiden müssen. Haben sie aber nicht.

      2. Der Nameserver von Arcor, den die SPD jetzt benutzt, ist auch für cdu.de autorativ. Warum sollte der Arcorserver, der als forwarder dient, dann an die Rooterver weiterfragen, wenn er die angefragte Domain selbst verwaltet, also auch die Antwort selber geben kann?

      • Sorry Jali, aber es ist definitiv nicht so. Die Ergebnisse unterscheiden sich in der Cache-Zeit.

        Zu 1)

        Wenn man mehrmals “dig @dns2.spd.de cdu.de” fragt, sieht man in der Authority-Section, wie die Cachzeit runterläuft.

        E.g. Erste Antwort:

        ;; AUTHORITY SECTION:
        cdu.de. 2314 IN NS ns3.arcor-ip.de.
        cdu.de. 2314 IN NS wall.cdu.de.
        cdu.de. 2314 IN NS ns1.arcor-ip.de.
        cdu.de. 2314 IN NS ns2.arcor-ip.de.

        Ein paar Minuten später kommt

        ;; AUTHORITY SECTION:
        cdu.de. 2170 IN NS ns2.arcor-ip.de.
        cdu.de. 2170 IN NS ns3.arcor-ip.de.
        cdu.de. 2170 IN NS wall.cdu.de.
        cdu.de. 2170 IN NS ns1.arcor-ip.de.

        Die Cache-Zeit ist von 2314 auf 2170 zurückgelaufen. Wenn die auf 0 läuft kommen wieder “a.nic.de, etc.”, sofern in der Zwischenzeit niemand eine NS-Query nach cdu.de gestellt hat.

        Zu 2)
        Für cdu.de sind die Server NS1.arcor-ip.de bis NS3.arcor-ip.de autoritativ, die Forwarder sind DNS1.arcor-ip.de bis DNS11.arcor-ip.de. Kleiner aber feiner Unterschied.

        Ferner sind die Arcor-Server von Nominum nicht so auskunfstfreudig wie ein BIND-Server in Standard-Config. Das heißt, sie geben keine Authority-Section zurück, wenn sie nicht müssen.

        “dig @DNS5.arcor-ip.de cdu.de” ergibt:

        ; <> DiG 9.4.2-P1 <> @DNS5.arcor-ip.de cdu.de
        ; (1 server found)
        ;; global options: printcmd
        ;; Got answer:
        ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1694
        ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

        ;; QUESTION SECTION:
        ;cdu.de. IN A

        ;; ANSWER SECTION:
        cdu.de. 7200 IN A 193.219.105.10

        ;; Query time: 173 msec
        ;; SERVER: 195.50.140.114#53(195.50.140.114)
        ;; WHEN: Fri Aug 7 12:37:49 2009
        ;; MSG SIZE rcvd: 40

        Also teilt der Forwarder auf eine A-Query keine Nameserver mit. Und genau aus diesem Grund kennt der SPD-Server sie auch nicht. Der ist zwar bereit, sie freiwillig rauszurücken, wenn er sie kennt, aber wenn nicht, dann nicht. Das ist das Standard-Verhalten von BIND9.

    • Jali sagt:

      Ich habe Deine Argumentation jetzt noch mal in Detail nachvollzogen, und ziehe meine Aussage zurück, Du hast recht, ohne einen dig auf den NS Eintrag zu machen, sieht man den Nameserver nicht.

      • Sorry, hatte sich jetzt überschnitten. Aber das macht überhaupt nichts. Je mehr Leute jetzt beginnen, sich mit den Eigenheiten von Servern der ehemaligen Volksparteien und den Zensurprovidern auseinanderzusetzen, umso besser ist es ;-)

        Ist ja auch ziemlich komplex das Thema. Zum Glück zu komplex, dass die Provider es beherrschen würden.

  3. Ich habe gerade noch etwas Lustiges entdeckt.

    Der SPD-Server erlaubt auch AXFR für alle. Securitymäßig scheinen die Leute der SPD-eigenen Office-Consult gut drauf zu sein ;-)

    Wenn es schon keinen gläsernen Staat gibt, dann wenigstens eine gläserne Partei.

    Man probiere mal den Befehl “host -a -l spd.de dns2.spd.de”

  4. Besonders gefallen mir eigentum-verpflichtet.spd.de und gute-arbeit.spd.de. lol

    Aber es gibt sogar it-forum.spd.de…

  5. akimo sagt:

    Sehr schön, die haben direkt aus Subversion ausgecheckt:

    http://cms.p018-schatzmeisterin.spd.de/ContentManager/cms/images/.svn/

  6. oli sagt:

    AXFR funktioniert nicht mehr. kann das mal jemand posten?

Hinterlasse eine Antwort