Kommentare zu: SPD und das DNS-Server Problem /2009/08/spd-und-da-dns-server-problem/ Fri, 27 May 2011 19:27:19 +0200 http://wordpress.org/?v=2.8.4 hourly 1 Von: huettn /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-785 huettn Mon, 10 Aug 2009 13:28:03 +0000 /?p=1745#comment-785 Ja, funzt seit gestern nicht mehr. Siehe auch: http://www.zdnet.de/news/wirtschaft_sicherheit_security_spd_schliesst_sicherheitsluecken_in_ihrem_dns_server_nur_teilweise_story-39001024-41501187-1.htm Komme gerade nicht zum Posten, vielleicht hat Jali nachher Zeit. Ja, funzt seit gestern nicht mehr. Siehe auch: http://www.zdnet.de/news/wirtschaft_sicherheit_security_spd_schliesst_sicherheitsluecken_in_ihrem_dns_server_nur_teilweise_story-39001024-41501187-1.htm

Komme gerade nicht zum Posten, vielleicht hat Jali nachher Zeit.

]]> Von: oli /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-781 oli Mon, 10 Aug 2009 09:23:08 +0000 /?p=1745#comment-781 AXFR funktioniert nicht mehr. kann das mal jemand posten? AXFR funktioniert nicht mehr. kann das mal jemand posten?

]]> Von: Borch /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-759 Borch Sun, 09 Aug 2009 13:41:18 +0000 /?p=1745#comment-759 [Quote] Aber es gibt sogar it-forum.spd.de… [/Quote] Is gibt echt noch Admins die für Parteien arbeiten, pfui Teufel, das ja fast wie Anwald sein.... GvBorch [Quote] Aber es gibt sogar it-forum.spd.de… [/Quote]

Is gibt echt noch Admins die für Parteien arbeiten, pfui Teufel, das ja fast wie Anwald sein….

GvBorch

]]> Von: huettn /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-739 huettn Sat, 08 Aug 2009 21:18:41 +0000 /?p=1745#comment-739 lol: http://twitter.com/gabarian/statuses/3178708460 lol: http://twitter.com/gabarian/statuses/3178708460

]]> Von: akimo /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-708 akimo Fri, 07 Aug 2009 19:24:57 +0000 /?p=1745#comment-708 Sehr schön, die haben direkt aus Subversion ausgecheckt: http://cms.p018-schatzmeisterin.spd.de/ContentManager/cms/images/.svn/ Sehr schön, die haben direkt aus Subversion ausgecheckt:

http://cms.p018-schatzmeisterin.spd.de/ContentManager/cms/images/.svn/

]]> Von: Christoph H. Hochstätter /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-702 Christoph H. Hochstätter Fri, 07 Aug 2009 14:20:18 +0000 /?p=1745#comment-702 Mir gefiel besonders vpngate.spd.de und cms.p017-hubertus-heil.spd.de ;-) Auf stats.spd.de kommt man leider nicht drauf Mir gefiel besonders vpngate.spd.de und cms.p017-hubertus-heil.spd.de ;-)

Auf stats.spd.de kommt man leider nicht drauf

]]> Von: Ursula von den Laien /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-701 Ursula von den Laien Fri, 07 Aug 2009 13:11:27 +0000 /?p=1745#comment-701 Besonders gefallen mir eigentum-verpflichtet.spd.de und gute-arbeit.spd.de. lol Aber es gibt sogar it-forum.spd.de... Besonders gefallen mir eigentum-verpflichtet.spd.de und gute-arbeit.spd.de. lol

Aber es gibt sogar it-forum.spd.de…

]]> Von: Christoph H. Hochstätter /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-693 Christoph H. Hochstätter Fri, 07 Aug 2009 11:01:04 +0000 /?p=1745#comment-693 Ich habe gerade noch etwas Lustiges entdeckt. Der SPD-Server erlaubt auch AXFR für alle. Securitymäßig scheinen die Leute der SPD-eigenen Office-Consult gut drauf zu sein ;-) Wenn es schon keinen gläsernen Staat gibt, dann wenigstens eine gläserne Partei. Man probiere mal den Befehl "host -a -l spd.de dns2.spd.de" Ich habe gerade noch etwas Lustiges entdeckt.

Der SPD-Server erlaubt auch AXFR für alle. Securitymäßig scheinen die Leute der SPD-eigenen Office-Consult gut drauf zu sein ;-)

Wenn es schon keinen gläsernen Staat gibt, dann wenigstens eine gläserne Partei.

Man probiere mal den Befehl “host -a -l spd.de dns2.spd.de”

]]> Von: Christoph H. Hochstätter /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-692 Christoph H. Hochstätter Fri, 07 Aug 2009 10:42:55 +0000 /?p=1745#comment-692 Sorry, hatte sich jetzt überschnitten. Aber das macht überhaupt nichts. Je mehr Leute jetzt beginnen, sich mit den Eigenheiten von Servern der ehemaligen Volksparteien und den Zensurprovidern auseinanderzusetzen, umso besser ist es ;-) Ist ja auch ziemlich komplex das Thema. Zum Glück zu komplex, dass die Provider es beherrschen würden. Sorry, hatte sich jetzt überschnitten. Aber das macht überhaupt nichts. Je mehr Leute jetzt beginnen, sich mit den Eigenheiten von Servern der ehemaligen Volksparteien und den Zensurprovidern auseinanderzusetzen, umso besser ist es ;-)

Ist ja auch ziemlich komplex das Thema. Zum Glück zu komplex, dass die Provider es beherrschen würden.

]]> Von: Christoph H. Hochstätter /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-690 Christoph H. Hochstätter Fri, 07 Aug 2009 10:39:57 +0000 /?p=1745#comment-690 Sorry Jali, aber es ist definitiv nicht so. Die Ergebnisse unterscheiden sich in der Cache-Zeit. Zu 1) Wenn man mehrmals "dig @dns2.spd.de cdu.de" fragt, sieht man in der Authority-Section, wie die Cachzeit runterläuft. E.g. Erste Antwort: ;; AUTHORITY SECTION: cdu.de. 2314 IN NS ns3.arcor-ip.de. cdu.de. 2314 IN NS wall.cdu.de. cdu.de. 2314 IN NS ns1.arcor-ip.de. cdu.de. 2314 IN NS ns2.arcor-ip.de. Ein paar Minuten später kommt ;; AUTHORITY SECTION: cdu.de. 2170 IN NS ns2.arcor-ip.de. cdu.de. 2170 IN NS ns3.arcor-ip.de. cdu.de. 2170 IN NS wall.cdu.de. cdu.de. 2170 IN NS ns1.arcor-ip.de. Die Cache-Zeit ist von 2314 auf 2170 zurückgelaufen. Wenn die auf 0 läuft kommen wieder "a.nic.de, etc.", sofern in der Zwischenzeit niemand eine NS-Query nach cdu.de gestellt hat. Zu 2) Für cdu.de sind die Server NS1.arcor-ip.de bis NS3.arcor-ip.de autoritativ, die Forwarder sind DNS1.arcor-ip.de bis DNS11.arcor-ip.de. Kleiner aber feiner Unterschied. Ferner sind die Arcor-Server von Nominum nicht so auskunfstfreudig wie ein BIND-Server in Standard-Config. Das heißt, sie geben keine Authority-Section zurück, wenn sie nicht müssen. "dig @DNS5.arcor-ip.de cdu.de" ergibt: ; <> DiG 9.4.2-P1 <> @DNS5.arcor-ip.de cdu.de ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1694 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;cdu.de. IN A ;; ANSWER SECTION: cdu.de. 7200 IN A 193.219.105.10 ;; Query time: 173 msec ;; SERVER: 195.50.140.114#53(195.50.140.114) ;; WHEN: Fri Aug 7 12:37:49 2009 ;; MSG SIZE rcvd: 40 Also teilt der Forwarder auf eine A-Query keine Nameserver mit. Und genau aus diesem Grund kennt der SPD-Server sie auch nicht. Der ist zwar bereit, sie freiwillig rauszurücken, wenn er sie kennt, aber wenn nicht, dann nicht. Das ist das Standard-Verhalten von BIND9. Sorry Jali, aber es ist definitiv nicht so. Die Ergebnisse unterscheiden sich in der Cache-Zeit.

Zu 1)

Wenn man mehrmals “dig @dns2.spd.de cdu.de” fragt, sieht man in der Authority-Section, wie die Cachzeit runterläuft.

E.g. Erste Antwort:

;; AUTHORITY SECTION:
cdu.de. 2314 IN NS ns3.arcor-ip.de.
cdu.de. 2314 IN NS wall.cdu.de.
cdu.de. 2314 IN NS ns1.arcor-ip.de.
cdu.de. 2314 IN NS ns2.arcor-ip.de.

Ein paar Minuten später kommt

;; AUTHORITY SECTION:
cdu.de. 2170 IN NS ns2.arcor-ip.de.
cdu.de. 2170 IN NS ns3.arcor-ip.de.
cdu.de. 2170 IN NS wall.cdu.de.
cdu.de. 2170 IN NS ns1.arcor-ip.de.

Die Cache-Zeit ist von 2314 auf 2170 zurückgelaufen. Wenn die auf 0 läuft kommen wieder “a.nic.de, etc.”, sofern in der Zwischenzeit niemand eine NS-Query nach cdu.de gestellt hat.

Zu 2)
Für cdu.de sind die Server NS1.arcor-ip.de bis NS3.arcor-ip.de autoritativ, die Forwarder sind DNS1.arcor-ip.de bis DNS11.arcor-ip.de. Kleiner aber feiner Unterschied.

Ferner sind die Arcor-Server von Nominum nicht so auskunfstfreudig wie ein BIND-Server in Standard-Config. Das heißt, sie geben keine Authority-Section zurück, wenn sie nicht müssen.

“dig @DNS5.arcor-ip.de cdu.de” ergibt:

; <> DiG 9.4.2-P1 <> @DNS5.arcor-ip.de cdu.de
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1694
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;cdu.de. IN A

;; ANSWER SECTION:
cdu.de. 7200 IN A 193.219.105.10

;; Query time: 173 msec
;; SERVER: 195.50.140.114#53(195.50.140.114)
;; WHEN: Fri Aug 7 12:37:49 2009
;; MSG SIZE rcvd: 40

Also teilt der Forwarder auf eine A-Query keine Nameserver mit. Und genau aus diesem Grund kennt der SPD-Server sie auch nicht. Der ist zwar bereit, sie freiwillig rauszurücken, wenn er sie kennt, aber wenn nicht, dann nicht. Das ist das Standard-Verhalten von BIND9.

]]> Von: Jali /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-689 Jali Fri, 07 Aug 2009 10:29:08 +0000 /?p=1745#comment-689 Ich habe Deine Argumentation jetzt noch mal in Detail nachvollzogen, und ziehe meine Aussage zurück, Du hast recht, ohne einen dig auf den NS Eintrag zu machen, sieht man den Nameserver nicht. Ich habe Deine Argumentation jetzt noch mal in Detail nachvollzogen, und ziehe meine Aussage zurück, Du hast recht, ohne einen dig auf den NS Eintrag zu machen, sieht man den Nameserver nicht.

]]> Von: Jali /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-688 Jali Fri, 07 Aug 2009 10:16:29 +0000 /?p=1745#comment-688 Zwei Punkte die dagegen sprechen: 1. Ich habe die Anfrage an den SPD Server ja nicht nur einmal gestellt, die Ergebnisse hätten sich also unterscheiden müssen. Haben sie aber nicht. 2. Der Nameserver von Arcor, den die SPD jetzt benutzt, ist auch für cdu.de autorativ. Warum sollte der Arcorserver, der als forwarder dient, dann an die Rooterver weiterfragen, wenn er die angefragte Domain selbst verwaltet, also auch die Antwort selber geben kann? Zwei Punkte die dagegen sprechen:
1. Ich habe die Anfrage an den SPD Server ja nicht nur einmal gestellt, die Ergebnisse hätten sich also unterscheiden müssen. Haben sie aber nicht.

2. Der Nameserver von Arcor, den die SPD jetzt benutzt, ist auch für cdu.de autorativ. Warum sollte der Arcorserver, der als forwarder dient, dann an die Rooterver weiterfragen, wenn er die angefragte Domain selbst verwaltet, also auch die Antwort selber geben kann?

]]> Von: Christoph H. Hochstätter /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-687 Christoph H. Hochstätter Fri, 07 Aug 2009 10:06:50 +0000 /?p=1745#comment-687 Nein, es sieht nicht danach aus, als ob die SPD etwas geändert hätte. In der Authortity-Section kommen in der Regel immer die NS-Einträge, die der Server gerade im Cache hat. (root, DE-TLD, oder eben von cdu.de) Da er Forwarder konfiguriert hat, muss er nicht selbst die NS-Server rauskriegen. Beispiel: Ich vermute mal, dass der SPD-Server ZDNet.de nicht im Cache hat. Ich frage "dig @dns2.spd.de zdnet.de". Dann kommt: ------- ;; AUTHORITY SECTION: de. 42999 IN NS z.nic.de. de. 42999 IN NS a.nic.de. de. 42999 IN NS c.de.net. de. 42999 IN NS f.nic.de. de. 42999 IN NS l.de.net. de. 42999 IN NS s.de.net. ---------- Jetzt frage ich unmittelbar danach "dig @dns2.spd.de zdnet.de NS". Und danach wieder meine ursprüngliche Query "dig @dns2.spd.de zdnet.de". Die Antwort ist jetzt anders als noch vor wenigen Sekunden: ---------- ;; AUTHORITY SECTION: zdnet.de. 402 IN NS ns2.cnet.com. zdnet.de. 402 IN NS ns.cnet.com. zdnet.de. 402 IN NS ns2.cnet.co.uk. ---------- Einfach deswegen, weil der SPD-Server jetzt die Nameserver von ZDNet.de im Cache hat. Die 402 ist die Cache-Restlaufzeit in Seklunden. nach 402 Sekunden kommt wieder die alte Antwort "a.nic.de, etc." Nein, es sieht nicht danach aus, als ob die SPD etwas geändert hätte. In der Authortity-Section kommen in der Regel immer die NS-Einträge, die der Server gerade im Cache hat. (root, DE-TLD, oder eben von cdu.de)

Da er Forwarder konfiguriert hat, muss er nicht selbst die NS-Server rauskriegen.

Beispiel:

Ich vermute mal, dass der SPD-Server ZDNet.de nicht im Cache hat. Ich frage “dig @dns2.spd.de zdnet.de”.

Dann kommt:
——-
;; AUTHORITY SECTION:
de. 42999 IN NS z.nic.de.
de. 42999 IN NS a.nic.de.
de. 42999 IN NS c.de.net.
de. 42999 IN NS f.nic.de.
de. 42999 IN NS l.de.net.
de. 42999 IN NS s.de.net.
———-

Jetzt frage ich unmittelbar danach “dig @dns2.spd.de zdnet.de NS”.

Und danach wieder meine ursprüngliche Query “dig @dns2.spd.de zdnet.de”. Die Antwort ist jetzt anders als noch vor wenigen Sekunden:

———-
;; AUTHORITY SECTION:
zdnet.de. 402 IN NS ns2.cnet.com.
zdnet.de. 402 IN NS ns.cnet.com.
zdnet.de. 402 IN NS ns2.cnet.co.uk.
———-

Einfach deswegen, weil der SPD-Server jetzt die Nameserver von ZDNet.de im Cache hat. Die 402 ist die Cache-Restlaufzeit in Seklunden. nach 402 Sekunden kommt wieder die alte Antwort “a.nic.de, etc.”

]]> Von: acroamatic.de /2009/08/spd-und-da-dns-server-problem/comment-page-1/#comment-684 acroamatic.de Fri, 07 Aug 2009 09:42:30 +0000 /?p=1745#comment-684 <strong>SPD vs. Zensur...</strong> Wer bisher dachte die SPD gehe mit der geplanten Internetzensur konform, hat sich wohl geirrt. Denn die SPD selbst bietet einen eigenen, offenen DNS Server an, der, zumindest bisher, nichts zensiert. Mehr dazu hier. Ich schmeiß mich weg! Update: ... SPD vs. Zensur…

Wer bisher dachte die SPD gehe mit der geplanten Internetzensur konform, hat sich wohl geirrt. Denn die SPD selbst bietet einen eigenen, offenen DNS Server an, der, zumindest bisher, nichts zensiert. Mehr dazu hier. Ich schmeiß mich weg!

Update: …

]]>