Re: Fallbacklösung falls (root)DNS falsch ist.
'n Abend,
On Mon, Mar 07, 2005 at 10:33:07PM +0100, Robert Michel wrote:
>
> öhm die root Server sind von der USA unabhänig?
Nein.
> Meinen Provider vertraue ich doch, aber wenn die root-NS falsche
> Einträge bekomme, hat sehr schnell auch mein Provider falsche.
Wenn die Root-Server falsche Einträge haben, dann ist eine ganze TLD
betroffen. Root-Server verweisen auf die DNS-Server der Registrys, also
z.B. auf die DNS-Server der DeNIC. Deren DNS-Server verweisen dann auf
die autoriativen DNS-Server für den Domainnamen. Und diese DNS-Server
können dann nochmals deligieren oder für Subdomains auf andere
DNS-Server verweisen.
Wenn also Root-Server kaputt, oder Denic-DNS-Server kaputt, dann großer
Aufschrei - weil eigentlich nichts mehr geht. Das ist, also würden alle
CIX weltweit abgeschaltet werden. Wenn 'nur' das DE-CIX ausfällt
(immerhin drei Standorte), dann würden die meisten Server trotzdem noch
erreicht werden. Die meisten Rechenzentren hängen an mehreren CIX.
> Also wenn www.aljazeera.net nicht mehr richtig aufgelöst wird,
> ich aber gerne an die Informationen von aljazeera kommen würde,
> dann ist das nicht mein Problem?
Wenn 'Al Seddiqi, Salah' der Meinung ist, den Server abzuschalten (oder
dies zuzulassen), ist es ja auch nicht Dein Problem - sprich: Du kannst
nichts dagegen machen. Du dürftest kein Recht an der Erreichbarkeit
haben, denke ich mal. Wenn es 'Al dingsda' nicht schafft, einen Provider
und Registrar zu finden, dem er vertraut, dann kann das nicht Deine
Sorge sein.
> Aber es ist _eine_ verteilte DB. Ist ein Eintrag falsch ist er bei allen
> Root-DNS falsch.
Ja, leicht zeitverzögert, aber ja. Wenn das Telefonbuch neu aufgelegt
wird, und mit einem fehlerhaften Eintrag in Druck geht, ist dieser auch
in allen Telefonbüchern falsch, wenn sie gegen die alten ausgetauscht
wurden. Und wer nutzt schon Telefonbücher, die älter als drei Jahre
sind. Mit einer Domain kann man schneller umziehen als mit einem
Telefonanschluß, also muss die Aktualisierung fäufiger vorgenommen
werden.
> Wenn das DoD will,
Das ist das US-Terroristen-Ministerium?!
> das die Root-DNS nicht mehr verfügbar sind, bzw
> falsche Einträge publizieren, dann sind diese Einträge falsch - und
> die normalen ISPs würden diese falschen Einträge übernehmen.
JA, nur eben - das trifft alle Domains unter (hier) .net.
Wenn man nicht gegen die Regeln der Registry verstäßt, darf, rein
rechtlich, nicht die Domain geklaut werden - auch nicht von Amis.
Es sind Regeln des gesellschaftlichen Zusammenlebens. Wenn Banküberfälle
Mode würden und in jeder kleineren Stadt täglich dutzende verübt würden,
würde sich hier auch sehr schnell etwas ändern (Zutritt nur einzeln etc.).
Es gilt nun aber einmal, dass Banküberfälle gesetzeswidrig sind.
Trotzdem werden regelmäßig Banken überfallen. Oder Diebstähle allgemein,
wieviele Autodiebstähle gibt es jährlich in Deutschland? Trotzdem
haben die Leute Autos. Risikoabwägung nennt man das wohl - so macht es
ja auch die Versicherung.
Risikoabwägung ist z.B. auch, dass ich am 1.Mai mein Auto nicht in
Berlin-Kreuzberg parke. Wahrscheinlich würde nichts passieren, aber
etwas zu unsicher ist es mir doch. Wenn ich mich nicht auf die
.net-Registry verlassen möchte, suche ich mir eben eine andere TLD.
Man kann gesellschaftliche Probleme nicht durch technische Lösungen
beseitigen. Bestes Beispiel ist doch die Tabaksteuererhöhung in D, damit
Hr. Eichel damit die Terroristen unterstützen kann - also andersrum.
Jetzt schmuggeln die Leute, oder rauchen nicht mehr, weil sie die
Terroristen nicht fördern wollen, durch ihre zusätzliche Steuer.
Fehlschlag. Die Idee war bescheuert genug, und hat auch nicht
funktioniert. Und wenn die Büssows dieser Welt meinen, bestimmte DNS-Namen
zu fälschen, dann kannst Du, wenn sowas mal intelligente Menschen machen
würden (wobei Intelligenz solche Vorgehensweise eigentlich ausschließt)
könntest Du nichts dagegen machen, außer natürlich, Du findest andere
Informationswege. Du könntest Dich also z.B. mit 'Al dingsda' treffen,
oder mit ihm telefonieren, oder andere Protokolle nutzen.
> Das heutige Internet ist mit unserer Gewohnheit ohne DNS nicht nutzbar,
> warum sollte man die Auflösungen die man täglich nutzt nicht als
> Fallback auch auf der eigenen Platte _nutzbar_ haben?
Weil sich die Zuordnung von Namen-IPs sekündlich massenhaft ändert.
Nichts ist älter, als die Bookmark-Liste von vor einem Jahr.
> > Wenn alle Banken auf der Welt gleichzeitig Pleite gehen würden, ....
>
> Die Rootserver sind nicht unabhänig voneinander - verglichen dazu
> sind die Banken unabhäniger.
Gut, vielleicht nicht ganz passend. Dann ziehe Dir von den Root-Servern
die Adressen der wichtigsten DNS-Server für die von Dir besuchten TLDs,
dann passt der Vergleich wieder. Die DNS-Server der Registrys sind
voneinander unabhängig.
> > Irgendwann ist immer Schluß. Es gibt auch kein perpetum mobile, warum
> > nicht?
>
> IMHO perfekt wäre wenn man lokale TLD hat, wenn der Aktuelle DNS
> Eintrag nicht funktioniert, das man
> www.kernel.org.old-1
> www.kernel.org.old-2
> nutzen könnte.
Was heißt aber 'nicht funktioniert'? Wenn diese IP nicht erreichbar ist,
heist es ja noch lange nicht, dass die NS-Auflösung fehlerhaft gewesen
ist. Wenn der z.B. Webserver nichts für die Domain ausspuckt, ist der
vHost nicht konfiguriert worden. Wer sagt - jetzt ist es falsch? Wie
erkennt Dein Skript das?
> Ja, ich könnte per etherreal die DNS Anfragen per Skript auswerten
> und in eine Datei legen, die ich dann im Fall der Fälle als hosts
> einsetzten kann, bzw als "lokale" old TLDs basteln.
Du meinst mit TLD bestimmt die SLD, also NAME.tld. Die Abfragen der
TLD-Nameserver für die wichtigsten Zonen könnte man natürlich regelmäßig
per Skript erledigen. Aber es wird sicher niemand auf die Idee kommen,
eine komplette TLD offline zu schalten und aus den Root-Servern
herauszunehmen.
Beim Protokollieren der aufgelösten Namen stellt sich die Frage, wann
sagst Du, dass eine mitgelesene IP für einen Namen korrekt war, und sie
als Fallback-Host übernommen wird? Wie erkennst Du eine fehlerhafte
Auflösung, wenn kein NXDOMAIN sondern irgendws falsches als IP geliefert
wird?
> Ich hätte aber gedacht, das es einen DNS-Proxy gäbe, der dies,
> oder ähnliches (Archivierung und Abfrage alter Auflösungen) könnte.
Ein Archiv bringt nichts, weil es unaktuell ist. In einer normalen
Gesellschaft funktioniert DNS einwandfrei. Gegen Versuche der
Beeinflussung gibt es bereits DNSSec. Aber wenn ein totalitärer Staat
eingreift und MAcht demonstriert, dann bist Du diesem Staat unterlegen.
Wenn eine Person eine Privatarmee aufbaut und mit Gewalt unterdrückt,
was ihm nicht passt, hast Du als kleines Licht auch nichts zu lachen.
Sie haben dann die Macht. Ein Staat hat prinzipiell die Macht.
Demokratie zeichnet sich dadurch aus, dass das Volk sich durch Wahlen
dagegen wehren kann - wenn das Volk endlich einmal intelligent genug und
vor allem interessiert wäre.
Mit der Förderung von Bildung und Deinem Engagement in der Gesellschaft
wirst Du Dein erkanntes potenzielles Problem lösen.
Bei technischen Lösungen ist das wie wir es z.B. von der
Antivieren-Industrie kennen - in ewiger Wettkampf. Die Virenautoren sind
grundsätzlich schneller als die Antiviren-Programmierer.
So, das war jetzt schon fast OT, aber die Problematik ist leider eben
nicht technisch lösbar. Und nachdem Du eine technische Lösung für die
derzeitige Problematik gefunden hast, wirst Du feststellen, dass neben
dem DNS weitere Probleme auftreten können, die Du dann irgendwann
keinesfalls mehr technisch lösen können wirst.
hagen
--
,''`. Hagen Kuehnel - http://HagK.de
: :' : Kopierschutz: Alle Texte sind mit Double-ROT13 verschlüsselt. UrhG §95d
`. `'` Die Umgehung des Kopierschutzes stellt eine Straftat dar. UrhG §95a
`-
Reply to: