Mitgliedschaften

Mitgliedschaften

Was ist ein offener DNS-Resolver und was ist daran eigentlich das Problem?

Unter einem "DNS-Resolver" versteht man einen Nameserver, der auf Anfrage von Clients (Rechnern) die Namen in IP-Adressen auflöst. Einen solchen Nameserver benötigt jeder Rechner, um das Internet nutzen zu können (zumindest wenn man im Browser wie üblich Namen anstelle von IP-Adressen eingeben möchte :-))

Bietet der DNS-Resolver diesen Dienst nicht nur z.B. im lokalen LAN an, sondern gleich öffentlich für alle Internetteilnehmer, so spricht man von einem "offenen DNS-Resolver". Das kann Absicht sein oder auch schlicht ein Versehen. Prinzipiell ist auch erst einmal nichts Schlimmes dabei, wenn man diesen Service öffentlich anbietet, solange der Dienst nur für diesen Zweck genutzt wird. 

Leider lässt sich ein offener DNS-Resolver ideal für Denial-of-Service-Angriffe (DOS) auf Dritte ausnutzen. Bei einem solchen DOS-Angriff versucht man, einem bestimmten Ziel derartig viele Datenpakete zu schicken, so dass es unter der Last zusammenbricht. Einen offenen DNS-Resolver kann man dafür perfekt als Umlenkstation benutzen, d.h. man schickt die Flut der Datenpakete nicht an das eigentliche Ziel, sondern in Form von DNS-Anfragen an (viele) offene DNS-Resolver. Der wird brav seine Antwort an die angegebene DNS-Adresse zurückschicken, die in dem Fall natürlich nicht die tatsächliche Absenderadresse ist, sondern das Ziel ist, dass die Datenpakete bekommen soll. Der DNS-Resolver merkt gar nicht, dass die Absenderadresse nicht stimmt.  

Das hört sich vielleicht etwas umständlich an, hat aber für den Angreifer zwei Vorteile: Zum einen wird die Quelle des Angriffs zusätzlich noch einmal verschleiert, zum anderen kann man durch eine geschickte DNS-Abfrage den Server zu einer deutlich größeren Antwort bewegen, d.h. es tritt ein erheblicher Verstärkungseffekt ein. Schadsoftware auf infizierten Rechnern suchen das Netz systematisch nach offenen Resolvern ab und können zu Tausenden auf Knopfdruck veranlasst werden, massenhaft solche gefälschten DNS-Anfragen an die entdeckten offenen Resolver zu schicken ...

Was tun, wenn ich einen offenen DNS-Resolver betreibe?

Zunächst einmal sollte man sich fragen: Benötige ich wirklich einen offenen Resolver? Wenn nein, unbedingt sofort abschalten. Wenn es Nutzer gibt, denen ich absichtlich einen offenen Resolver anbiete (warum auch immer), dann gibt es evtl. die Möglichkeit, diese Nutzer über die Absender-IP-Adresse gezielt freizuschalten. Dadurch wird in aller Regel das Problem gelöst, sofern man die Auswahl der Adressen nicht allzu freizügig gestaltet.

Ansonsten bleibt wohl nur eines: Die Nutzer auf einen anderen Resolver umstellen und den Dienst abschalten. Jeder Provider bietet seinen Kunden einen Resolver an, dieser sollte sich eigentlich nutzen lassen. Ansonsten ist es auch kein Hexenwerk, einen Resolver lokal selbst zu betreiben. Schwieriger wird es, wenn man einen modifizierten Resolver betreibt und Zugriffe protokolliert werden sollen oder ähnliches. Dann wird man sich etwas einfallen lassen müssen. Wer jedoch einen offenen Resolver betreibt muss damit rechnen, dass er Unbekannten auf eigene Kosten nicht nur DNS-Anfragen anbietet, sondern auch seine Mithilfe an DOS-Angriffen und dabei riskiert, dass die eigene Internetanbindung zusammenbricht. 

Darf ich als Kunde von tal.de einen offenen DNS-Resolver betreiben?

Es kommt darauf an. Grundsätzlich betrachten wir einen offenen DNS-Resolver als einen Dienst, der grundsätzlich die Gefahr birgt, dass Dritte dadurch geschädigt werden („missbräuchliche Nutzung“).

Sofern der Kunde keine nachvollziehbaren Gründe angeben kann, warum der Dienst betrieben werden soll, oder zumindest vorübergehend betrieben werden muss, betrachten wir den Dienst als potenziell schädliche Fehlkonfiguration und erwarten dessen Beseitigung.  

Wenn jedoch nachvollziehbare Gründe für den Betrieb genannt werden, keine konkrete Schädigung für Dritte von dem Dienst aktuell ausgeht und der Kunde versichert, im Falle eines Falles unverzüglich Maßnahmen zu treffen, ist das für uns so in Ordnung.


Haben Sie Fragen? Wir beantworten sie gerne!
Telefon: 0202 - 495-0


 

 

Hotline 0202 495-390

Support-Hotline

Sie erreichen unseren technischen Support montags bis freitags zwischen 8 Uhr und 18 Uhr unter 0202/495-390, oder alternativ per E-Mail an support@tal.de.