Star Wars per DNS.

Das Intro des allerersten Star-Wars-Film – in der inzwischen mehr als verkorksten Folgenflut des ausgelutschten Franchise die Folge 4 – hat Kultstatus. In einem leinwandbreiten Rolltext wird die Geschichte eingeleitet, umrahmt vom Star-Wars-Sound in ohrenbetäubender Lautstärke. Die Einblendung dieses oder ähnlich gelagerter Texte hat schon popart-artige Züge angenommen und man kann sich auch heute noch sehr viele Freunde machen, wenn man diesen Text an unerwarteten Orten platziert. Zum Beispiel im DNS.

Wer in einer Shell oder einer DOS-Box (unter Windows die „Eingabeaufforderung“ bzw. cmd.exe) auf eine bestimmte IP-Adresse im Internet traceroutet, erhält einen erstaunlichen Auszug:

C:\Users\besim>tracert -h 60 216.81.59.173

Routenverfolgung zu FIN [216.81.59.173] über maximal 30 Abschnitte:

1 3 ms 3 ms 3 ms besimbox [192.168.221.1]
2 32 ms 26 ms 24 ms 217.0.118.47
3 13 ms 17 ms 11 ms 87.186.241.38
4 17 ms 13 ms 13 ms f-ed5-i.F.DE.NET.DTAG.DE [217.5.95.2]
5 13 ms 14 ms 12 ms 62.157.249.50
6 120 ms 153 ms 132 ms xe-0-0-0.atl11.ip4.tinet.net [89.149.183.141]
7 122 ms 121 ms 120 ms epik-networks-gw.ip4.tinet.net [77.67.69.158]
8 120 ms 121 ms 120 ms po0-3.dsr2.atl.epikip.net [216.81.59.2]
9 * * * Zeitüberschreitung der Anforderung.
10 156 ms 160 ms 158 ms Episode.IV [206.214.251.1]
11 162 ms 162 ms 156 ms A.NEW.HOPE [206.214.251.6]
12 159 ms 159 ms 159 ms It.is.a.period.of.civil.war [206.214.251.9]
13 156 ms 158 ms 157 ms Rebel.spaceships [206.214.251.14]
14 156 ms 157 ms 157 ms striking.from.a.hidden.base [206.214.251.17]
15 164 ms 159 ms 159 ms have.won.their.first.victory [206.214.251.22]
16 159 ms 159 ms 159 ms against.the.evil.Galactic.Empire [206.214.251.25]
17 163 ms 161 ms 158 ms During.the.battle [206.214.251.30]
18 163 ms 159 ms 161 ms Rebel.spies.managed [206.214.251.33]
19 158 ms 156 ms 154 ms to.steal.secret.plans [206.214.251.38]
20 167 ms 160 ms 157 ms to.the.Empires.ultimate.weapon [206.214.251.41]
21 164 ms 158 ms 163 ms the.DEATH.STAR [206.214.251.46]
22 158 ms 159 ms 172 ms an.armored.space.station [206.214.251.49]
23 158 ms 165 ms 172 ms with.enough.power.to [206.214.251.54]
24 162 ms 159 ms 160 ms destroy.an.entire.planet [206.214.251.57]
25 161 ms 158 ms 162 ms Pursued.by.the.Empires [206.214.251.62]
26 158 ms 159 ms 160 ms sinister.agents [206.214.251.65]
27 159 ms 157 ms 156 ms Princess.Leia.races.home [206.214.251.70]
28 161 ms 157 ms 159 ms aboard.her.starship [206.214.251.73]
29 158 ms 162 ms 156 ms custodian.of.the.stolen.plans [206.214.251.78]
30 160 ms 156 ms 160 ms that.can.save.her [206.214.251.81]
31 161 ms 160 ms 159 ms people.and.restore [206.214.251.86]
32 154 ms 165 ms 156 ms freedom.to.the.galaxy [206.214.251.89]
33 157 ms 157 ms 155 ms 0-------------------0 [206.214.251.94]
34 162 ms 159 ms 161 ms 0------------------0 [206.214.251.97]
35 156 ms 158 ms 158 ms 0-----------------0 [206.214.251.102]
36 160 ms 157 ms 162 ms 0----------------0 [206.214.251.105]
37 164 ms 161 ms 158 ms 0---------------0 [206.214.251.110]
38 184 ms 176 ms 175 ms 0--------------0 [206.214.251.113]
39 183 ms 192 ms 179 ms 0-------------0 [206.214.251.118]
40 174 ms 171 ms 177 ms 0------------0 [206.214.251.121]
41 181 ms 178 ms 187 ms 0-----------0 [206.214.251.126]
42 175 ms 180 ms 182 ms 0----------0 [206.214.251.129]
43 178 ms 191 ms 177 ms 0---------0 [206.214.251.134]
44 174 ms 179 ms 185 ms 0--------0 [206.214.251.137]
45 189 ms 179 ms 179 ms 0-------0 [206.214.251.142]
46 180 ms 169 ms 182 ms 0------0 [206.214.251.145]
47 176 ms 181 ms 188 ms 0-----0 [206.214.251.150]
48 158 ms 160 ms 167 ms 0----0 [206.214.251.153]
49 160 ms 162 ms 163 ms 0---0 [206.214.251.158]
50 162 ms 160 ms 159 ms 0--0 [206.214.251.161]
51 162 ms 161 ms 164 ms 0-0 [206.214.251.166]
52 163 ms 162 ms 156 ms 00 [206.214.251.169]
53 159 ms 160 ms 158 ms I [206.214.251.174]
54 161 ms 161 ms 164 ms By.Ryan.Werber [206.214.251.177]
55 163 ms 160 ms 162 ms When.CCIEs.Get.Bored [206.214.251.182]
56 160 ms 164 ms 163 ms read.more.at.beaglenetworks.net [206.214.251.185]
57 158 ms 162 ms 165 ms FIN [216.81.59.173]

Ablaufverfolgung beendet.

Da hat sich doch tatsächlich jemand die Mühen gemacht, die IP-Adresse 216.81.59.173 über eine ganze Reihe von Rechnern bzw. Netzwerkschnittstellen zu routen und jede IP-Adresse hat einen Schnipsel der Geschichte als Hostnamen bekommen. Wer dann einen vollständigen Traceroute auf die obige IP-Adresse durchführt, bekommt sie zeilenweise bzw. hop-weise angezeigt. Niedlich. 🙂

Wer sich mit dem Thema Domain Name System näher beschäftigt, könnte hier auf eine sehr naheliegende Frage kommen: Wie hat der Mensch, der dies gemacht, denn das DNS so umgebogen, dass er Hostnamen verwenden konnte, die es so im DNS gar nicht geben kann? Denn trotz der Bemühungen für neue Top-Level-Domains gibt es aktuell keine Top-Level-Domain beispielsweise namens „.starship“ und ist auch aktuell nicht geplant. So ein nslookup-Ergebnis ist daher zumindest einmal paradox:

C:\Users\besim>nslookup 206.214.251.73
Server: besimbox
Address: 192.168.221.1

Name: aboard.her.starship
Address: 206.214.251.73

Die Lösung ist relativ einfach: Im Falle von Traceroute wird rückwärtsaufgelöst (Reverse-DNS). Normalerweise wird im DNS ja „vorwärtsaufgelöst“: Man hat einen Hostnamen, möchte mit dem Zielrechner Kontakt aufnehmen und im DNS wird dazu dann die IP-Adresse des Zielrechners ermittelt. Die Rückwärtsauflösung läuft genau andersherum: Wir haben die IP-Adresse und wollen herausbekommen, welcher Hostnamen dahintersteckt.

Die Abfragestruktur ist dabei ähnlich, nur dass die Informationen für die Rückwärtsauflösung nicht bei den Registrierungsstellen für Top-Level-Domains stehen, sondern auf Nameservern der Provider, die damit ihre IP-Adressblöcke benennen können. Was man hier hinterlegt, sollte mit der Vorwärtsauflösung zwar stimmen, tut es aber in vielen Fällen nicht. Wenn zum Beispiel ein Webhoster auf einer IP-Adresse auf einem Server mehrere tausend Webkunden betreut, zeigen sehr viele Hostadressen auf eine IP-Adresse, umgekehrt ist aber im Reverse-DNS regelgerecht nur ein Hostname hinterlegt.

Den Spaß kann man natürlich, wie in diesem Fall, auch einfach mal komplett umdefinieren und Hostnamen für IP-Adressen hinterlegen, die es gar nicht gibt. Ordentliche Provider werden solche Späße aus „Hygienegründen“ nicht zulassen, aber sei’s drum. 🙂

Der „DENIC-Imagefilm“ und die fehlenden Fakten.

Keine Frage: Der so genannte „DENIC-Imagefilm“ ist ein eher grässliches Stück Public Relations und erfüllt eher den Tatbestand des Erweckens von massivem Fremdschämens. Einen komplexen Sachverhalt aus der Sicht zweier ahnungsloser (und extrem schlecht nachsynchronisierten) Protagonisten zu erklären, die ausgerechnet auf dem heimischen Sofa nichts besseres zu tun haben, als sich über den Fernseher darüber kundig zu machen, wie die DE-Domain funktioniert:

Fachlich freilich ist der Erklärung nicht viel streitig zu machen, was nun auch wirklich extrem verwundern würde, wenn das Gegenteil der Fall wäre. Allerdings prellt es an einer Stelle geschichtlich gehörig. Sabine Dolderer, Vorstand der eingetragenen DENIC-Genossenschaft, sagt nämlich ab Minute 3:35 folgendes:

„Die DE-Domains wurden anfangs in den USA verwaltet. 1996, das waren damals 20.000 Domains, haben 37 Internet-Service-Provider angefangen, sich zu überlegen, wie sie das ganze auf eine breitere Basis stellen könnten. Das war die Geburtsstunde der DENIC e.G, wie wir sie heute kennen.“

Das hört sich hübsch an, es fehlt jedoch einiges: Tatsächlich wird die DE-Top-Level-Domain im November 1986 eingetragen und die ersten zwei Jahre auch in den USA im damaligen CSNET, einer der Vorläufer des späteren Internet, betrieben. Aber schon 1988 wechselte der Betrieb des primären Nameservers und die Domainverwaltung nach Deutschland, nämlich an die Universität Dortmund und die dortige Informatik-Betriebsgruppe. Von dort wechselte der Betrieb 1994 an die Universität Karlsruhe. Die dort nun beheimatete technische Verwaltung wechselte tatsächlich erst im Jahre 1999 zur DENIC e.G.

Die DENIC e.G. wiederum wurde zwar 1997 gegründet und versteht ihre Geburtsstunde in der besagten Versammlung von 37 Internet-Service-Providern, die sich im Dezember 1996 über eine Genossenschaft als zukünftige Betriebsstelle einigten, allerdings gibt es die ersten grundlegenden Bemühungen ebenfalls schon erheblich früher. Denn schon im Dezember 1991 fand in München ein Treffen von 150 Vertretern aus Industrie und Wissenschaft statt, in dem unter anderem über die Zukunft des Betriebes der DE-Top-Level-Domain diskutiert wurde. Daraus entwickelte sich eine Deutsche Interessensgemeinschaft Internet (DIGI), die sich auch um eine dauerhafte Lösung zum Betrieb der DE-Zone kümmern sollte.

Um die Jahre 1992 bis 1996 wird in Sachen DE-Domain mutmaßlich auch deshalb nicht gern geredet, weil es sich, um es einmal gelinde zu sagen, um recht turbulente Jahre (im Text weiter unten) handelte. Ein gar nicht so kleiner Teil der damals lautesten Unternehmen im Business gibt es heute auch schon nicht mehr, was sicherlich in vielen Fällen auch kein allzugroßer Verlust für die besonneneren Akteure im Internet-Business war.

Domain Name System – und der Zaster siegt.

Über das Domain Name System zu schreiben, ist schon seit einigen Jahren eine Geschichte, die sich in zwei immer grundsätzlicheren Aspekten auftrennt: Die reine Technik zum Domain Name System, also die Namensauflösung, das Bilden von DNS-Zonen, nslookup, BIND und so weiter. Das ist alles recht ausgefeilte, auf Dezentralität ausgerichtete Technik, inzwischen gemütliche zwei Jahrzehnte alt und nach wie vor einer der intelligentesten Erfindungen, die das Internet erst so nutzbar machen, wie wir es kennen.

Der andere Aspekt ist das, womit die meisten Nichttechniker zu tun haben, den Domain-Namen. Also so Sachen wie netplanet.org, die sich bei Registrierungsstellen bzw. bei Internet Providern für mehr oder weniger viel Geld registrieren lassen und die als Basis für jegliche sinnvolle Technik dient, bei der Menschen möglichst verständlich Namen in ihren Webbrowser eintippen können sollen.

Die letztere Welt ist schon seit langem eine kaputte Welt, bei der es nur um Gewinnmaximierung geht. Alles aufzuzählen, was mit der Neueinrichtung von Top-Level-Domains zusammenhängt, hier aufzuschreiben, wäre ein Werk, das mich locker bis zum Ende des Jahres an Arbeitszeit kosten würde. Ständig prallten zu diesem Thema die Ansichten von Technikern, Politikern, Rechtsanwälten, Geschäftsleuten und auch raffgierigen Geschäftemachern aneinander und zustandegekommen ist hier nicht wirklich viel außer vier Handvoll neuer Top-Level-Domains. Und schon diese wenigen generischen Top-Level-Domains wie .com, .net, .org, .info oder .biz haben vor allem eines gezeigt. Der Namensraum ist nach wie vor unendlich, die Großunternehmen registrieren für jedes Geld dieser Welt ihren Domainnamen, kleinere Unternehmen suchen sich mitunter die Finger wund und der Rest fischt herum.

Der Ausverkauf der Namensräume

Nein, die Domain-Welt ist kaputt. Und mit der heutigen Entscheidung der ICANN, dass die Neuanlage von weiteren Top-Level-Domains letztendlich nur noch eine Frage ist, ob der Registrar, der das möchte, rund 200.000 US-Dollar auf den Tisch legt, ist nicht nur die Domain-Welt vollens auf dem Weg in den Eimer, sondern auch das Domain Name System. Und das nicht nur deshalb, weil der Zaster über die Technik siegt.

Sondern weil der Zaster über die Übersichtlichkeit siegt. Werden Sie zukünftig noch problemlos erkennen können, ob Ihre Bank unter dem Namen „ihrebank.de“ zu erreichen ist oder unter „ihre.bank“? Oder „ihrebank.banken“? Oder „ihrebank.de.web“? Technisch sind das alles unterschiedliche Namensräume und mit der völligen Freigabe des Top-Level-Namensraumes auch letztendlich nur noch eine Frage der Zeit. Unternehmen werden sich zukünftig bei immer mehr Domain-Dienstleistern und Registraren um Domain-Registrierungen bemühen müssen. Dass nun vermutlich ein neues Berufsbild eines „Domain-Namen-Kaufmannes“ entstehen könnte, der nichts anderes macht, als Domain-Namen zu registrieren, ist ein bizarres Seitenstechen, über das man noch verkrampft lachen könnte.

Das Ergebnis wird jedoch sein, dass niemand mehr wirklich weiß, was er so eintippt, wenn er nicht genau die Adresse abtippt. Suchmaschinenergebnisse werden zwar weiterhin genau sein, die Interpretation bleibt jedem Benutzer allerdings selbst überlassen. Der Mißbrauch mit gefakten Domain-Namen wird anwachsen und die Gegenmaßnahmen werden davon abhängig sein, ob der Verwalter einer bestimmten Top-Level-Domain flott ist oder auch nicht. Auf Namensstreitigkeiten spezialisierte Rechtsanwälte werden heute vermutlich vor Glück stundenlange Freudentänze aufgeführt haben. Ja, sicherlich, man könnte den Worten der ICANN, dass die jetzigen Entwürfe für zukünftige Registrare auch erweiterte Regelungen für den Markenschutz beinhalten, aber Markenverletzungen muss man ahnden. Selten hat die Branche der Juristerei so einen Becken mit ewig nachwachsendem Frischfisch vor die Tür gestellt bekommen, wie nun.

Ob nun nach dieser Einbiegung in die Einbahnstraße alles gut wird, bleibt abzuwarten. Zumindest ist die jetzige Entscheidung der ICANN eine Kapitulation vor den letzten Versuchen, eine noch ansatzweise erkennbare Regulierung in der Domain-Welt beizubehalten. Und wir lernen, dass man die Domain-Welt also durchaus noch kaputter bekommen kann, als es schon heute ist. Das Domain Name System wird sicherlich nicht zusammenbrechen. Es wird jedoch mit ziemlicher Sicherheit die Online-Welt ein Stück unübersichtlicher machen, als sie es in den nächsten Jahren mit der großflächigen Migration auf IPv6 und den damit verbundenen milliardenschweren Investitionen schon wird. We will see.

DNS-Ausfall beim DENIC und das DENIC selbst.

Dass Technik ausfallen kann, passiert, keine Frage. Computer werden von Menschen programmiert und Computer haben genügend Innereien, die einem Verschleiß oder höheren Gewalten unterliegen, ob das nun die Festplatte, ein defekter Kondensator, die zuzuführende Energie, die Klimatisierung oder die Putzkolonne ist. Alle Störungen sind ärgerlich, aber Störungen sind, wenn man fair sein will, im Grunde genommen unvermeidlich.

Aber: Es ist nun 17:50 Uhr und auf der DENIC-Website findet sich zu den heutigen Problemen mit den autoritativen Nameservern für die „.de“-Zone – nichts. Kein Hinweis auf eine außerordentliche Störung, keine Pressemitteilung, auch nichts im Neuigkeitenbereich. Einfach gar nichts. Der geneigte Nutzer, aber auch der geneigte Systemadministrator, der heute am Vormittag vermutlich stark schwitzend einen Fehler in seiner DNS-Infrastruktur suchen musste, durfte sich – wenn überhaupt – über die einschlägigen Medien im Internet darüber informieren, dass irgendetwas beim DENIC kaputt war.

Das ist leider entsetzlich schlecht, denn das Problem, das heute passierte, ist nicht einfach ein Problem, sondern der Super-GAU im DNS: Nichterreichbarkeit einer kompletten Top-Level-Domain-Zone, weil die dafür zuständigen Nameserver mit fehlerhaften Zoneninformationen bestückt wurden und diese bei Auskünften nach einzelnen .de-Domains mit NXDOMAIN-Auskünfte erteilten. Sprich: Die gesuchte Domain ist vermeintlich nicht vorhanden. Das mag bei der Suche nach einer Website noch verschmerzbar sein, da aber auf für E-Mail das DNS gebraucht wird, ist so ein Ausfall hochfatal und gebietet zumindest eine sehr gut funktionierende Krisenkommunikation.

Die Website des DENIC ist nicht nur über www.nic.de oder www.denic.de, sondern auch über www.denic.net zu erreichen. Man hätte also schon sehr, sehr frühzeitig mit einem dringenden Hinweis auf der Website dafür sorgen können, ein offizielles Statement zu veröffentlichen. Wenn man sich dann noch etwas bemüht, diese alternative Adresse mit anderem Inhalt zu bestücken und getrennt zu propagieren, als die offizielle Website, hätte man auch die Möglichkeit, diese alternative Adresse als eine Art Notfall-Infoboard einzusetzen.

In Sachen Krisenkommunikation, liebes DENIC, liegt Arbeit für euch auf dem Tisch. Und das bitte bald, bevor weitere durchgeknallte Politiker mit Profilneurose auf die Idee kommen, die Vergabe von .de-Domains zu verstaatlichen, weil dann alles besonders sicher sei.

Die zwei Seiten von Google Public DNS.

Google startet einen eigenen, öffentlichen DNS-Dienst. Man hat es vielen Medien in ihren Artikeln darüber deutlich angemerkt, dass sie gern mehr aus dieser Story machen würden, aber es eigentlich nicht viel dazu zu sagen gibt, außer der Tatsache, dass Google eben einen eigenen, öffentlichen DNS-Dienst gestartet hat.

Grundsätzlich ist das, was Google hier im Rahmen eines Experiments macht, nichts anderes wie ein weiterer Anbieter eines Telefonbuches. DNS ist normalerweise ein Dienst, den der Zugangsprovider zur Verfügung stellt und der die Adressen seiner DNS-Server automatisch bei der Einwahl übermittelt, damit der Kunde diese nutzen kann. Das passiert alles, genauso wie die DNS-Auflösungsgeschichte, so fern und so automatisch im Hintergrund, dass davon keiner wirklich größere Notiz nimmt, obwohl ohne DNS das Internet nur noch eine Zahlenwüste wäre.

Google hat eine Infrastruktur, die vermutlich alles in den Schatten stellt, was alle anderen Internet-Beteiligte als eigene Infrastruktur im Internet in Betrieb halten. Googles Infrastruktur hat sich im Laufe der Jahre immer weiter weg vom inselartigen Hosting in Richtung einem spinnenartigen Hosting gewandelt: Serverfarmen sind weltweit verteilt und mit Google-eigenen Anbindungen verbunden und die Praxis von Google, relativ günstige Hardware einzusetzen, die dann ihre Inhalte exzessiv redundant halten, führt Google auf globaler Ebene durch. Dazu kommt dann die Politik, möglichst mit vielen Providern direkt zu peeren, also Direktanbindungen zwischen Google und dem jeweiligen Provider zu realisieren, um die Inhalte nicht nur schnell, sondern auch auf kürzestem Wege zum Benutzer zu bringen.

Nur so funktionieren so profan wirkende Dinge wie eine Suchmaschine, Google Mail, YouTube – Dienste, die sehr hohen Datenverkehr erzeugen und alles gleichzeitig passen muss. Es ist daher kaum verwunderlich, dass sich Google mit seiner gewaltigen Infrastruktur auch mal an ganz heiße Dinge wie das DNS wagt, um zu schauen, wie das alles denn unter Last funktioniert. So wie viele Millionen Menschen im Internet die “niederen” Dienst einsetzen, lässt sich nicht simulieren. Und sicherlich auch kein Geld verdienen, denn mit DNS verdient nur der Geld, der Domainnamen verkauft oder das DNS wissentlich manipuliert.

Die andere Seite der Medaille ist eine entlarvende: Online-Sperren auf Basis von DNS zu implementieren, ist Mumpelfurz, weil das Betreiben eines DNS-Servers kaum verboten oder technisch sinnvoll reglementiert werden kann. Machen es die Kleinen nicht mehr, macht es eben der Große. Und das ist dann die andere Seite von Googles DNS-Experimenten, denn es zeigt den vielen Ursulas und Wolfgangs in den Regierungen der Welt, wie schmallippig ihre bisherigen Bemühungen waren und wie schrecklich einfältig ihre bisherigen Lösungsansätze sind.

Äh, nein, Fefe.

Fefes Blog ist an sich eine Institution. Hoch verschwörerisch (sagt er selbst), regelmäßig unterhaltsam, allerdings manchmal auch nicht ganz korrekt und einseitig. So auch heute mit folgendem Posting:

Die ganzen extremistischen Terroristen-Nazi-Bombenleger betreiben ja im Moment aus Protest gegen die Internetzensur öffentliche Nameserver, mit denen man DNS-Zensur umgehen kann. Wisst ihr, wer noch?

$ host -t ns bundestag.de
bundestag.de name server s615.babiel.com
[...]
$ host s615.babiel.com
s615.babiel.com has address 217.79.215.156
$ host blog.fefe.de 217.79.215.156
blog.fefe.de has address 80.244.246.150

Der Bundestag! (Danke, Lutz)

Was will uns Fefe sagen? Nämlich das, dass der Deutsche Bundestag DNS-Nameserver verwendet und diese offenbar auch für externe Benutzer Adressen auflösen kann. Was er allerdings nicht schreibt, ist der Umstand, dass es sein könnte, aber nicht wirklich getestet werden kann. Fangen wir mal an mit den Tatsachen:

Was hat er da überhaupt oben analysiert? Also, der Befehl „host“ ist etwas ähnliches wie „nslookup“, nämlich ein Werkzeug zum Auflösen von DNS-Namen. In der ersten Zeile wird abgefragt, welcher Nameserver für die Domain „bundestag.de“ autoritativ zuständig ist. Die zweite Zeile beantwortet dies mit dem Nameserver „s615.babiel.com“. In der vierten Zeile fragt er mit „host s615.babiel.com“ die IP-Adresse des Nameservers ab und bekommt dies in der fünften Zeile geliefert („217.79.215.156“). In der sechsten Zeile fragt er mit „host blog.fefe.de 217.79.215.156“ den so ermittelten Nameserver, ob er blog.fefe.de kennt.

  1. Nameserver, die Domains hosten, müssen nicht unbedingt auch die gleichen Nameserver sein, die für die Nutzung von DNS-Auflösungen bei Kundenzugängen genutzt werden. Bei Hosting-Providern ist dies sogar eher unüblich. Spielt aber bei unserer Betrachtung nur eine sekundäre Rolle.
  2. Die wenigsten Nameserver sind für bestimmte Adresskreise beschränkt und können aus dem ganzen Internet heraus für DNS-Auflösungen genutzt werden. Das hat weitgehend historische und technische Gründe, denn das Domain Name System ist durch seinen streng hierarchischen Aufbau vergleichsweise starr und wenig reglementierbar, weshalb es auch relativ wenig Mißbrauchspotential für Nameserver gibt – zumal eben letztendlich auch jeder Nutzer einen eigenen DNS-Nameserver einrichten und nutzen könnte, wenn er wollte und der Trend zukünftig auch in diese Richtung gehen dürfte. Dass der obige Nameserver deshalb auch aus dem Internet heraus für andere Domainnamen zur DNS-Auflösung genutzt werden kann, ist eher nichts besonderes, sondern (derzeit) weitgehend Normalität im Internet.
  3. Gehört das Blog von Fefe mit ziemlicher Sicherheit zu keiner Website, die derzeit in irgendeiner Datenbank mit zu sperrenden Websites etwas zu suchen hätte. „Derzeit“ deshalb, weil man ja inzwischen kaum noch davor gefeit ist, dass man morgen in einem Dorf aufwacht, durch das der nächste Minister auf der Suche nach seinem Profil die nächste Sau treibt.

wikileaks.de – dritter und hoffentlich letzter Akt.

Ich erspare mir an dieser Stelle den Link auf den Text mit den angeblichen zusätzlichen Details, die die Betreiber der deutschen Wikileaks-Website heute ins Internet gestellt haben. Nicht deshalb, weil ich Angst davor hätte, der zweite Pforzheimer in der Republik zu werden, bei dem die Behörden wegen einem Link auf wikileaks.de einlaufen und sich so günstig gute Hardware besorgen, sondern weil die Geschichte nun langsam alberne Züge annimmt und mir persönlich die Person Theodor Reppe als eine fürwahr recht seltsame Person erscheint – und nein, ich bin sicherlich keiner, der auf der „bösen Seite“ stünde.

Ganz ehrlich: Ich bin mir nicht sicher, ob wir den Kampf gegen den Überwachungsstaat unbedingt Leuten überlassen sollten, die in Ernstfällen seltsame Kommunikationsstrategien an den Tag legen und nichts besseres zu tun haben, ihre offenkundig eigene Schlamperwirtschaft mit Frontalangriffen gegen alles, was halbwegs wie eine Behörde oder ein Mitglied der „bösen Gegenseite“ aussieht, zu beantworten. Ein bizarres Extrem mit einem anderen bizarren Extrem zu beantworten, scheint mir der Sache nicht wirklich dienlich zu sein. Man kann im Web auch deutlich weniger schrill Aufklärung betreiben.

Sorry, Herr Reppe, aber komme doch bitte bald wieder auf den Boden der Tatsachen. Mist gebaut hat jeder schon mal irgendwo irgendwie. Es wäre jetzt gut, wenn wir dann wieder zum Thema kommen könnten und du deine Domains ohne weitere Pressemitteilungen zu einem anderen Provider umziehen würdest. Aus eigener Erfahrung: Das DENIC ist äußerst kooperativ, wenn es darum geht, Domains schnell wieder aus dem TRANSIT zu bekommen. Ob sich jetzt auf die Schnelle ein neuer Provider findet, der nach diesem Galama als Registrar einspringt, ist eine andere Frage, daran hat aber nun mit Sicherheit nicht das DENIC Schuld.

Aber, lieber Herr Reppe: Halte bitte nicht das halbe Web zum Narren. Das rächt sich durch nachhaltige Mißachtung.

Technische Grundlagen zu Online-Sperren, Teil 1: DNS.

Am geläufigsten in den Diskussionen rund um Online-Sperren ist der Ansatz des Sperrens über das Domain Name System. Das vor allem deshalb, weil hier Online-Sperren verhältnismäßig einfach einzurichten und die Filterergebnisse anschaulich, weil offensichtlich sind – wichtig, um eine höchst unpopuläre, politische Entscheidung möglichst schnell mit Ergebnissen zu untermauern.

Wie funktioniert das DNS?

Das Domain Name System ist ein hierarchisch aufgebautes Verzeichnissystem, das in erster Linie dazu dient, dass der Benutzer nicht umständlich mit IP-Adressen hantieren muss, wenn er eine Ressource im Internet erreichen möchte, sondern mit lesbaren Namen. Im Grunde ist es also eine Art Adressbuch, das jedoch nicht zentral geführt wird, sondern verteilt.

Aus diesem Grund gibt es verschiedene Verzeichnisebenen, von denen die oberste Ebene von der so genannten Root-Zone verwaltet wird. Diese Root-Zone wird auf DNS-Servern bereitgehalten und enthält eine Liste aller Top-Level-Domains und die IP-Adressen der DNS-Server, die jeweils für die einzelnen Top-Level-Domains zuständig sind. Diese DNS-Server halten wiederum eine Liste mit Domain-Namen und deren zuständige Server bereit, die in der Ebene registriert sind. Und so weiter.

Ein Artikel zu den Grundzügen des Domain Name System findet sich in netplanet: Domain Name System (DNS)

Wie wäre der Filteransatz im DNS?

Der Filteransatz ist dergestalt, dass eine Behörde – im Gespräch ist das Bundeskriminalamt – eine Liste von Domainnamen erstellt und pflegt, unter denen strafbare Inhalte im Internet angeboten werden. Diese Liste der Domainnamen wird Providern in Deutschland regelmäßig übermittelt, die dann diese Liste in ihre DNS-Server übernehmen.

Schickt ein Benutzer eine Anfrage an den DNS-Server des Providers, so wird dieser im Normalfall im hierarchischen System des DNS aufgelöst, mit Ausnahme von Domain-Namen, für die der DNS-Server selbst zuständig ist. Die Filterliste soll nun genau dies tun, den DNS-Server also für die Domain-Namen in der Filterliste autoritativ stellen.

Aufgelöst werden dann Anfragen für die betreffenden, zu filternden Domain-Namen so, dass die Anfragen nicht mit der IP-Adresse des originären Webservers beantwortet werden, sondern mit einer IP-Adresse eines Webservers, auf dem der Benutzer mit einer „Stopp-Seite“ informiert wird, dass die Website, die der Benutzer aufrufen will, aktuell gefiltert wird und nicht zur Verfügung steht.

Wo hapert es beim Filteransatz im DNS?

Beim DNS-Filtern hapert es grundlegend daran, dass DNS eigentlich ein Dienst ist, der technisch gesehen nicht wirklich für die Internet-Kommunikation benötigt wird, ähnlich wie ein Telefonbuch, das man zum Telefonieren auch nicht wirklich benötigt.

  • Niemand ist verpflichtet, den DNS-Server seines Providers zu nutzen, er könnte theoretisch auch problemlos einen DNS-Server eines anderen Anbieters, beispielsweise im Ausland stationiert, nutzen. IP-Adressen von DNS-Servern sind über jede gängige Suchmaschine innerhalb weniger Sekunden gefunden und diese IP-Adressen können ebenfalls innerhalb kürzester Zeit in Konfigurationen von Routern oder Arbeitsstationen übernommen werden.
  • Niemand kann einem die Installation einer eigenen DNS-Serversoftware verbieten. Unter unixoiden Betriebssystemen gehört die DNS-Serversoftware BIND zum Standardumfang, für Windows existiert ebenfalls eine Reihe von DNS-Serversoftware, mit der die Namensauflösung komplett unabhängig von anderen DNS-Servern vorgenommen werden kann. Die Installation einer solchen DNS-Serversoftware ist hierbei teilweise nicht schwerer, als die Installation eines Webbrowsers.

Fazit

Online-Sperren auf Basis des Domain Name System sind so löchrig wie ein Schweizer Käse und selbst für absolute Laien innerhalb weniger Minuten zu umgehen, indem entweder ein anderer DNS-Server genutzt wird, als der Provider vorgibt oder eine eigene DNS-Serversoftware installiert wird, die die Namensauflösung direkt selbst auf dem Rechner vornimmt. Von einem wirksamen Schutzkonzept kann hier noch nicht mal ansatzweise die Rede sein, es handelt sich um eine reine Luftnummer, die zwar hübsch aussieht und vor laufenden Kameras anschaulich aussieht, allerdings nichts anderes als Scheuklappen sind.

Die Zerrer am System.

Den Direktor des Bundeskriminalamtes Jürgen Maurer nenne ich ab sofort einfach nur noch „den Trickser“. Denn nichts andere ist sein Vorschlag, den ich aus dem Heise-Artikel, der über eine Anhörung im Unterausschus Neue Medien des Bundestags berichtet, einmal zitieren möchte:

„Konkret schlug Maurer eine Änderung der Allgemeinen Geschäftsbedingungen (AGB) der Zugangsanbieter vor. Einbauen sollten diese eine Klausel, wonach sie keine Verpflichtung zur Verfügungsstellung von Kinderpornographie eingehen würden.“

Der Herr Direktor schlägt uns Internet Service Providern also leibhaftig vor, dass wir so eine Klausel in unsere AGB einbauen, damit sein verdammter Schnüffelladen und Madame von der Leyen in Ruhe ihr auf DNS-Filtering basierendes Filtersystem aufbauen dürfen, das wir Internet Service Provider dann in einer Freiwilligenvereinbarung in unsere DNS-Server einbauen.

Glauben die wirklich, das wir so doof sind? Denn das ist das erste, was mich bei solchen Dingern entsetzt. Wir reißen uns tagtäglich den Hintern auf, damit das Internet funktioniert und wir unseren Kunden die bestmögliche Dienstegüte und eine gute Dienstleistung bieten können und dann sollen ausgerechnet wir dem Kunden Scheuklappen aufsetzen, die der Staat zur kostenlosen Verteilung bereithält?

Welchen Halbkriminellen, Pädophilen, Panzerknacker, Terroristen, Politiker oder Trickser hält so eine AGB-Klausel und/oder ein Filtering auf Basis des Domain Name Systems davon ab, einfach einen anderen DNS-Server zu nutzen, von denen es im Internet Millionen gibt und die meisten davon höchstwahrscheinlich nicht in Deutschland? Und man müsste noch konsequenter sein und die unangemeldete Nutzung von DNS-Serversoftware wie BIND verbieten, denn damit ist prinzipiell jeder in der Lage, sich einfach einen eigenen DNS-Server zu Hause aufzusetzen, der dann ebenso funktioniert, wie der große Kollege beim ISP. Nur dann eben ohne Reglementierung.

Das Domain Name System ist eine hübsche Geschichte, wenn man anstatt einer IP-Adresse einen eingängigeren Namen haben möchte und damit vorwiegend Rechner adressieren möchte, die statisch daherkommen. Schon beim Thema Spam lernen wir, dass DNS-Blacklisting einmal wunderbar funktioniert hatte, als Spam vorwiegend von „richtigen“ aber fehlkonfigurierten oder gehackten Mailservern kam. Im Zeitalter von P2P-Netzwerken und Botnetzen sind DNS-Blacklists hoffnungslos überfordert oder die Betreiber solcher Listen müssen gigantischen Aufwand treiben, um einigermaßen zügig mit gültigen Filterlisten daherzukommen.

Auch wenn sich die so genannten Experten (bei denen ich übrigens schon länger auch nicht automatisch denen mehr traue, die in Providerverbänden etc. sitzen) noch so winden und reiben: Filtering, egal ob auf IP-Ebene (was im Zeitalter von HTTP 1.1 und der Idee, auf einer IP-Adresse gleich eine Vielzahl von virtuellen Webservern betreiben zu können, zum Tode verurteilt ist), auf TCP-Ebene (mit Sperren von Ports), auf Applikationsebene (beispielsweise mit einem Zwangsproxy, der gegen eine Filterliste abprüft) oder auf der schlechtesten Ebene, der DNS-Ebene – nichts wird je einen kriminellen Nutzer davon zuverlässig abhalten können, per Peer-to-Peer seinen Straftaten zu frönen.

Ja, das Internet enthält in einigen Ecken dunkle und überaus schmutzige Inhalte. Damit spiegelt es jedoch die Gesellschaft selbst wieder. Es gibt keine einfachen, technischen und voll funktionsfähigen Tricks, die Gesellschaft umzuprogrammieren. Das geht nur auf die harte Tour, in dem man gezielt die Produzenten und Konsumenten jagt, nicht im Blindgang die Zugangsanbieter oder gleich die ganze Gesellschaft.

Ich komme immer wieder zum gleichen Schluß: Konservativen Politikern bekommen so Sachen wie das Internet, Graswurzelinitiativen, kollaborierte Informationssammlungen, Internationalität ohne staatliche Kontrolle etc. gar nicht gut. Ich halte diesen Umstand für die größte Gefahr für die moderne Gesellschaft.

Ein Update: Andre Meister hat soeben auf netzpolitik.org eine lesenswerte eigene Zusammenfassung des Gespräches gepostet. Durchaus mit einem negativen Resümee.