Samstag, 23. Februar 2013
Root Server – Multitalente der modernen Servertechnologie
frodi, 09:46h
Die so genannten Root-Server, von Experten als „Root-Nameserver“ benannt, lösen mithilfe des Domain Name Systems die mit Buchstaben und Worten bezeichneten Internetadressen an der Wurzel (oder auch „Root“) in „die Sprache von Computern“ auf.
Nahezu jeder Rechner mit Internetverbindung verfügt über einen ihm zugewiesenen Nameserver, mit dem Adressen übersetzt werden in technische Nummern, den allseits bekannten IP-Adressen. Sämtliche IP’s eines jeden Nameservers liegen in der bekannten Zone, beziehungsweise Zuständigkeitsbereich, der Root-Server und sind damit zuweisbar. Wird beispielsweise die (noch nicht existente) Adresse „de.neue-adresse.org“ in die zugehörige Zeile eines Browsers getippt, laufen mehrere aufeinanderfolgende Prozesse im benutzten Computer ab. Zuerst wird die für den Endbenutzer lesbare Webseitenadresse für den PC umgewandelt in eine technische Nummer. Findet der Rechner nunmehr in seinem System keine gespeicherten Daten zu der eingegebenen Top-Level-Domain (TLD) „.org“, so fordert er die benötigten Informationen bei dem hierfür verantwortlichen Root-Server an, welcher seinerseits noch einmal die ihm bekannten Nameserver befragt. Um diesen Vorgang nicht ständig neu ausführen zu müssen, wird sowohl die verwendete Browser-Adresse als auch deren ergänzende Daten einige Zeit im Cache gespeichert.
Betrieben von den unterschiedlichsten Institutionen, wird jeder der 13 Root-Server koordiniert von der ICANN, der Internet Corporation for Assigned Names and Numbers. Der Großteil jener 13, nämlich 7 an der Zahl, hat ihren festen Sitz in den USA, was mitunter zu massiver Kritik und auch Problemen geführt hat.
Die meisten der zu bearbeitenden Anfragen sind verursacht durch fehlerhafte Netzwerkkonfiguration oder mangelhafte Software. In beiden Fällen wird bislang von einer Filterung auf DNS-Ebene abgesehen, da dieser Vorgang mehr Ressourcen verbrauchen würde, als weiterhin jede Anfrage zu beantworten.
Gerade deswegen muss jeder Root-Server gemäß der Vorschrift RFC 2870 in der Lage sein, die dreifache Last des am stärksten belasteten zweiten Servers stemmen zu können, da bei einem Ausfall von zwei Drittel der betriebsfähigen Computerserver die Netzstabilität durch die verbliebenen Geräte zu gewährleisten ist. In der Praxis bedeutet das, dass jeder Root-Server bei normaler Häufigkeit der Anfragen mindestens zwei Drittel seiner Betriebskapazitäten ausschöpfen darf.
Anfällig sind diese Server für so genannte DDoS-Angriffe: Das sind Einfälle in das System eines Rechners mit dem Ziel, dessen Kapazitäten und Arbeitsleistung außer Kraft zu setzen. Einer der größten Angriffe fand im Oktober 2002 statt, als eine Distributed Denial of Service-Attacke knapp 75 Minuten auf alle 13 Root-Server erfolgte. Diese blieben zwar betriebsfähig durch die intakte Firewall, dennoch waren 9 Server mit den gefluteten Leitungen so belastet, dass sie über eine schlechtere Erreichbarkeit verfügten.
Durch die hierbei entstandenen Probleme verlief die Realisierung von Anycast, einer neuen Adressierungsart zwischen Rechnern, wesentlich schneller.
Zwei weitere größere DDoS-Attacken ereigneten sich zu Beginn des Jahres 2006 und 2007, während derer auch Angriffe auf die zu den attackierten Root-Servern zugehörigen TLD-Nameserver erfolgten. Beide Einfälle in die Rechnersysteme wurden weitestgehend schadlos und ohne langfristige Konsequenzen überstanden.
In der Kritik steht auch weiterhin das Mitspracherecht der US-Regierung, das bedingt ist durch die Lokalisation der Server (wie erwähnt, haben 9 der 13 Root-Server ihren festen Standort im Regierungsgebiet der USA). Kritisiert werden hier Punkte des mangelhaften Datenschutzes und der Datensicherheit; es wurde versucht, diesen Fehlern durch die Schaffung des freien Open Root Server Network (ORSN) entgegenzuwirken. Leider misslang der Versuch: Der Betrieb des ORSN wurde zum Ende des Jahres 2008 eingestellt.
Nahezu jeder Rechner mit Internetverbindung verfügt über einen ihm zugewiesenen Nameserver, mit dem Adressen übersetzt werden in technische Nummern, den allseits bekannten IP-Adressen. Sämtliche IP’s eines jeden Nameservers liegen in der bekannten Zone, beziehungsweise Zuständigkeitsbereich, der Root-Server und sind damit zuweisbar. Wird beispielsweise die (noch nicht existente) Adresse „de.neue-adresse.org“ in die zugehörige Zeile eines Browsers getippt, laufen mehrere aufeinanderfolgende Prozesse im benutzten Computer ab. Zuerst wird die für den Endbenutzer lesbare Webseitenadresse für den PC umgewandelt in eine technische Nummer. Findet der Rechner nunmehr in seinem System keine gespeicherten Daten zu der eingegebenen Top-Level-Domain (TLD) „.org“, so fordert er die benötigten Informationen bei dem hierfür verantwortlichen Root-Server an, welcher seinerseits noch einmal die ihm bekannten Nameserver befragt. Um diesen Vorgang nicht ständig neu ausführen zu müssen, wird sowohl die verwendete Browser-Adresse als auch deren ergänzende Daten einige Zeit im Cache gespeichert.
Betrieben von den unterschiedlichsten Institutionen, wird jeder der 13 Root-Server koordiniert von der ICANN, der Internet Corporation for Assigned Names and Numbers. Der Großteil jener 13, nämlich 7 an der Zahl, hat ihren festen Sitz in den USA, was mitunter zu massiver Kritik und auch Problemen geführt hat.
Die meisten der zu bearbeitenden Anfragen sind verursacht durch fehlerhafte Netzwerkkonfiguration oder mangelhafte Software. In beiden Fällen wird bislang von einer Filterung auf DNS-Ebene abgesehen, da dieser Vorgang mehr Ressourcen verbrauchen würde, als weiterhin jede Anfrage zu beantworten.
Gerade deswegen muss jeder Root-Server gemäß der Vorschrift RFC 2870 in der Lage sein, die dreifache Last des am stärksten belasteten zweiten Servers stemmen zu können, da bei einem Ausfall von zwei Drittel der betriebsfähigen Computerserver die Netzstabilität durch die verbliebenen Geräte zu gewährleisten ist. In der Praxis bedeutet das, dass jeder Root-Server bei normaler Häufigkeit der Anfragen mindestens zwei Drittel seiner Betriebskapazitäten ausschöpfen darf.
Anfällig sind diese Server für so genannte DDoS-Angriffe: Das sind Einfälle in das System eines Rechners mit dem Ziel, dessen Kapazitäten und Arbeitsleistung außer Kraft zu setzen. Einer der größten Angriffe fand im Oktober 2002 statt, als eine Distributed Denial of Service-Attacke knapp 75 Minuten auf alle 13 Root-Server erfolgte. Diese blieben zwar betriebsfähig durch die intakte Firewall, dennoch waren 9 Server mit den gefluteten Leitungen so belastet, dass sie über eine schlechtere Erreichbarkeit verfügten.
Durch die hierbei entstandenen Probleme verlief die Realisierung von Anycast, einer neuen Adressierungsart zwischen Rechnern, wesentlich schneller.
Zwei weitere größere DDoS-Attacken ereigneten sich zu Beginn des Jahres 2006 und 2007, während derer auch Angriffe auf die zu den attackierten Root-Servern zugehörigen TLD-Nameserver erfolgten. Beide Einfälle in die Rechnersysteme wurden weitestgehend schadlos und ohne langfristige Konsequenzen überstanden.
In der Kritik steht auch weiterhin das Mitspracherecht der US-Regierung, das bedingt ist durch die Lokalisation der Server (wie erwähnt, haben 9 der 13 Root-Server ihren festen Standort im Regierungsgebiet der USA). Kritisiert werden hier Punkte des mangelhaften Datenschutzes und der Datensicherheit; es wurde versucht, diesen Fehlern durch die Schaffung des freien Open Root Server Network (ORSN) entgegenzuwirken. Leider misslang der Versuch: Der Betrieb des ORSN wurde zum Ende des Jahres 2008 eingestellt.
... link
