Find ich super! :D

1) Das ist ein super Protest gegen DNS Umleitungen und anderen schlecht geplanten Mist, der die DNS Infrastruktur schwächt.

2) So werden die Verantwortlichen endlich mal dazu GEZWUNGEN, den alten Mist über Bord zu werfen und eine Infrastruktur zu entwickeln, die weniger Störungsanfällig und zuverlässiger ist! :)

DNSSEC wäre doch zB. mal ein schöner Anfang, damit Anfragen validiert sind und illegale Umleitungen durch Staatsorgane oder kriminelle Vereinigungen erschwert werden! :)

Und wenn jetzt dadurch nur ein paar mehr Leute Probleme haben, wenn sie ihre geliebten "Sites" eintippen und merken durch Internetrecherchen, WAS genau das Problem ist und sich dann deswegen über DNS schlau machen, haben wir vielleicht noch ein paar mehr schlauere unter uns! Dann lassen auch die sich durch die Politiker mit ihren Umleitungsspinnereien nicht mehr verarschen! ;)

spanther schrieb:
--------------------------------------------------------------------------------
> 1) Das ist ein super Protest gegen DNS Umleitungen und anderen schlecht
> geplanten Mist, der die DNS Infrastruktur schwächt.

was meinst du genau? welche dns-umleitungen? welcher schlecht geplante mist genau?

> 2) So werden die Verantwortlichen endlich mal dazu GEZWUNGEN, den alten
> Mist über Bord zu werfen und eine Infrastruktur zu entwickeln, die weniger
> Störungsanfällig und zuverlässiger ist! :)

welchen alten mist? dns über bord werfen oder wie? wie würdest du eine dns-infrastruktur bauen?

> DNSSEC wäre doch zB. mal ein schöner Anfang, damit Anfragen validiert sind
> und illegale Umleitungen durch Staatsorgane oder kriminelle Vereinigungen
> erschwert werden! :)

wie kann dnssec bei einem ddos helfen?!

lieber spanther. evtl. magst du dich auch nochmal *genau* über dns informieren. deine beiträge strahlen nicht sehr von tieferem verständnis der materie. und das hat mit politik erstmal rein *garnichts* zu tun.

tunnelblick schrieb:
--------------------------------------------------------------------------------
> was meinst du genau? welche dns-umleitungen? welcher schlecht geplante mist
> genau?

DNS-Umleitungen gibt es ja viele, deswegen wollte ich mich nicht auf eine festschießen. Aber als Beispiel könnte man die Staatlichen von hier mal zB. sehen, welche ja geplant waren. STOPP Schilder ^^
Schlecht geplanter Mist deswegen, weil es im Grunde keinem Opfer hilft, aber Leute die sich mit DNS Technik ziemlich gut auskannten verlauten ließen, dass dies zu Problemen führen könnte und den reibungslosen Dienst DNS stören könnte. Also die Infrastruktur des Internets gefährden können würde.

> welchen alten mist?

Unser momentanes DNS System, welches ziemlich anfällig ist.

> dns über bord werfen oder wie?

Nein Webseitennamen lebe wohl zu sagen, wäre wohl auch nicht gut. Sie haben uns schon einen guten Dienst erwiesen.

> wie würdest du eine dns-infrastruktur bauen?

Ich würde zum Beispiel DNSSEC einführen, damit Anfragen validierbar werden und Umleitungen egal welcher Art erschwert bis unmöglich gemacht werden. Da müsste man sich dann halt richtig Gedanken drüber machen, aber ein System welches einen Selbstschutz integriert hat, wäre doch schon mal ein Anfang. Etwas, das DDoS Attacken zB. deutlich erschwert, indem es Spam artige Anfragen blockiert. Eine Firewall zwischenschalten, welche bemerkt wenn von irgendwo übermäßig viele Anfragen kommen und diesen Anschluss kappt. Wobei dann aber auch direkt mit den Providern Hand in Hand gearbeitet wird, das diese "Spammer" vom Netz getrennt werden und die Polizei kontaktiert wird, wo dann geklärt wird wer die Schuld trug. Entweder stellt sich dann die Schuld des PC Besitzers heraus, oder aber ein unbekannter hatte Zugriff von Außerhalb und dann wird gegen eben diesen ermittelt! :)

Und ja es könnte ausgenutzt werden, indem ein Rechner kompromittiert wird und dann Spam sendet also rapide Anfragen, wodurch dann die Leitung gekappt wird vom Provider. Das wäre dann aber ein guter Selbstschutz des Systems Internet! Die Kunden, deren System verseucht wurde, müssen dieses dann eben wieder herstellen und säubern. Wenn sie dann das Netzwerk nicht mehr belasten durch Schädlinge auf ihrem System (Botnetze) usw. können sie ja wieder Online gehen.

Zur Not halt eine Systemwiederherstellung. Das die Rechner einfach weiter am Netz bleiben, weiterhin infiziert bleiben und auch weiterhin eine Gefahr für das gesamte Netz darstellen, kann ja aber doch wohl nicht erstrebenswert sein. Genauso wie ein kaputtes Auto auf der Straße nicht mehr fahren darf, bis es repariert ist, muss auch ein PC erst wieder gesäubert werden, bevor er wieder Online darf. Ein PC Service, wo zur Not ein Mitarbeiter der Person den PC eben dann richtig einstellt und die Schädlinge entfernt, wäre halt auch noch denkbar. Wenn der Bedienende es nicht alleine hinbekommt. Botnetze aber, müssen bekämpft werden. Deswegen muss man die infizierten Kunden die einer dieser sind vom Netz trennen, zur Sicherheit aller anderen! Wenn dann einer eine DDoS Attacke fährt von seiner Leitung aus ohne Botnetz und die Gegenstelle dementsprechend stark ausgestattet ist, dürfte es nicht schwer sein trotzdem weiter das DNS Netz betreiben zu können. Allerdings müsste dann auch dieser Angreifer getrennt werden! :)

Dort muss also der Provider selbst ansetzen und ab einer gewissen Anfragendichte automatisch kappen. Diese darf dann natürlich nicht vom Provider frei nach gut dünken festgelegt werden, sondern muss von Spezialisten ermittelt werden. Damit eine normale übliche Nutzung des Internets nicht blockiert wird und nur durch Scripts oder ähnliches unnatürlich hohe/viele Anfragen pro Sekunde zum Block führen. Wenn dann derjenige schnell vom Netz getrennt wird, hören ja auch die Attacken also Anfragen auf und somit ist der DNS Dienst nicht mehr unnatürlich hoch belastet! Dafür müsste man International zusammenarbeiten! :)

> wie kann dnssec bei einem ddos helfen?!

Bei DDoS nicht, ich habe ja auch geschrieben es wäre "eine" Option, um zB. Phishing zu bekämpfen. Wenn Anfragen auf Validität überprüft werden, können Fake links mit Umleitung nicht mehr funktionieren :)

Das wäre halt eine Netz Sicherheits Option. Welche ich aber getrennt zum anderen Problem als "eine" von vielen möglichen Optionen sah, um den Schutz des Netzes zu verbessern! :)

tunnelblick schrieb:
--------------------------------------------------------------------------------
> lieber spanther. evtl. magst du dich auch nochmal *genau* über dns
> informieren. deine beiträge strahlen nicht sehr von tieferem verständnis
> der materie. und das hat mit politik erstmal rein *garnichts* zu tun.

Ich habe nicht gesagt, das DNSSEC bei DDoS Attacken hilft. Habe ich das irgendwo geschrieben? Nein, habe ich nicht! ^^
Ich erwähnte DNSSEC nur, weil ich möchte das dies endlich durchkommt und ich sicher sein kann das Anfragen auch zum richtigen Ziel führen! :)

Das andere bezog sich halt darauf, das ich froh bin über das "Problemchen". Nicht weil ich will das sich Kunden ärgern, aber weil sich Kunden nun durch News etc. damit wohl auseinandersetzen werden und dann selbst auch mal vielleicht entweder einen anderen DNS Server nutzen, oder aber allgemein besser bescheit wissen und vor Zensur geschützter sind! :)

Solange immer alles funktioniert, wird halt kaum ein normaler Nutzer sich mit "Problemen" oder Techniken befassen wollen. Sondern wird einfach nur seine täglichen Dinge im Internet erledigen. Wenn aber jemand mal auf Probleme stößt, könnte es ja passieren das diese Person sich dann mal genauer informiert, weil sie nun wissen möchte was da überhaupt los war! :)

Leute sozusagen zu "Wissen" zu bewegen, hat doch auch etwas vorteilhaftes! ^^

aehm.. also das bestehende System ist schon ziemlich ausgereift, Anycasts etc.

was du da beschreibst hat auch nicht wirklich was mit dns zu tun, sondern gilt fuer jedes system. so richtig begriffen hast du die materie imho leider nicht.

--
"seit nichtmal 1! stunde registriert und schon so nervig --.--"

.............................x................... schrieb:
--------------------------------------------------------------------------------
> aehm.. also das bestehende System ist schon ziemlich ausgereift, Anycasts
> etc.

Ist es das? Warum sind unkontrollierbare und ungewollte Umleitungen dann möglich? DNSSEC hätte schon bedacht werden müssen, "BEVOR" Umleitungen massiv ausgenutzt wurden um Leute in die Irre zu führen mit Fakeseiten und Bankdaten etc. zu erstehlen! :)

> was du da beschreibst hat auch nicht wirklich was mit dns zu tun, sondern
> gilt fuer jedes system. so richtig begriffen hast du die materie imho
> leider nicht.

Was soll denn am Domain Name System schwer zu begreifen sein? Sie besitzen Einträge über Domains und IP Adressen und leiten einen bei Eingabe einer Domain auf die IP weiter! :)

spanther schrieb:
--------------------------------------------------------------------------------
> .............................x................... schrieb:
> ---------------------------------------------------------------------------
> -----
> > aehm.. also das bestehende System ist schon ziemlich ausgereift,
> Anycasts
> > etc.
>
> Ist es das? Warum sind unkontrollierbare und ungewollte Umleitungen dann
> möglich? DNSSEC hätte schon bedacht werden müssen, "BEVOR" Umleitungen
> massiv ausgenutzt wurden um Leute in die Irre zu führen mit Fakeseiten und
> Bankdaten etc. zu erstehlen! :)
>

Cache Poisening ist eine Luecke, da geb ich dir schon recht. Aber das System ist im Prinzip richtig und ziemlich cool. DNNSEC wird das Problem loesen.

> > was du da beschreibst hat auch nicht wirklich was mit dns zu tun,
> sondern
> > gilt fuer jedes system. so richtig begriffen hast du die materie imho
> > leider nicht.
>
> Was soll denn am Domain Name System schwer zu begreifen sein? Sie besitzen
> Einträge über Domains und IP Adressen und leiten einen bei Eingabe einer
> Domain auf die IP weiter! :)

nein, so einfach ist es leider nicht :-) -> Hierarchie, TTL etc..

--
"seit nichtmal 1! stunde registriert und schon so nervig --.--"

.............................x................... schrieb:
--------------------------------------------------------------------------------
> Cache Poisening ist eine Luecke, da geb ich dir schon recht. Aber das
> System ist im Prinzip richtig und ziemlich cool. DNNSEC wird das Problem
> loesen.

Genau das meinte ich ja damit aber. Es war eben nicht perfekt und wird es wohl auch mit DNSSEC noch nicht sein! :)
Über eine "Sicherheitsschicht" hätte man als man DNS einführte aber schon vorab nachdenken können, finde ich...

Damit Anfragen validiert werden usw.

> nein, so einfach ist es leider nicht :-) -> Hierarchie, TTL etc..

Ich wollte es einfach nur ganz simpel und für jeden verständlich ausdrücken, das ich schon weis was es ist. Also das Grundprinzip verstanden habe und hier nicht über etwas völlig anderes rede und dabei den falschen Namen nenne, wie das manchmal Leute eben gerne tun :)



1 mal bearbeitet, zuletzt am 07.01.10 10:20 durch spanther.

> Über eine "Sicherheitsschicht" hätte man als man DNS
> einführte aber schon vorab nachdenken können, finde ich...

Als DNS 1983 zuerst eingeführt wurde gab es in Internet nicht mal 1.000 Rechner, und niemand konnte sich damals vorstellen das es viel mehr werden sollte. da gab es auch kein Sicherheitsproblem.

winner schrieb:
--------------------------------------------------------------------------------
> Als DNS 1983 zuerst eingeführt wurde gab es in Internet nicht mal 1.000
> Rechner, und niemand konnte sich damals vorstellen das es viel mehr werden
> sollte. da gab es auch kein Sicherheitsproblem.

Aber als es dann immer populärer wurde und es sich Weltweit begann auszubreiten, hätte man da dann nicht schon über Sicherheit im DNS System nachdenken müssen? Das war doch fahrlässig, bis jetzt wo viel Missbrauch dadurch betrieben wird zu warten, wenn man doch weis das auch Fremde mit bösen Absichten Zugriff darauf haben können. Dann hätte man doch eigentlich schon viel früher über Sicherheit nachdenken müssen im System! :)

Das haben die da total verschlafen, so meine ich das. Als es damals rein für militärische Zwecke genutzt wurde, war das ja noch etwas anderes als heute. Dazwischen aber, als immer mehr Leute dazukamen, hätte man schon mal über Sicherheit nachdenken müssen! :)

spanther schrieb:
--------------------------------------------------------------------------------
> tunnelblick schrieb:
> ---------------------------------------------------------------------------
> -----
> > was meinst du genau? welche dns-umleitungen? welcher schlecht geplante
> mist
> > genau?
>
> DNS-Umleitungen gibt es ja viele, deswegen wollte ich mich nicht auf eine
> festschießen. Aber als Beispiel könnte man die Staatlichen von hier mal zB.
> sehen, welche ja geplant waren. STOPP Schilder ^^
> [...]

Ach so, Du findest die DDOS Atacke als Protest gegen Stopschilder gut. Jetzt habe ich es verstanden.

Ich protestiere da anders. Aus Protest gegen die geplanten Stopschilder vögele ich seit einem halben Jahr jede (dem Kindesalter entwachsene) Jungfrau die mir vor den Schritt kommt.

Wenn die Stoppschilder endgültig vom Tisch sind müssen wir uns unbedingt mal zusammen setzen und nachvollziehen ob die DDOS oder die Vögelei dafür den Ausschlag gab.



--
Fighting for peace...

Rama Lama schrieb:
--------------------------------------------------------------------------------
> Ach so, Du findest die DDOS Atacke als Protest gegen Stopschilder gut.
> Jetzt habe ich es verstanden.

Ja. Eine von vielen Möglichkeiten halt. :)

> Ich protestiere da anders. Aus Protest gegen die geplanten Stopschilder
> vögele ich seit einem halben Jahr jede (dem Kindesalter entwachsene)
> Jungfrau die mir vor den Schritt kommt.

Kann es sein das du irgendwo ein Defizit aufweist, das du zu kompensieren nötig hast?

> Wenn die Stoppschilder endgültig vom Tisch sind müssen wir uns unbedingt
> mal zusammen setzen und nachvollziehen ob die DDOS oder die Vögelei dafür
> den Ausschlag gab.

Ich glaube kaum, das ich mich mit deinesgleichen jemals an einen Tisch setzen werde...

fuer DNSSEC benoetigt man aber auch ein Vielfaches an CPU Kapazitaeten.. ob das damals schon so handelbar war, bezweifel ich mal..

ist das jetzt eigentlich dein einziger Kritikpunkt am DNS?

--
"seit nichtmal 1! stunde registriert und schon so nervig --.--"

spanther schrieb:
--------------------------------------------------------------------------------
> tunnelblick schrieb:
> ---------------------------------------------------------------------------
> -----
> > lieber spanther. evtl. magst du dich auch nochmal *genau* über dns
> > informieren. deine beiträge strahlen nicht sehr von tieferem verständnis
> > der materie. und das hat mit politik erstmal rein *garnichts* zu tun.
>
> Ich habe nicht gesagt, das DNSSEC bei DDoS Attacken hilft. Habe ich das
> irgendwo geschrieben? Nein, habe ich nicht! ^^
> Ich erwähnte DNSSEC nur, weil ich möchte das dies endlich durchkommt und
> ich sicher sein kann das Anfragen auch zum richtigen Ziel führen! :)

das hat doch mit dnssec nicht wirklich viel zu tun. das betrifft die autoritativen nameserver. auf den cachings kann man immer noch was anders machen.

> Das andere bezog sich halt darauf, das ich froh bin über das "Problemchen".
> Nicht weil ich will das sich Kunden ärgern, aber weil sich Kunden nun durch
> News etc. damit wohl auseinandersetzen werden und dann selbst auch mal
> vielleicht entweder einen anderen DNS Server nutzen, oder aber allgemein
> besser bescheit wissen und vor Zensur geschützter sind! :)

wo merkst du denn genau zensur? ich habe es noch *garnicht* gemerkt.

> Solange immer alles funktioniert, wird halt kaum ein normaler Nutzer sich
> mit "Problemen" oder Techniken befassen wollen. Sondern wird einfach nur
> seine täglichen Dinge im Internet erledigen. Wenn aber jemand mal auf
> Probleme stößt, könnte es ja passieren das diese Person sich dann mal
> genauer informiert, weil sie nun wissen möchte was da überhaupt los war!
> :)

natürlich nicht. die zensur greift doch auch otto-normal (noch) nicht an.

> Leute sozusagen zu "Wissen" zu bewegen, hat doch auch etwas vorteilhaftes!
> ^^

zu welchem wissen? dass überhaupt filterlisten eingesetzt werden? das ist doch publik gemacht worden.

uff. soviele fässer geöffnet... sagen wir so: lies dich nochmal in dns, dnssec und phishing ein, blende erstmal die politik aus, und dann sehen wir mal weiter. :)

spanther schrieb:
--------------------------------------------------------------------------------
> Ich wollte es einfach nur ganz simpel und für jeden verständlich
> ausdrücken, das ich schon weis was es ist. Also das Grundprinzip verstanden
> habe und hier nicht über etwas völlig anderes rede und dabei den falschen
> Namen nenne, wie das manchmal Leute eben gerne tun :)

lieber spanther. schau dir doch erstmal an, wie überhaupt namensauflösung funktioniert. dann machst du dir bitte mal den unterschied zwischen autoritativen nameservern und caching nameservern klar.
bis nächste woche dann.

tunnelblick schrieb:
--------------------------------------------------------------------------------
> das hat doch mit dnssec nicht wirklich viel zu tun. das betrifft die
> autoritativen nameserver. auf den cachings kann man immer noch was anders
> machen.

Wofür sind Cachings denn überhaupt nötig dabei? Warum so kompliziert aufgebaut? :)

> wo merkst du denn genau zensur? ich habe es noch *garnicht* gemerkt.

Mh ich kam mal eine Weile nicht auf ein Forum, welches aber von anderen Personen welche ich als Freunde im Messenger hatte weiterhin erreichbar war. Da hatte also scheinbar jemand an der Weiterleitung herumgespielt. Bei mir kam da dann nur noch das die Domain nicht existiere...

> zu welchem wissen? dass überhaupt filterlisten eingesetzt werden? das ist
> doch publik gemacht worden.

Ne, zu Wissen, das diese Sperren Schwachsinn sind und alles andere als eine sinnvolle und effektive Lösung! :)
Das die Politik Kasper den Bürgern keine Lügen mehr als Wahr auftischen können und die Bürger aus unwissen dann dafür stimmen und wirklich glauben, es würde helfen...
So meinte ich das! ^^

.............................x................... schrieb:
--------------------------------------------------------------------------------
> fuer DNSSEC benoetigt man aber auch ein Vielfaches an CPU Kapazitaeten.. ob
> das damals schon so handelbar war, bezweifel ich mal..

2004 auch noch? Na ich weis ja nich :)

> ist das jetzt eigentlich dein einziger Kritikpunkt am DNS?

Naja ich finde auch noch blöd, das die DNS Server Funktion in Routern so langsam ist, weil die Rechenleistung und der Speicher der Router die man so kaufen kann im Saturn etc. so schwachbrüstig ist :(

Ich finde im meiner Fritzbox 7170 auch keine Funktion, wo ich den DNS Dienst deaktivieren kann, damit dieser Service dann von einem schnellen externen Server zB. dem Google DNS Dienst berechnet wird! :)

Dann wären meine Seitenaufbauzeiten nämlich noch schneller :(

Welchen DSL Modem/Router Kombi kann man denn da nutzen, der anständig ist aber noch im normal üblichen Bereich vom Preis liegt. Wobei man dann den eben halt auch so professionell einstellen können soll, das man Dienste ganz deaktivieren kann die man nicht möchte und DNS etc. alles einstellen kann? :)