'n Abend, On Mon, Mar 07, 2005 at 10:33:07PM +0100, Robert Michel wrote: > > �hm die root Server sind von der USA unabh�nig?
Nein. > Meinen Provider vertraue ich doch, aber wenn die root-NS falsche > Eintr�ge bekomme, hat sehr schnell auch mein Provider falsche. Wenn die Root-Server falsche Eintr�ge haben, dann ist eine ganze TLD betroffen. Root-Server verweisen auf die DNS-Server der Registrys, also z.B. auf die DNS-Server der DeNIC. Deren DNS-Server verweisen dann auf die autoriativen DNS-Server f�r den Domainnamen. Und diese DNS-Server k�nnen dann nochmals deligieren oder f�r Subdomains auf andere DNS-Server verweisen. Wenn also Root-Server kaputt, oder Denic-DNS-Server kaputt, dann gro�er Aufschrei - weil eigentlich nichts mehr geht. Das ist, also w�rden alle CIX weltweit abgeschaltet werden. Wenn 'nur' das DE-CIX ausf�llt (immerhin drei Standorte), dann w�rden die meisten Server trotzdem noch erreicht werden. Die meisten Rechenzentren h�ngen an mehreren CIX. > Also wenn www.aljazeera.net nicht mehr richtig aufgel�st wird, > ich aber gerne an die Informationen von aljazeera kommen w�rde, > dann ist das nicht mein Problem? Wenn 'Al Seddiqi, Salah' der Meinung ist, den Server abzuschalten (oder dies zuzulassen), ist es ja auch nicht Dein Problem - sprich: Du kannst nichts dagegen machen. Du d�rftest kein Recht an der Erreichbarkeit haben, denke ich mal. Wenn es 'Al dingsda' nicht schafft, einen Provider und Registrar zu finden, dem er vertraut, dann kann das nicht Deine Sorge sein. > Aber es ist _eine_ verteilte DB. Ist ein Eintrag falsch ist er bei allen > Root-DNS falsch. Ja, leicht zeitverz�gert, aber ja. Wenn das Telefonbuch neu aufgelegt wird, und mit einem fehlerhaften Eintrag in Druck geht, ist dieser auch in allen Telefonb�chern falsch, wenn sie gegen die alten ausgetauscht wurden. Und wer nutzt schon Telefonb�cher, die �lter als drei Jahre sind. Mit einer Domain kann man schneller umziehen als mit einem Telefonanschlu�, also muss die Aktualisierung f�ufiger vorgenommen werden. > Wenn das DoD will, Das ist das US-Terroristen-Ministerium?! > das die Root-DNS nicht mehr verf�gbar sind, bzw > falsche Eintr�ge publizieren, dann sind diese Eintr�ge falsch - und > die normalen ISPs w�rden diese falschen Eintr�ge �bernehmen. JA, nur eben - das trifft alle Domains unter (hier) .net. Wenn man nicht gegen die Regeln der Registry verst��t, darf, rein rechtlich, nicht die Domain geklaut werden - auch nicht von Amis. Es sind Regeln des gesellschaftlichen Zusammenlebens. Wenn Bank�berf�lle Mode w�rden und in jeder kleineren Stadt t�glich dutzende ver�bt w�rden, w�rde sich hier auch sehr schnell etwas �ndern (Zutritt nur einzeln etc.). Es gilt nun aber einmal, dass Bank�berf�lle gesetzeswidrig sind. Trotzdem werden regelm��ig Banken �berfallen. Oder Diebst�hle allgemein, wieviele Autodiebst�hle gibt es j�hrlich in Deutschland? Trotzdem haben die Leute Autos. Risikoabw�gung nennt man das wohl - so macht es ja auch die Versicherung. Risikoabw�gung ist z.B. auch, dass ich am 1.Mai mein Auto nicht in Berlin-Kreuzberg parke. Wahrscheinlich w�rde nichts passieren, aber etwas zu unsicher ist es mir doch. Wenn ich mich nicht auf die .net-Registry verlassen m�chte, suche ich mir eben eine andere TLD. Man kann gesellschaftliche Probleme nicht durch technische L�sungen beseitigen. Bestes Beispiel ist doch die Tabaksteuererh�hung in D, damit Hr. Eichel damit die Terroristen unterst�tzen kann - also andersrum. Jetzt schmuggeln die Leute, oder rauchen nicht mehr, weil sie die Terroristen nicht f�rdern wollen, durch ihre zus�tzliche Steuer. Fehlschlag. Die Idee war bescheuert genug, und hat auch nicht funktioniert. Und wenn die B�ssows dieser Welt meinen, bestimmte DNS-Namen zu f�lschen, dann kannst Du, wenn sowas mal intelligente Menschen machen w�rden (wobei Intelligenz solche Vorgehensweise eigentlich ausschlie�t) k�nntest Du nichts dagegen machen, au�er nat�rlich, Du findest andere Informationswege. Du k�nntest Dich also z.B. mit 'Al dingsda' treffen, oder mit ihm telefonieren, oder andere Protokolle nutzen. > Das heutige Internet ist mit unserer Gewohnheit ohne DNS nicht nutzbar, > warum sollte man die Aufl�sungen die man t�glich nutzt nicht als > Fallback auch auf der eigenen Platte _nutzbar_ haben? Weil sich die Zuordnung von Namen-IPs sek�ndlich massenhaft �ndert. Nichts ist �lter, als die Bookmark-Liste von vor einem Jahr. > > Wenn alle Banken auf der Welt gleichzeitig Pleite gehen w�rden, .... > > Die Rootserver sind nicht unabh�nig voneinander - verglichen dazu > sind die Banken unabh�niger. Gut, vielleicht nicht ganz passend. Dann ziehe Dir von den Root-Servern die Adressen der wichtigsten DNS-Server f�r die von Dir besuchten TLDs, dann passt der Vergleich wieder. Die DNS-Server der Registrys sind voneinander unabh�ngig. > > Irgendwann ist immer Schlu�. Es gibt auch kein perpetum mobile, warum > > nicht? > > IMHO perfekt w�re wenn man lokale TLD hat, wenn der Aktuelle DNS > Eintrag nicht funktioniert, das man > www.kernel.org.old-1 > www.kernel.org.old-2 > nutzen k�nnte. Was hei�t aber 'nicht funktioniert'? Wenn diese IP nicht erreichbar ist, heist es ja noch lange nicht, dass die NS-Aufl�sung fehlerhaft gewesen ist. Wenn der z.B. Webserver nichts f�r die Domain ausspuckt, ist der vHost nicht konfiguriert worden. Wer sagt - jetzt ist es falsch? Wie erkennt Dein Skript das? > Ja, ich k�nnte per etherreal die DNS Anfragen per Skript auswerten > und in eine Datei legen, die ich dann im Fall der F�lle als hosts > einsetzten kann, bzw als "lokale" old TLDs basteln. Du meinst mit TLD bestimmt die SLD, also NAME.tld. Die Abfragen der TLD-Nameserver f�r die wichtigsten Zonen k�nnte man nat�rlich regelm��ig per Skript erledigen. Aber es wird sicher niemand auf die Idee kommen, eine komplette TLD offline zu schalten und aus den Root-Servern herauszunehmen. Beim Protokollieren der aufgel�sten Namen stellt sich die Frage, wann sagst Du, dass eine mitgelesene IP f�r einen Namen korrekt war, und sie als Fallback-Host �bernommen wird? Wie erkennst Du eine fehlerhafte Aufl�sung, wenn kein NXDOMAIN sondern irgendws falsches als IP geliefert wird? > Ich h�tte aber gedacht, das es einen DNS-Proxy g�be, der dies, > oder �hnliches (Archivierung und Abfrage alter Aufl�sungen) k�nnte. Ein Archiv bringt nichts, weil es unaktuell ist. In einer normalen Gesellschaft funktioniert DNS einwandfrei. Gegen Versuche der Beeinflussung gibt es bereits DNSSec. Aber wenn ein totalit�rer Staat eingreift und MAcht demonstriert, dann bist Du diesem Staat unterlegen. Wenn eine Person eine Privatarmee aufbaut und mit Gewalt unterdr�ckt, was ihm nicht passt, hast Du als kleines Licht auch nichts zu lachen. Sie haben dann die Macht. Ein Staat hat prinzipiell die Macht. Demokratie zeichnet sich dadurch aus, dass das Volk sich durch Wahlen dagegen wehren kann - wenn das Volk endlich einmal intelligent genug und vor allem interessiert w�re. Mit der F�rderung von Bildung und Deinem Engagement in der Gesellschaft wirst Du Dein erkanntes potenzielles Problem l�sen. Bei technischen L�sungen ist das wie wir es z.B. von der Antivieren-Industrie kennen - in ewiger Wettkampf. Die Virenautoren sind grunds�tzlich schneller als die Antiviren-Programmierer. So, das war jetzt schon fast OT, aber die Problematik ist leider eben nicht technisch l�sbar. Und nachdem Du eine technische L�sung f�r die derzeitige Problematik gefunden hast, wirst Du feststellen, dass neben dem DNS weitere Probleme auftreten k�nnen, die Du dann irgendwann keinesfalls mehr technisch l�sen k�nnen wirst. hagen -- ,''`. Hagen Kuehnel - http://HagK.de : :' : Kopierschutz: Alle Texte sind mit Double-ROT13 verschl�sselt. UrhG �95d `. `'` Die Umgehung des Kopierschutzes stellt eine Straftat dar. UrhG �95a `- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
