Öffentlicher DNS-Server von Google

von Wolfgang Schneider | 0 | 1339 Aufrufe

Anzeige Hier werben

Die Ziele, die Google sich für seinen eigenen DNS-Server gesetzt hat, sind hoch. Der DNS-Server soll vor allem durch Schnelligkeit, Sicherheit und Zuverlässigkeit glänzen. Dabei soll der Dienst allen Interessierten als kostenlose Alternative zum Server ihres Internet-Anbieters zur Verfügung stehen. Das höhere Tempo soll vor allem dadurch erreicht werden, dass er DNS-Einträge aktualisiert, bevor deren Gültigkeitsdauer (time to live, TTL) abgelaufen ist. Dies garantiere, dass ständig aktuelle Einträge vorrätig seien und nicht erst geholt werden müssten, wenn der Server bei einer Anfrage feststelle, dass die TTL abgelaufen ist.

Dabei soll Google den Dienst vor allem gegen bekannte DNS-Angriffe wie Cache-Poisoning, etwa durch die Kaminsky-Attacke und Denial-of-Service, resistenter gemacht haben. Dies soll durch einfache Gültigkeitsprüfungen erreicht werden, die etwa verdächtige Antworten anderer Nameserver sofort abweisen.

Dies beinhaltet fehlerhafte Nachrichten ebenso wie solche, in denen die zurückgeschickte Anfrage-ID, Quell-IP oder -Port oder der Name der Query nicht mit denen der Original-Anfrage übereinstimmt. Da diese Datenfelder allerdings relativ klein sind, könnten vermeintliche Angreifer durch eine hinreichend große Menge gefälschter Antworten zufällig passende Werte verwenden und damit dem Server eine falsche Namensauflösung unterschieben.

Dagegen wartet Google mit zusätzlicher Entropie auf. So benutzt der DNS-Dienst nicht den sonst üblichen Port 53, sondern wählt sich bei jeder Anfrage einen zufälligen. Stehen mehrere Namensserver zur Beantwortung einer Anfrage zur Verfügung, benutzt der Dienst dann einen zufällig bestimmten. Eine weitere Erhöhung der Entropie bringt die Verwendung von gemischter Groß- und Kleinschreibung: Bei der Namensauflösung spielt diese Unterscheidung keine Rolle. Enthält aber die vom antwortenden Server gesendet Antwort die Anfrage jedoch nicht in exakt derselben Schreibweise, kann der Empfänger sie als Fälschung entlarven.

Interessierte können den DNS-Dienst von Google unter den IP-Adressen 8.8.8.8 und 8.8.4.4 erreichen. Zusätzlich sollte man sich aber die aktuellen Einstellungen für den Nameserver notieren, bevor man Einträge dauerhaft ändert. Bei anstehender Änderung des DNS-Servers können ihnen diese Tipps helfen.

Über den Autor: Wolfgang Schneider
Online Marketeer & Projektmanager bei Team23 in Augsburg. Netzkind der ersten Stunde und Photoshopjunky. Seit über 10 Jahren im Bereich Design, Entwicklung & Online-Marketing tätig.
Profilseite betrachten