Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 43, views: 1.259 •
Bron: CNet.com, submitter: Wouter Tinus

CNet.com bericht dat Verisign deze week één van de dertien DNS rootservers heeft verplaatst vanwege veiligheidsredenen. De verplaatsing komt slechts enkele weken nadat hackers een grote DDOS-aanval uitvoerden op de servers. Volgens Verisign heeft die gebeurtenis echter geen rol gespeeld in het besluit om de server te verplaatsen. Het verplaatsen van de server was onderdeel van een al langer lopend programma om de veiligheidsrisico's te beperken. De server, bekend als de J root server, is verplaatst naar een onbekende locatie. Voorheen stond de server in hetzelfde gebouw als de A root server. Het blijkt trouwens dat de recente aanval bij lange na niet zo serieus was als aanvankelijk werd gedacht. Om de DDOS-aanval te stoppen werden ICMP-packets tegengehouden waardoor er ten onrechte van uit werd gedaan dat de servers down waren:

Originally, Matrix NetSystems, a company that measures network performance, had reported that both of Verisign's root servers had been severely affected by the attacks. Later, though, the company recanted its claims, explaining that its method of measuring server uptime used Internet Control and Management Protocol (ICMP) packets, the same sort of data the attackers had used to flood the DNS root servers. Verisign pointed out that it had filtered out such data, a move that stopped the attack but that had also made it appear to Matrix NetSystems that the servers were down.

Other servers that were thought to have been downed by the attack may also have been operating reliably, Matrix NetSystems explained on its Web site.

"Other DNS root-server operators, such as the Department of Defense, which operates the G server, also took steps to maintain reliable connections," the company said in its latest advisory, dated Oct. 23. "According to DOD sources, they immediately began rate-limiting requests and switched to stealth servers to thwart the attack."

Reacties (43)

Reactiefilter:-143043+137+214+33
Ik ben misschien een n00b, maar de fysieke locatie van die server heeft toch weinig te maken met aanvallen of andere malicious dingen via internet?

Dit helpt toch alleen als er een of andere jojo met een blokje C4 de serverroom in wil lopen?
Als die servers gebruik maken van dezelfde verbinding wel, en die kans is groot als ze in het zelfde gebouw staan :)
Nee hoor :)

Zelfs als die servers in 1 en hetzelfde gebouw staan, is er ( zeker bij rootservers ) altijd een stuk redundancy. Ongetwijfeld heet iedere rootserver minimaal 2 datalijnen naar de buitenwereld. Ik kan me bij die extra veiligheid niet anders voorstellen dan dat wordt bedoeld, dat het niet 'veilig' is om 2 rootservers op 1 en dezelfde fysieke lokatie te hebben staan. Denk es aan een grote brand, explosie of zelfs een terroristische aanval om het internet verkeer te ontregelen.

Door de J root-server te verhuizen naar een andere lokatie, is de veiligheid een stukje meer gewaarborgd.
idd, bezie het zo...
als ze allemaal op één centraal punt staan is het makkelijk ze allemaal plat te leggen. een bommetje hier en een bommetje daar :) als ik terrorist zou zijn had ik dat al lang gedaan :+
mja wie ben ik?

iig verplaatsen is geen slecht idee...
Breng ze nou niet op ideeen mafkees :P
Hebben we geen internet meer :'(

Maar denk ook dat het meer met het oogpunt op fysieke aanslag is geweest.
Hoezo geen Internet meer?
We hebben nog de DNS servers van onze ISP. Die onthouden meestal al veel combinatie ip/host. Dan hebben er een aantal mensen ooknog een eigen DNS die in de meeste gevallen het zelfde doet als je ISP.

En mocht dit niet meer gaan. heebben we altijd nog x.x.x.x Ja het IP adres.

Dus hoezo geen Inet?
Als alle straaatnaam bordjes in NL weg gehaalt wordenhebben we dan ook geen straten
Dat is niet helemaal waar. De DNS servers bij providers hebben en cache tijd van een dag. Na een dag gaat hij weer naar de root server omdat de gegevens in de cache niet meer vertrouwd worden. Als de cache namelijk nooi ververst zou worden kan je nooit een IP nummer van een server aanpassen omdat in de cache het oude ip-nummer blijft staan.

Als de Root servers meer dan 24 plat liggen is een heel groot gedeelte van internet niet meer via DNS namen te vinden. Rechstreeks op IP natuurlijk wel dus het zal niet echt plat liggen. Maar echt handig is anders
Op zich wel verstandig, hoewel de geografische locatie van een server bij lange na niet zo belangrijk is als zijn plaats in het wereldwijde netwerk:
een Ddos is gemakkelijker gedaan dan een IRL bombardement.
Een oplossing zou zijn om niet een centrale DNS server te hebben, maar iedere computer zijn steentje te laten bijdragen (als verbinding > 8mb/s) voor de DNS service als een soort van P2P.
Zo moeilijk bleek het ook niet te zijn 2 boeings in het WTC en 1 op het Pentagon te mikken. Een klein vliegtuig (bv zo'n learjet) vullen met explosieven en vervolgens op het verisign gebouwen laten crashen zal zo'n root-server vast redelijk uitschakelen (in ieder geval de mensen die hem moeten onderhouden).

Volgens mij stond de Europese root-server in Zweden of zo ergens ver onder de grond, in een oude mijn. stukje veiliger. Meen daar ooit eens een RFC over gelezen te hebben maar kan hem niet meer vinden.
De europeese root-server?
Een van de (wereldwijde) root-servers staat in Nederland, bij, ik dacht, SARA. Gewoon in een colo ruimte, achter een deurtje, hem hem wel's zien staan :)
Lekker Nederlands weer: "Oh er gebeurt toch niks mee, wie komt hier nu" ;)
Van www.root-servers.org:

I Autonomica Stockholm, SE

K Reseaux IP Europeens -
Network Coordination Centre London, UK

Dit zijn dus de Europese :) En geen van beide zijn in SARA te vinden ;)
Ik denk dat je gelijk hebt, maar misschien ook niet.

Mocht ie misschien toch eventueel mogelijkerwijs wel bij Sara staan.. dan staat ie daar misschien toch wel.

En als je hem hebt zien staan.. tjah, een lege kast met led's op batterijen zegt net zoveel :+

Zo worden al die hackers om de tuin geleid.. iedereen zit zo bij Sara te zoeken naar een rootserver, of niet. Want die zou hier immers staan, of niet.

De beste remedie is het in het ongewisse laten. Of niet. :)

Bij Sara staan sowieso een aantal root servers, maar die zijn root voor Sara zelf.. weinig bijzonders dus. Uiteraard handelen die dus alleen requests voor de eigen DNS en die van klanten af. Juist omdat zoveel locaties dit soort DNS servers kennen is de kans klein dat het hele internet in stort als de root's down zijn. Alle tussenliggende forwarders, cache's en rootservers fungeren dan als 1 grote mega-buffer.

* 786562 NiGeLaToR
Een oplossing zou zijn om niet een centrale DNS server te hebben, maar iedere computer zijn steentje te laten bijdragen (als verbinding > 8mb/s) voor de DNS service als een soort van P2P

Dit zal niet werken om de dood eenvoudige reden dat dit zeer ten koste gaat van de betrouwbaarheid van de DNS services. Als ik het ip addres van www.tweakers.net opvraag wil ik niet het addres van de een of andere hacker krijgen. Voor electronisch bankieren is dat nog belangrijker. P2P heeft veel beperkingen op dat vlak.

Daarnaast kun je veel ellende uithalen door rootservers onderuit te halen, en mogelijk nog meer door de gegevens erin te veranderen. Dat geld overigens nog meer voor de servers die de specifieke topdomeinen zoals .com .nl .net .org, etc. beheren.
Juist,, dus probeer je te voorkomen dat twee servers in hetzelfde gebouw staan op dezelfde powerline zitten, enz.
Vandaar dat de server verplaatst is.

Stond ook los van de ""aanval"" aldus Verisign.
Drie keer raden waar er de komende dagen een bericht over naar buiten komt via het Pentagon....

Ze hebben "bewijzen" dat terroristen het gemunt hebben op de rootservers!

Wat vervolgens weer gebruikt wordt als argument om de "War Against (Cyber)Terror" te verantwoorden....
Hele aanval was ook meer een actie van een dom kiddie IMO. Iemand die een beetje weet hoe het internet in elkaar zit, weet dat je zo alleen maar lastig bent en geen grote schade veroorzaakt. Tenzij hij/zij het heel lang volhoud, maar dat lukt toch niet aangezien er dan wel ingegrepen wordt.

Die storing op de AMS-IX was een groter probleem. Dat laat maar weer eens zien hoe afhankelijk het internet in Nederland van 1 knooppunt is.

Dus wel logisch om die server te verplaatsen... backups nooit in hetzelfde gebouw bewaren... leer je in welke willekeurige opleiding al in je eerste jaar (of uur als je een cursus doet :))
En ook niet bij je thuis neerleggen, altijd bij vrienden :+.
Euh... en NDIX ( http://www.ndix.nl ) dan? Bestaat nog niet lang als internetknooppunt zijne, maar goed, is toch gevestigd in enschede (en da's nog geen duitsland :p )
Kunnen die mensen van Verisign geen cursusje in Irak volgen? Die gasten weten behoorlijk goed hoe je dingen moet verbergen tegen de 'terroristen'.

Trouwens ook een behoorlijk foute casemod. Een superserver bak om een PIV 3Ghz heen bouwen om hem op een rootserver te laten lijken.

Alleen in .nl al 13,000 rootservers! Waaaaah! :+
inderdaad is hetzelfde als hem in een container in een ouwe schuur zetten en de beheerder verkleden als boer.... niemand die dat ding fysiek zal vinden. Loop maar eens met een vuilniszak vol geld 's nachts door een willekeurige straat en niemand zal je overvallen...
simple.... ;) :z
De server, bekend als de J root server, is verplaatst naar een onbekende locatie.

Nummer 4 van 13 buiten US? www.root-servers.org
Krijgt ie nu ook een ander IP? Zo ja: dan heb ik een probleem, mag ik een heel hoopje ROOT-serverbestanden aanpassen op mn DNSCache servertjes :(
Och das wel een heel groot probleem |:(
Per server effe: dig @198.41.0.4 > /etc/bind/named.ca
misschien iets om in de cron te zetten ?!?!?!
Idd... Root servers worden bij mij elke maand geverifieerd met een DIG via een crontab (en het resultaat komt netjes in me mail terecht)
Dat hoor je zelfs eens per maand te doen. En dus in de cron te zetten om het jezelf gemakkelijker te maken.
Niet elke gek draait een niet-chrooted bind |:(
Zal zo es ff kijken hoe dat in djbdns gaat, misschien doet ie het ook wel automatisch.
* 786562 ChristianAls jullie niks verklappen wil ik er nog wel een }:O op installeren :>
Lekker belangerijk, de key is al gevonden hoor :+

Een rootserver hoeft niet per se een groot apparaat te zijn.. in principe is het afhandelen van DNS requests niet erg taakintensief. Wel als er miljarden binnenkomen uiteraard, maar dan is niet alleen de rootserver van belang.

* 786562 NiGeLaToR
* 786562 NiGeLaToR
één van de dertien DNS rootservers
Er staan er 10 van de 13 in de VS.
Als ze nu serieus het risico willen spreiden zet je er minstens 1 in elk werelddeel (ik mis Zuid-Amerika en Afrika) en verdeel je ze ook over verschillende politieke kleuren en geloofsrichtingen.
Zet bijv. 1 in Saudi-Arabie, 1 in Argentinie, 1 in Zuid Afrika, 1 in Singapore enz...

De VS houden het wel een beetje in eigen beheer. Ik las laatst ergens dat 75% van de IP adressen voor de VS gereserveerd zijn, de rest van de wereld mag het met de overige 25% doen.

Eerlijk verdelen en verspreiden die hap!

/edit: ik mis Oceanie ook als werelddeel (en Antarctica, maar ik zie niet echt het nut daar 1 neer te zetten ;)
Als ze nu serieus het risico willen spreiden zet je er minstens 1 in elk werelddeel.
En jij denkt dat er in ieder werelddeel genoeg glasvezel ligt waarop die rootservers kunnen worden aangesloten? Het verplaatsen van een apparaat is één ding, het hebben van een goede infrastructuur is iets anders.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Sony Microsoft Games Apple Politiek en recht Consoles Smartwatches

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013