DNS rootserver verplaatst uit veiligheidsoverwegingen
CNet.com bericht dat Verisign deze week één van de dertien DNS rootservers heeft verplaatst vanwege veiligheidsredenen. De verplaatsing komt slechts enkele weken nadat hackers een grote DDOS-aanval uitvoerden op de servers. Volgens Verisign heeft die gebeurtenis echter geen rol gespeeld in het besluit om de server te verplaatsen. Het verplaatsen van de server was onderdeel van een al langer lopend programma om de veiligheidsrisico's te beperken. De server, bekend als de J root server, is verplaatst naar een onbekende locatie. Voorheen stond de server in hetzelfde gebouw als de A root server. Het blijkt trouwens dat de recente aanval bij lange na niet zo serieus was als aanvankelijk werd gedacht. Om de DDOS-aanval te stoppen werden ICMP-packets tegengehouden waardoor er ten onrechte van uit werd gedaan dat de servers down waren:
Originally, Matrix NetSystems, a company that measures network performance, had reported that both of Verisign's root servers had been severely affected by the attacks. Later, though, the company recanted its claims, explaining that its method of measuring server uptime used Internet Control and Management Protocol (ICMP) packets, the same sort of data the attackers had used to flood the DNS root servers. Verisign pointed out that it had filtered out such data, a move that stopped the attack but that had also made it appear to Matrix NetSystems that the servers were down.
Other servers that were thought to have been downed by the attack may also have been operating reliably, Matrix NetSystems explained on its Web site.
"Other DNS root-server operators, such as the Department of Defense, which operates the G server, also took steps to maintain reliable connections," the company said in its latest advisory, dated Oct. 23. "According to DOD sources, they immediately began rate-limiting requests and switched to stealth servers to thwart the attack."
Reacties (43)
Ik ben misschien een n00b, maar de fysieke locatie van die server heeft toch weinig te maken met aanvallen of andere malicious dingen via internet?
Dit helpt toch alleen als er een of andere jojo met een blokje C4 de serverroom in wil lopen?
Dit helpt toch alleen als er een of andere jojo met een blokje C4 de serverroom in wil lopen?
Als die servers gebruik maken van dezelfde verbinding wel, en die kans is groot als ze in het zelfde gebouw staan 
Nee hoor
Zelfs als die servers in 1 en hetzelfde gebouw staan, is er ( zeker bij rootservers ) altijd een stuk redundancy. Ongetwijfeld heet iedere rootserver minimaal 2 datalijnen naar de buitenwereld. Ik kan me bij die extra veiligheid niet anders voorstellen dan dat wordt bedoeld, dat het niet 'veilig' is om 2 rootservers op 1 en dezelfde fysieke lokatie te hebben staan. Denk es aan een grote brand, explosie of zelfs een terroristische aanval om het internet verkeer te ontregelen.
Door de J root-server te verhuizen naar een andere lokatie, is de veiligheid een stukje meer gewaarborgd.
Zelfs als die servers in 1 en hetzelfde gebouw staan, is er ( zeker bij rootservers ) altijd een stuk redundancy. Ongetwijfeld heet iedere rootserver minimaal 2 datalijnen naar de buitenwereld. Ik kan me bij die extra veiligheid niet anders voorstellen dan dat wordt bedoeld, dat het niet 'veilig' is om 2 rootservers op 1 en dezelfde fysieke lokatie te hebben staan. Denk es aan een grote brand, explosie of zelfs een terroristische aanval om het internet verkeer te ontregelen.
Door de J root-server te verhuizen naar een andere lokatie, is de veiligheid een stukje meer gewaarborgd.
idd, bezie het zo...
als ze allemaal op één centraal punt staan is het makkelijk ze allemaal plat te leggen. een bommetje hier en een bommetje daar als ik terrorist zou zijn had ik dat al lang gedaan 
mja wie ben ik?
iig verplaatsen is geen slecht idee...
als ze allemaal op één centraal punt staan is het makkelijk ze allemaal plat te leggen. een bommetje hier en een bommetje daar
als ik terrorist zou zijn had ik dat al lang gedaan mja wie ben ik?
iig verplaatsen is geen slecht idee...
Breng ze nou niet op ideeen mafkees 
Hebben we geen internet meer
Maar denk ook dat het meer met het oogpunt op fysieke aanslag is geweest.
Hebben we geen internet meer
Maar denk ook dat het meer met het oogpunt op fysieke aanslag is geweest.
Hoezo geen Internet meer?
We hebben nog de DNS servers van onze ISP. Die onthouden meestal al veel combinatie ip/host. Dan hebben er een aantal mensen ooknog een eigen DNS die in de meeste gevallen het zelfde doet als je ISP.
En mocht dit niet meer gaan. heebben we altijd nog x.x.x.x Ja het IP adres.
Dus hoezo geen Inet?
Als alle straaatnaam bordjes in NL weg gehaalt wordenhebben we dan ook geen straten
We hebben nog de DNS servers van onze ISP. Die onthouden meestal al veel combinatie ip/host. Dan hebben er een aantal mensen ooknog een eigen DNS die in de meeste gevallen het zelfde doet als je ISP.
En mocht dit niet meer gaan. heebben we altijd nog x.x.x.x Ja het IP adres.
Dus hoezo geen Inet?
Als alle straaatnaam bordjes in NL weg gehaalt wordenhebben we dan ook geen straten
Dat is niet helemaal waar. De DNS servers bij providers hebben en cache tijd van een dag. Na een dag gaat hij weer naar de root server omdat de gegevens in de cache niet meer vertrouwd worden. Als de cache namelijk nooi ververst zou worden kan je nooit een IP nummer van een server aanpassen omdat in de cache het oude ip-nummer blijft staan.
Als de Root servers meer dan 24 plat liggen is een heel groot gedeelte van internet niet meer via DNS namen te vinden. Rechstreeks op IP natuurlijk wel dus het zal niet echt plat liggen. Maar echt handig is anders
Als de Root servers meer dan 24 plat liggen is een heel groot gedeelte van internet niet meer via DNS namen te vinden. Rechstreeks op IP natuurlijk wel dus het zal niet echt plat liggen. Maar echt handig is anders
Op zich wel verstandig, hoewel de geografische locatie van een server bij lange na niet zo belangrijk is als zijn plaats in het wereldwijde netwerk:
een Ddos is gemakkelijker gedaan dan een IRL bombardement.
Een oplossing zou zijn om niet een centrale DNS server te hebben, maar iedere computer zijn steentje te laten bijdragen (als verbinding > 8mb/s) voor de DNS service als een soort van P2P.
een Ddos is gemakkelijker gedaan dan een IRL bombardement.
Een oplossing zou zijn om niet een centrale DNS server te hebben, maar iedere computer zijn steentje te laten bijdragen (als verbinding > 8mb/s) voor de DNS service als een soort van P2P.
Zo moeilijk bleek het ook niet te zijn 2 boeings in het WTC en 1 op het Pentagon te mikken. Een klein vliegtuig (bv zo'n learjet) vullen met explosieven en vervolgens op het verisign gebouwen laten crashen zal zo'n root-server vast redelijk uitschakelen (in ieder geval de mensen die hem moeten onderhouden).
Volgens mij stond de Europese root-server in Zweden of zo ergens ver onder de grond, in een oude mijn. stukje veiliger. Meen daar ooit eens een RFC over gelezen te hebben maar kan hem niet meer vinden.
Volgens mij stond de Europese root-server in Zweden of zo ergens ver onder de grond, in een oude mijn. stukje veiliger. Meen daar ooit eens een RFC over gelezen te hebben maar kan hem niet meer vinden.
De europeese root-server?
Een van de (wereldwijde) root-servers staat in Nederland, bij, ik dacht, SARA. Gewoon in een colo ruimte, achter een deurtje, hem hem wel's zien staan
Een van de (wereldwijde) root-servers staat in Nederland, bij, ik dacht, SARA. Gewoon in een colo ruimte, achter een deurtje, hem hem wel's zien staan
Lekker Nederlands weer: "Oh er gebeurt toch niks mee, wie komt hier nu" 
Van www.root-servers.org:
I Autonomica Stockholm, SE
K Reseaux IP Europeens -
Network Coordination Centre London, UK
Dit zijn dus de Europese En geen van beide zijn in SARA te vinden
I Autonomica Stockholm, SE
K Reseaux IP Europeens -
Network Coordination Centre London, UK
Dit zijn dus de Europese
En geen van beide zijn in SARA te vinden Ik denk dat je gelijk hebt, maar misschien ook niet.
Mocht ie misschien toch eventueel mogelijkerwijs wel bij Sara staan.. dan staat ie daar misschien toch wel.
En als je hem hebt zien staan.. tjah, een lege kast met led's op batterijen zegt net zoveel
Zo worden al die hackers om de tuin geleid.. iedereen zit zo bij Sara te zoeken naar een rootserver, of niet. Want die zou hier immers staan, of niet.
De beste remedie is het in het ongewisse laten. Of niet.
Bij Sara staan sowieso een aantal root servers, maar die zijn root voor Sara zelf.. weinig bijzonders dus. Uiteraard handelen die dus alleen requests voor de eigen DNS en die van klanten af. Juist omdat zoveel locaties dit soort DNS servers kennen is de kans klein dat het hele internet in stort als de root's down zijn. Alle tussenliggende forwarders, cache's en rootservers fungeren dan als 1 grote mega-buffer.
* 786562 NiGeLaToR
Mocht ie misschien toch eventueel mogelijkerwijs wel bij Sara staan.. dan staat ie daar misschien toch wel.
En als je hem hebt zien staan.. tjah, een lege kast met led's op batterijen zegt net zoveel
Zo worden al die hackers om de tuin geleid.. iedereen zit zo bij Sara te zoeken naar een rootserver, of niet. Want die zou hier immers staan, of niet.
De beste remedie is het in het ongewisse laten. Of niet.
Bij Sara staan sowieso een aantal root servers, maar die zijn root voor Sara zelf.. weinig bijzonders dus. Uiteraard handelen die dus alleen requests voor de eigen DNS en die van klanten af. Juist omdat zoveel locaties dit soort DNS servers kennen is de kans klein dat het hele internet in stort als de root's down zijn. Alle tussenliggende forwarders, cache's en rootservers fungeren dan als 1 grote mega-buffer.
* 786562 NiGeLaToR
Dit zal niet werken om de dood eenvoudige reden dat dit zeer ten koste gaat van de betrouwbaarheid van de DNS services. Als ik het ip addres van www.tweakers.net opvraag wil ik niet het addres van de een of andere hacker krijgen. Voor electronisch bankieren is dat nog belangrijker. P2P heeft veel beperkingen op dat vlak.Een oplossing zou zijn om niet een centrale DNS server te hebben, maar iedere computer zijn steentje te laten bijdragen (als verbinding > 8mb/s) voor de DNS service als een soort van P2P
Daarnaast kun je veel ellende uithalen door rootservers onderuit te halen, en mogelijk nog meer door de gegevens erin te veranderen. Dat geld overigens nog meer voor de servers die de specifieke topdomeinen zoals .com .nl .net .org, etc. beheren.
Juist,, dus probeer je te voorkomen dat twee servers in hetzelfde gebouw staan op dezelfde powerline zitten, enz.
Vandaar dat de server verplaatst is.
Stond ook los van de ""aanval"" aldus Verisign.
Vandaar dat de server verplaatst is.
Stond ook los van de ""aanval"" aldus Verisign.
Drie keer raden waar er de komende dagen een bericht over naar buiten komt via het Pentagon....
Ze hebben "bewijzen" dat terroristen het gemunt hebben op de rootservers!
Wat vervolgens weer gebruikt wordt als argument om de "War Against (Cyber)Terror" te verantwoorden....
Ze hebben "bewijzen" dat terroristen het gemunt hebben op de rootservers!
Wat vervolgens weer gebruikt wordt als argument om de "War Against (Cyber)Terror" te verantwoorden....
Hele aanval was ook meer een actie van een dom kiddie IMO. Iemand die een beetje weet hoe het internet in elkaar zit, weet dat je zo alleen maar lastig bent en geen grote schade veroorzaakt. Tenzij hij/zij het heel lang volhoud, maar dat lukt toch niet aangezien er dan wel ingegrepen wordt.
Die storing op de AMS-IX was een groter probleem. Dat laat maar weer eens zien hoe afhankelijk het internet in Nederland van 1 knooppunt is.
Dus wel logisch om die server te verplaatsen... backups nooit in hetzelfde gebouw bewaren... leer je in welke willekeurige opleiding al in je eerste jaar (of uur als je een cursus doet)
Die storing op de AMS-IX was een groter probleem. Dat laat maar weer eens zien hoe afhankelijk het internet in Nederland van 1 knooppunt is.
Dus wel logisch om die server te verplaatsen... backups nooit in hetzelfde gebouw bewaren... leer je in welke willekeurige opleiding al in je eerste jaar (of uur als je een cursus doet
)En ook niet bij je thuis neerleggen, altijd bij vrienden .
.Euh... en NDIX ( http://www.ndix.nl ) dan? Bestaat nog niet lang als internetknooppunt zijne, maar goed, is toch gevestigd in enschede (en da's nog geen duitsland )
)Kunnen die mensen van Verisign geen cursusje in Irak volgen? Die gasten weten behoorlijk goed hoe je dingen moet verbergen tegen de 'terroristen'.
Trouwens ook een behoorlijk foute casemod. Een superserver bak om een PIV 3Ghz heen bouwen om hem op een rootserver te laten lijken.
Alleen in .nl al 13,000 rootservers! Waaaaah!
Trouwens ook een behoorlijk foute casemod. Een superserver bak om een PIV 3Ghz heen bouwen om hem op een rootserver te laten lijken.
Alleen in .nl al 13,000 rootservers! Waaaaah!
inderdaad is hetzelfde als hem in een container in een ouwe schuur zetten en de beheerder verkleden als boer.... niemand die dat ding fysiek zal vinden. Loop maar eens met een vuilniszak vol geld 's nachts door een willekeurige straat en niemand zal je overvallen...
simple.... 
simple....
Nummer 4 van 13 buiten US? www.root-servers.orgDe server, bekend als de J root server, is verplaatst naar een onbekende locatie.
Krijgt ie nu ook een ander IP? Zo ja: dan heb ik een probleem, mag ik een heel hoopje ROOT-serverbestanden aanpassen op mn DNSCache servertjes 
Och das wel een heel groot probleem 
Per server effe: dig @198.41.0.4 > /etc/bind/named.ca
misschien iets om in de cron te zetten ?!?!?!
Per server effe: dig @198.41.0.4 > /etc/bind/named.ca
misschien iets om in de cron te zetten ?!?!?!
Idd... Root servers worden bij mij elke maand geverifieerd met een DIG via een crontab (en het resultaat komt netjes in me mail terecht)
Dat hoor je zelfs eens per maand te doen. En dus in de cron te zetten om het jezelf gemakkelijker te maken.
Niet elke gek draait een niet-chrooted bind
Zal zo es ff kijken hoe dat in djbdns gaat, misschien doet ie het ook wel automatisch.
Zal zo es ff kijken hoe dat in djbdns gaat, misschien doet ie het ook wel automatisch.
* 786562 ChristianAls jullie niks verklappen wil ik er nog wel een 
op installeren 
op installeren Lekker belangerijk, de key is al gevonden hoor
Een rootserver hoeft niet per se een groot apparaat te zijn.. in principe is het afhandelen van DNS requests niet erg taakintensief. Wel als er miljarden binnenkomen uiteraard, maar dan is niet alleen de rootserver van belang.
* 786562 NiGeLaToR
* 786562 NiGeLaToR
Een rootserver hoeft niet per se een groot apparaat te zijn.. in principe is het afhandelen van DNS requests niet erg taakintensief. Wel als er miljarden binnenkomen uiteraard, maar dan is niet alleen de rootserver van belang.
* 786562 NiGeLaToR
* 786562 NiGeLaToR
Er staan er 10 van de 13 in de VS.één van de dertien DNS rootservers
Als ze nu serieus het risico willen spreiden zet je er minstens 1 in elk werelddeel (ik mis Zuid-Amerika en Afrika) en verdeel je ze ook over verschillende politieke kleuren en geloofsrichtingen.
Zet bijv. 1 in Saudi-Arabie, 1 in Argentinie, 1 in Zuid Afrika, 1 in Singapore enz...
De VS houden het wel een beetje in eigen beheer. Ik las laatst ergens dat 75% van de IP adressen voor de VS gereserveerd zijn, de rest van de wereld mag het met de overige 25% doen.
Eerlijk verdelen en verspreiden die hap!
/edit: ik mis Oceanie ook als werelddeel (en Antarctica, maar ik zie niet echt het nut daar 1 neer te zetten
En jij denkt dat er in ieder werelddeel genoeg glasvezel ligt waarop die rootservers kunnen worden aangesloten? Het verplaatsen van een apparaat is één ding, het hebben van een goede infrastructuur is iets anders.Als ze nu serieus het risico willen spreiden zet je er minstens 1 in elk werelddeel.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Mobiele telefoons Laptops Apple Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
