Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties, 1.323 views •
Bron: CNet.com, submitter: Wouter Tinus

CNet.com bericht dat Verisign deze week één van de dertien DNS rootservers heeft verplaatst vanwege veiligheidsredenen. De verplaatsing komt slechts enkele weken nadat hackers een grote DDOS-aanval uitvoerden op de servers. Volgens Verisign heeft die gebeurtenis echter geen rol gespeeld in het besluit om de server te verplaatsen. Het verplaatsen van de server was onderdeel van een al langer lopend programma om de veiligheidsrisico's te beperken. De server, bekend als de J root server, is verplaatst naar een onbekende locatie. Voorheen stond de server in hetzelfde gebouw als de A root server. Het blijkt trouwens dat de recente aanval bij lange na niet zo serieus was als aanvankelijk werd gedacht. Om de DDOS-aanval te stoppen werden ICMP-packets tegengehouden waardoor er ten onrechte van uit werd gedaan dat de servers down waren:

Originally, Matrix NetSystems, a company that measures network performance, had reported that both of Verisign's root servers had been severely affected by the attacks. Later, though, the company recanted its claims, explaining that its method of measuring server uptime used Internet Control and Management Protocol (ICMP) packets, the same sort of data the attackers had used to flood the DNS root servers. Verisign pointed out that it had filtered out such data, a move that stopped the attack but that had also made it appear to Matrix NetSystems that the servers were down.

Other servers that were thought to have been downed by the attack may also have been operating reliably, Matrix NetSystems explained on its Web site.

"Other DNS root-server operators, such as the Department of Defense, which operates the G server, also took steps to maintain reliable connections," the company said in its latest advisory, dated Oct. 23. "According to DOD sources, they immediately began rate-limiting requests and switched to stealth servers to thwart the attack."

Reacties (43)

Reactiefilter:-143043+137+214+33
Moderatie-faq Wijzig weergave
Ik ben misschien een n00b, maar de fysieke locatie van die server heeft toch weinig te maken met aanvallen of andere malicious dingen via internet?

Dit helpt toch alleen als er een of andere jojo met een blokje C4 de serverroom in wil lopen?
Als die servers gebruik maken van dezelfde verbinding wel, en die kans is groot als ze in het zelfde gebouw staan :)
Nee hoor :)

Zelfs als die servers in 1 en hetzelfde gebouw staan, is er ( zeker bij rootservers ) altijd een stuk redundancy. Ongetwijfeld heet iedere rootserver minimaal 2 datalijnen naar de buitenwereld. Ik kan me bij die extra veiligheid niet anders voorstellen dan dat wordt bedoeld, dat het niet 'veilig' is om 2 rootservers op 1 en dezelfde fysieke lokatie te hebben staan. Denk es aan een grote brand, explosie of zelfs een terroristische aanval om het internet verkeer te ontregelen.

Door de J root-server te verhuizen naar een andere lokatie, is de veiligheid een stukje meer gewaarborgd.
idd, bezie het zo...
als ze allemaal op één centraal punt staan is het makkelijk ze allemaal plat te leggen. een bommetje hier en een bommetje daar :) als ik terrorist zou zijn had ik dat al lang gedaan :+
mja wie ben ik?

iig verplaatsen is geen slecht idee...
Breng ze nou niet op ideeen mafkees :P
Hebben we geen internet meer :'(

Maar denk ook dat het meer met het oogpunt op fysieke aanslag is geweest.
Hoezo geen Internet meer?
We hebben nog de DNS servers van onze ISP. Die onthouden meestal al veel combinatie ip/host. Dan hebben er een aantal mensen ooknog een eigen DNS die in de meeste gevallen het zelfde doet als je ISP.

En mocht dit niet meer gaan. heebben we altijd nog x.x.x.x Ja het IP adres.

Dus hoezo geen Inet?
Als alle straaatnaam bordjes in NL weg gehaalt wordenhebben we dan ook geen straten
Dat is niet helemaal waar. De DNS servers bij providers hebben en cache tijd van een dag. Na een dag gaat hij weer naar de root server omdat de gegevens in de cache niet meer vertrouwd worden. Als de cache namelijk nooi ververst zou worden kan je nooit een IP nummer van een server aanpassen omdat in de cache het oude ip-nummer blijft staan.

Als de Root servers meer dan 24 plat liggen is een heel groot gedeelte van internet niet meer via DNS namen te vinden. Rechstreeks op IP natuurlijk wel dus het zal niet echt plat liggen. Maar echt handig is anders
Ik zou het logischer vinden ls in iedere tijdszone een server zou staan. En tuurlijk goed beveiligd ...

dan zou je 24 root-servers hebben.

Bovendien vind ik de verdeling 75%USA en 25%de rest een beetje erg scheef.
Je zou haast zeggen dat de verdeling op ego is :P
Sara, staat geloof ik in Utrechts AMC of in Amsterdams VU als ik me niet vergist en dient voor Medisch onderzoek om ingewikkelde modellen van cellen te berekenen
Stond ie maar bij een ziekenhuis, dan had ie mee op het noodaggregaat kunnen draaien en lagen we er van de week niet uit. }>)
Hele aanval was ook meer een actie van een dom kiddie IMO. Iemand die een beetje weet hoe het internet in elkaar zit, weet dat je zo alleen maar lastig bent en geen grote schade veroorzaakt. Tenzij hij/zij het heel lang volhoud, maar dat lukt toch niet aangezien er dan wel ingegrepen wordt.

Die storing op de AMS-IX was een groter probleem. Dat laat maar weer eens zien hoe afhankelijk het internet in Nederland van 1 knooppunt is.

Dus wel logisch om die server te verplaatsen... backups nooit in hetzelfde gebouw bewaren... leer je in welke willekeurige opleiding al in je eerste jaar (of uur als je een cursus doet :))
Euh... en NDIX ( http://www.ndix.nl ) dan? Bestaat nog niet lang als internetknooppunt zijne, maar goed, is toch gevestigd in enschede (en da's nog geen duitsland :p )
En ook niet bij je thuis neerleggen, altijd bij vrienden :+.
Drie keer raden waar er de komende dagen een bericht over naar buiten komt via het Pentagon....

Ze hebben "bewijzen" dat terroristen het gemunt hebben op de rootservers!

Wat vervolgens weer gebruikt wordt als argument om de "War Against (Cyber)Terror" te verantwoorden....
De server die bij Sara in A'dam staat is een van de .NL root servers.

Trouwens van die server moet je vooral kijken naar server H, van het U.S. Army Research Lab, heb een tijdje geleden een docu over het U.S. Army research lab gezien en ik weet het zeker als ze bij die server kunnen komen zijn het wel heel knappe terroisten. In het research lab wordt topper dan top-secret B-) onderzoek gedaan
Zucht. Zelfs hier worden hackers genoemt die de aanval gedaan zouden hebben. Waarom toch? Hackers zijn mensen die proberen zo'n aanval te voorkomen niet te produceren.

De mensen die wel kwaad willen heten crackers of scriptkiddies. Deze laatsten weten echter gewoon niet waar ze mee bezig zijn.
Hou daar nou toch eens mee op!
Bij nerd.net is dat misschien zo. Maar IRL (je weet wel, buiten enzo) is een hacker gewoon een cracker en een scriptkiddie etc.

Mod me maar overbodig, maar ik wordt wel zo moe van dat eeuwige gezeik over wat een Hacker/cracker/sk is!
Op zich wel verstandig, hoewel de geografische locatie van een server bij lange na niet zo belangrijk is als zijn plaats in het wereldwijde netwerk:
een Ddos is gemakkelijker gedaan dan een IRL bombardement.
Een oplossing zou zijn om niet een centrale DNS server te hebben, maar iedere computer zijn steentje te laten bijdragen (als verbinding > 8mb/s) voor de DNS service als een soort van P2P.
Zo moeilijk bleek het ook niet te zijn 2 boeings in het WTC en 1 op het Pentagon te mikken. Een klein vliegtuig (bv zo'n learjet) vullen met explosieven en vervolgens op het verisign gebouwen laten crashen zal zo'n root-server vast redelijk uitschakelen (in ieder geval de mensen die hem moeten onderhouden).

Volgens mij stond de Europese root-server in Zweden of zo ergens ver onder de grond, in een oude mijn. stukje veiliger. Meen daar ooit eens een RFC over gelezen te hebben maar kan hem niet meer vinden.
De europeese root-server?
Een van de (wereldwijde) root-servers staat in Nederland, bij, ik dacht, SARA. Gewoon in een colo ruimte, achter een deurtje, hem hem wel's zien staan :)
Van www.root-servers.org:

I Autonomica Stockholm, SE

K Reseaux IP Europeens -
Network Coordination Centre London, UK

Dit zijn dus de Europese :) En geen van beide zijn in SARA te vinden ;)
Lekker Nederlands weer: "Oh er gebeurt toch niks mee, wie komt hier nu" ;)
Ik denk dat je gelijk hebt, maar misschien ook niet.

Mocht ie misschien toch eventueel mogelijkerwijs wel bij Sara staan.. dan staat ie daar misschien toch wel.

En als je hem hebt zien staan.. tjah, een lege kast met led's op batterijen zegt net zoveel :+

Zo worden al die hackers om de tuin geleid.. iedereen zit zo bij Sara te zoeken naar een rootserver, of niet. Want die zou hier immers staan, of niet.

De beste remedie is het in het ongewisse laten. Of niet. :)

Bij Sara staan sowieso een aantal root servers, maar die zijn root voor Sara zelf.. weinig bijzonders dus. Uiteraard handelen die dus alleen requests voor de eigen DNS en die van klanten af. Juist omdat zoveel locaties dit soort DNS servers kennen is de kans klein dat het hele internet in stort als de root's down zijn. Alle tussenliggende forwarders, cache's en rootservers fungeren dan als 1 grote mega-buffer.

* 786562 NiGeLaToR
Een oplossing zou zijn om niet een centrale DNS server te hebben, maar iedere computer zijn steentje te laten bijdragen (als verbinding > 8mb/s) voor de DNS service als een soort van P2P

Dit zal niet werken om de dood eenvoudige reden dat dit zeer ten koste gaat van de betrouwbaarheid van de DNS services. Als ik het ip addres van www.tweakers.net opvraag wil ik niet het addres van de een of andere hacker krijgen. Voor electronisch bankieren is dat nog belangrijker. P2P heeft veel beperkingen op dat vlak.

Daarnaast kun je veel ellende uithalen door rootservers onderuit te halen, en mogelijk nog meer door de gegevens erin te veranderen. Dat geld overigens nog meer voor de servers die de specifieke topdomeinen zoals .com .nl .net .org, etc. beheren.
"Om de DDOS-aanval te stoppen werden ICMP-packets tegengehouden waardoor er ten ontrechte van uit werd gedaan dat de servers down waren:"

Als die severs hun "service" niet kunnen leveren, dan is de "denial of service" aanval dus geslaagd... dat die box zelf niet down is boeit dan niet zo.
icmp != dns service
Krijgt ie nu ook een ander IP? Zo ja: dan heb ik een probleem, mag ik een heel hoopje ROOT-serverbestanden aanpassen op mn DNSCache servertjes :(
Och das wel een heel groot probleem |:(
Per server effe: dig @198.41.0.4 > /etc/bind/named.ca
misschien iets om in de cron te zetten ?!?!?!
Dat hoor je zelfs eens per maand te doen. En dus in de cron te zetten om het jezelf gemakkelijker te maken.
Niet elke gek draait een niet-chrooted bind |:(
Zal zo es ff kijken hoe dat in djbdns gaat, misschien doet ie het ook wel automatisch.
Idd... Root servers worden bij mij elke maand geverifieerd met een DIG via een crontab (en het resultaat komt netjes in me mail terecht)
* 786562 ChristianAls jullie niks verklappen wil ik er nog wel een }:O op installeren :>
Lekker belangerijk, de key is al gevonden hoor :+

Een rootserver hoeft niet per se een groot apparaat te zijn.. in principe is het afhandelen van DNS requests niet erg taakintensief. Wel als er miljarden binnenkomen uiteraard, maar dan is niet alleen de rootserver van belang.

* 786562 NiGeLaToR
* 786562 NiGeLaToR

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True