Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties
Bron: Wired, submitter: paulmatthijs

Wired schrijft dat het vandaag twintig jaar geleden is dat DNS werd uitgevonden. Jon Postel en Paul Mockapetris bedachten het systeem aan de University of Southern California. Het systeem is nu volledig ingeburgerd, maar was op het moment van uitvinden zeer revolutionair: in plaats van het opzoeken van het adres van een machine kon worden volstaan met het intikken van een naam. Het DNS-protocol is vrijwel onveranderd ten opzichte van twintig jaar geleden en draait nog steeds met behulp van twaalf root servers. Na de DoS-aanvallen van de afgelopen maanden hebben verschillende experts, waaronder Paul Mockapetris zelf, daarom gepleit voor beveiligingsverbeteringen:

Internet algemeen"The system was built to expand but not necessarily to be secure," said Herbert Schorr, executive director of the Information Sciences Institute. The fundamental information to make the whole thing work, for example, still lives on just 12 so-called root servers. "It can be brought down. You have to be technically proficient, but there are enough people who can do it," Schorr said.
Moderatie-faq Wijzig weergave

Reacties (36)

Ik snap niet helemaal waarom iedereen zo moeilijk doet over die aanvallen op de root-servers.
Ten eerste neemt het heel veel tijd in beslag om zo'n grote aanval uit te kunnen voeren. Het komt dus zoiezo al weinig voor dat het effect heeft. Ze hebben er nooit allemaal uitgelegen, zelfs bij die laatste hele grote niet.
Ten tweede heeft het weinig effect dat ze eruit liggen, zelfs als ze allemaal down zijn. Bijna elke dns-server heeft al die dingen al in zn cache staan en hoeft dus eigenlijk nooit iets te vragen bij de root-servers.
Correct me if i'm wrong.
Ik denk dat ze dat willen met het oog op de breedbandverbindingen die iedereen krijgt.Nu is het denk ik nog vrij lastig om een grote hoeveelheid breedband zombies te ronselen, maar als iedereen straks een breedbandverbinding heeft worden de DDOS aanvallen heviger. Daarnaast hoeven de hackers door de komst van windows XP geen aparte drivers meer te uploaden naar een zombie, omdat windows XP uit de doos al gespoofde pakketjes kan versturen.

Wel netjes dat je een techniek uitvindt die 20 jaar na dato nog steeds goed werkt.
Mensen krijgen geen breedband upload...
Nee maar het verschil tussen 100x een ISDN upload of 100x een xDSL of Kabel upload is echt wel merkbaar.
Wel netjes dat je een techniek uitvindt die 20 jaar na dato nog steeds goed werkt.
Wat denk je van TCP/IP: http://www.tweakers.net/nieuws/24944. Dat vind ik persoonlijk nog een revolutionardere 'uitvinding'. Maar inderdaad, het is toch knap dat deze protocollen gewoon nog werken...
Gewoon die irritante kindjes die die 'aanvallen' uitvoeren een gigantische knal verkopen en terugsturen naar het schoolplein of de zandbak, waar ze weer lekker gepest worden door de stoere jongens.

Uit je agressie maar in wat anders, het is al sneu genoeg dat je opgewonden raakt van een niet meer reagerende root DNS server.

Ik weet dat dit geen werkende oplossing is, het zou echter wel de beste zijn. :r
Die ene grote is een IBM Systeem genaamd "Dot".

Vroeger was het een sun machine.. Sun adverteerde toen ook met de uitspraak: "We put de Dot in .net"

Maar toen die machine vervangen moest worden, bleek een IBM machine goedkoper en beter e presteren.
SUN had hem toen met een flinke korting moeten geven, dan hadden ze tenminste iets leuks om mee te adverteren. :P
Kleine verbetering, het was "we are the dot in .com"

De jouwe klonk alsof Sun en MS vriendjes waren :)
Er is al een opvolger van DNS genaamd DNSSEC (zie http://www.dnssec.net/). Hierbij wordt elk record in een zonefile voorzien van een eigen digitale handtekening zoals dat ook bij PGP gebeurd. DNSSEC is echter nog wel in experimentele fase maar in die hoedanigheid word he ook al gebruikt door SIDN.
DNSSEC lijkt me meer iets om te voorkomen dat een random persoon zomaar een nieuwe zonefile kan uploaden om zo een domain/hostname te kapen. DNSSEC kan verder waarschijnlijk weinig doen tegen dit soort lame-attacks.
Als elke ISP nu een kleine of grotere DNS server zou draaien, zouden die DOS aanvallen toch helemaal niet zoveel uitmaken, als je een paar 1000 servers hebt die elkaar constant updaten is dat toch veel handiger dan dat je van "slechts" 12 servers afhankelijk bent?
Uhm ja, totdat te TTL uitgewerkt is. Dan moeten de caching nameservers eerst weer aan de root nameservers vragen welke nameservers er verantwoordelijk zijn voor een domeinnaam. Dat kan op het moment van zo'n DoS aanval niet.

/moest een reactie zijn op Quarin.
als je een web maakt waar elke server van 3 of 4 andere afhankelijk is, dan is dat best te doen, als ze allemaal een andere TTL hebben is dat dus volgens mij geen probleem...
De TTL en expire waarden wordt van het domein overgenomen, dus jouw caching nameservers hebben daar weinig over te zeggen. Maakt niet uit hoeveel servers je daar tegenaan gooit.
Tenzij je die server niet conform standaard bouwt...
DNS root servers began round-the-clock operation in 1985, according to Paul Mockapetris. ``An interesting data point is that machines that relied on DNS operation first appeared in 1986,'' he said. Mockapetris' first implementation was called ``Jeeves.'' It was superseded by BIND -- the Berkeley Internet Name Daemon, which implements the full DNS specification. Most recently, there is a Microsoft implementation.
Toen draaide het pas echt. De eerste RFC die DNS behandelt die ik kon vinden was: 882.
En die is uit November 1983.

RFC 819 gaat over een structurele naamgevings-structuur. Deze Rfc is echter van augustus 1982.

Hoe komt men hier aan 23-juni1983 dan? :?
Als je het artikel op Wired leest zie je staan: "Jon Postel and Paul Mockapetris ran the first successful test..."

DNS was nog experimenteel en nog niet beschreven in een RFC.

Sowieso gaat een RFC door een uitgebreid acceptatie traject heen, de datum die in een RFC staat is de datum dat hij final gemaakt is.
voordat iedereen gaat zitten speculeren hoe het voordat DNS er was werte: heel eenvoudig met de hosts file.

Op elke machine staat er nog steeds eentje. Vaak staat er maar 1 adres in 127.0.0.1 localhost.

Op een unix masjien in /etc/hosts
Op een windows masjien in C:\WINNT\system32\drivers\etc\hosts

Er zijn DNS accelerators die nix anders doen dan tijdelijk een regeltje toevoegen aan de hosts file.
voordat iedereen gaat zitten speculeren hoe het voordat DNS er was werte: heel eenvoudig met de hosts file.

Op elke machine staat er nog steeds eentje. Vaak staat er maar 1 adres in 127.0.0.1 localhost.

Op een unix masjien in /etc/hosts
Op een windows masjien in C:\WINNT\system32\drivers\etc\hosts

Er zijn DNS accelerators die nix anders doen dan tijdelijk een regeltje toevoegen aan de hosts file.
je moest eens weten hoe vaak /etc/hosts nog gebruikt wordt.
Ook op de enige windows bak thuis gebruik hem voor mijn LAN. Dat werkt perfect.
Wat dacht je van het omleiden van allerlei reklame- /spyware-servers naar 0.0.0.0 of 127.0.0.1?

Ik heb al heel lang amper pop-ups en dergelijke omdat ik zo'n lijst van het internet heb gehaald met honderdern van die servers die omgeleid zijn.

Zwaar effectief :P
Klopt, Kazaa Lite maakt hier ook gebruik van.


Ik vraag me trouwens af hoe DNS servers gaan reageren op IPv6. Hebben de computers dan nog genoeg geheugen om snel een ipadres op te zoeken, of duurt het dan langer (access time harddisk) voordat je bij melkpak2033.supermarkt.dezestraat.utrecht.winkeloverzicht.nl het ipadres hebt gevonden.
http://www.smartin-designs.com/
voor de liefhebber..
pop-up killers in principe niet meer nodig.. als ze uberhaupt nog komen dan 99.99% allemaal blank.
Opzich is het heel simpel om te beginnen. Maak eerst ipv 12 zo'n 50 servers. In elk land (elk knooppunt, bv. AMS-IX) gooi je een root server neer. Je trekt het dan geologisch uit elkaar wat voordelen heeft en elk land heeft dan zijn eigen hoofd DNS server(s) met daaronder de kleinere DNS'en (caching) van de providers.

En ach, elke Tweaker browst toch op IP ipv naam? ;)
nee, alleen mensen met teveel tijd :P
Een beetje enorm |:( om zo'n aanval uit te voeren zeg. als het lukt dan kun je zelf niet meer internetten (met dns dan).
maar om eerlijk te zijn denk ik dat het wel meevalt. als een cache expired dan moet hij wel gerefreshed worden, maar ik neem aan dat dat betekent dat de cache gewoon gebruikt blijft worden en ondertussen wordt geupdated? ipv in een keer leeggooien en helemaal opnieuw beginnen?
Ik denk dat als je zo'n dns plat gooit je er altijd wel even voor zorgt dat je zelf een caching dns hebt staan

anders ben je gewoon heel erg dom |:(

Trouwens ik denk dat elke tweaker die een beetje stabiel inet wil hebben wel een dns servertje heeft staan, of ben ik 1 van de weinige :?
Trouwens ik denk dat elke tweaker die een beetje stabiel inet wil hebben wel een dns servertje heeft staan, of ben ik 1 van de weinige
Ik kan me de tijd dat ik dat niet deed al niet meer herinneren. Maar kan dat tegenwoordig ook al in Windows dan? ;)
vast wel, maar het zit iig niet in het standaard pakket :P

lang leve linux :D
Misschien dat het degenen die die aanval doen daar ook niet om gaat? Of ze zijn niet geinteresseerd in wel of niet kunnen internetten, maar willen zoveel mogelijk schade veroorzaken, of ze willen gewoon laten zien dat het kan, of ze doen het voor de kick.
in plaats van het opzoeken van het adres van een machine kon worden volstaan met het intikken van een naam
ik dacht dat je gewoon een ipadres moest intikken :? Als je een naam ipv een nummer kon intikken, had je toch al DNS gehad? :Z
dat staat er toch ook ?

met opzoeken word bedoeld dat er ergens wel een handgeschreven lijstje met wat ip-nrs lag........
Gefeliciteerd met jullie 20 jarig bestaan.

DNS heeft zichzelf idd bewezen de afgelopen 20 jaar maar heeft toch een update nodig denk ik. Misschien dat dat DNSSEC beter is. Probleem is wel dat alle providers en landen zich hier op moeten instellen... :P
Gefeliciteerd :*)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True