Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties
Bron: Wired, submitter: paulmatthijs

Wired schrijft dat het vandaag twintig jaar geleden is dat DNS werd uitgevonden. Jon Postel en Paul Mockapetris bedachten het systeem aan de University of Southern California. Het systeem is nu volledig ingeburgerd, maar was op het moment van uitvinden zeer revolutionair: in plaats van het opzoeken van het adres van een machine kon worden volstaan met het intikken van een naam. Het DNS-protocol is vrijwel onveranderd ten opzichte van twintig jaar geleden en draait nog steeds met behulp van twaalf root servers. Na de DoS-aanvallen van de afgelopen maanden hebben verschillende experts, waaronder Paul Mockapetris zelf, daarom gepleit voor beveiligingsverbeteringen:

Internet algemeen"The system was built to expand but not necessarily to be secure," said Herbert Schorr, executive director of the Information Sciences Institute. The fundamental information to make the whole thing work, for example, still lives on just 12 so-called root servers. "It can be brought down. You have to be technically proficient, but there are enough people who can do it," Schorr said.

Lees meer over

Gerelateerde content

Alle gerelateerde content (9)
Moderatie-faq Wijzig weergave

Reacties (36)

-136036+126+213+32Ongemodereerd0
1 2
+2 Quarin
23 juni 2003 02:36
Ik snap niet helemaal waarom iedereen zo moeilijk doet over die aanvallen op de root-servers.
Ten eerste neemt het heel veel tijd in beslag om zo'n grote aanval uit te kunnen voeren. Het komt dus zoiezo al weinig voor dat het effect heeft. Ze hebben er nooit allemaal uitgelegen, zelfs bij die laatste hele grote niet.
Ten tweede heeft het weinig effect dat ze eruit liggen, zelfs als ze allemaal down zijn. Bijna elke dns-server heeft al die dingen al in zn cache staan en hoeft dus eigenlijk nooit iets te vragen bij de root-servers.
Correct me if i'm wrong.
+3 Cartewn
@Quarin23 juni 2003 10:16
Ik denk dat ze dat willen met het oog op de breedbandverbindingen die iedereen krijgt.Nu is het denk ik nog vrij lastig om een grote hoeveelheid breedband zombies te ronselen, maar als iedereen straks een breedbandverbinding heeft worden de DDOS aanvallen heviger. Daarnaast hoeven de hackers door de komst van windows XP geen aparte drivers meer te uploaden naar een zombie, omdat windows XP uit de doos al gespoofde pakketjes kan versturen.

Wel netjes dat je een techniek uitvindt die 20 jaar na dato nog steeds goed werkt.
0 TormentoR
@Cartewn23 juni 2003 10:30
Mensen krijgen geen breedband upload...
+2 vanDee898
@TormentoR23 juni 2003 11:07
Nee maar het verschil tussen 100x een ISDN upload of 100x een xDSL of Kabel upload is echt wel merkbaar.
+1 zeroxcool
@Cartewn23 juni 2003 10:57
Wel netjes dat je een techniek uitvindt die 20 jaar na dato nog steeds goed werkt.
Wat denk je van TCP/IP: http://www.tweakers.net/nieuws/24944. Dat vind ik persoonlijk nog een revolutionardere 'uitvinding'. Maar inderdaad, het is toch knap dat deze protocollen gewoon nog werken...
0 lintux
@Cartewn23 juni 2003 11:39
Gewoon die irritante kindjes die die 'aanvallen' uitvoeren een gigantische knal verkopen en terugsturen naar het schoolplein of de zandbak, waar ze weer lekker gepest worden door de stoere jongens.

Uit je agressie maar in wat anders, het is al sneu genoeg dat je opgewonden raakt van een niet meer reagerende root DNS server.

Ik weet dat dit geen werkende oplossing is, het zou echter wel de beste zijn. :r
+2 Equator
@Quarin23 juni 2003 11:39
Die ene grote is een IBM Systeem genaamd "Dot".

Vroeger was het een sun machine.. Sun adverteerde toen ook met de uitspraak: "We put de Dot in .net"

Maar toen die machine vervangen moest worden, bleek een IBM machine goedkoper en beter e presteren.
+1 tweakerbee
@Equator23 juni 2003 14:47
SUN had hem toen met een flinke korting moeten geven, dan hadden ze tenminste iets leuks om mee te adverteren. :P
+1 _Thanatos_
@Equator23 juni 2003 16:06
Kleine verbetering, het was "we are the dot in .com"

De jouwe klonk alsof Sun en MS vriendjes waren :)
+2 The Source
23 juni 2003 07:43
Er is al een opvolger van DNS genaamd DNSSEC (zie http://www.dnssec.net/). Hierbij wordt elk record in een zonefile voorzien van een eigen digitale handtekening zoals dat ook bij PGP gebeurd. DNSSEC is echter nog wel in experimentele fase maar in die hoedanigheid word he ook al gebruikt door SIDN.
+3 lintux
@The Source23 juni 2003 11:45
DNSSEC lijkt me meer iets om te voorkomen dat een random persoon zomaar een nieuwe zonefile kan uploaden om zo een domain/hostname te kapen. DNSSEC kan verder waarschijnlijk weinig doen tegen dit soort lame-attacks.
+2 NEn
23 juni 2003 02:43
Als elke ISP nu een kleine of grotere DNS server zou draaien, zouden die DOS aanvallen toch helemaal niet zoveel uitmaken, als je een paar 1000 servers hebt die elkaar constant updaten is dat toch veel handiger dan dat je van "slechts" 12 servers afhankelijk bent?
+2 tiguan
@NEn23 juni 2003 02:45
Uhm ja, totdat te TTL uitgewerkt is. Dan moeten de caching nameservers eerst weer aan de root nameservers vragen welke nameservers er verantwoordelijk zijn voor een domeinnaam. Dat kan op het moment van zo'n DoS aanval niet.

/moest een reactie zijn op Quarin.
+1 NEn
@tiguan23 juni 2003 02:46
als je een web maakt waar elke server van 3 of 4 andere afhankelijk is, dan is dat best te doen, als ze allemaal een andere TTL hebben is dat dus volgens mij geen probleem...
+2 tiguan
@NEn23 juni 2003 02:51
De TTL en expire waarden wordt van het domein overgenomen, dus jouw caching nameservers hebben daar weinig over te zeggen. Maakt niet uit hoeveel servers je daar tegenaan gooit.
0 Aetje
@NEn23 juni 2003 08:57
Tenzij je die server niet conform standaard bouwt...
+2 boner
23 juni 2003 09:22
DNS root servers began round-the-clock operation in 1985, according to Paul Mockapetris. ``An interesting data point is that machines that relied on DNS operation first appeared in 1986,'' he said. Mockapetris' first implementation was called ``Jeeves.'' It was superseded by BIND -- the Berkeley Internet Name Daemon, which implements the full DNS specification. Most recently, there is a Microsoft implementation.
Toen draaide het pas echt. De eerste RFC die DNS behandelt die ik kon vinden was: 882.
En die is uit November 1983.

RFC 819 gaat over een structurele naamgevings-structuur. Deze Rfc is echter van augustus 1982.

Hoe komt men hier aan 23-juni1983 dan? :?
+2 The - DDD
@boner23 juni 2003 09:44
Als je het artikel op Wired leest zie je staan: "Jon Postel and Paul Mockapetris ran the first successful test..."

DNS was nog experimenteel en nog niet beschreven in een RFC.

Sowieso gaat een RFC door een uitgebreid acceptatie traject heen, de datum die in een RFC staat is de datum dat hij final gemaakt is.
+2 boner
23 juni 2003 10:25
voordat iedereen gaat zitten speculeren hoe het voordat DNS er was werte: heel eenvoudig met de hosts file.

Op elke machine staat er nog steeds eentje. Vaak staat er maar 1 adres in 127.0.0.1 localhost.

Op een unix masjien in /etc/hosts
Op een windows masjien in C:\WINNT\system32\drivers\etc\hosts

Er zijn DNS accelerators die nix anders doen dan tijdelijk een regeltje toevoegen aan de hosts file.
+1 KayJay
@boner23 juni 2003 11:06
voordat iedereen gaat zitten speculeren hoe het voordat DNS er was werte: heel eenvoudig met de hosts file.

Op elke machine staat er nog steeds eentje. Vaak staat er maar 1 adres in 127.0.0.1 localhost.

Op een unix masjien in /etc/hosts
Op een windows masjien in C:\WINNT\system32\drivers\etc\hosts

Er zijn DNS accelerators die nix anders doen dan tijdelijk een regeltje toevoegen aan de hosts file.
je moest eens weten hoe vaak /etc/hosts nog gebruikt wordt.
Ook op de enige windows bak thuis gebruik hem voor mijn LAN. Dat werkt perfect.
+1 maertz
@KayJay23 juni 2003 12:46
Wat dacht je van het omleiden van allerlei reklame- /spyware-servers naar 0.0.0.0 of 127.0.0.1?

Ik heb al heel lang amper pop-ups en dergelijke omdat ik zo'n lijst van het internet heb gehaald met honderdern van die servers die omgeleid zijn.

Zwaar effectief :P
+2 GlowMouse
@maertz23 juni 2003 15:52
Klopt, Kazaa Lite maakt hier ook gebruik van.


Ik vraag me trouwens af hoe DNS servers gaan reageren op IPv6. Hebben de computers dan nog genoeg geheugen om snel een ipadres op te zoeken, of duurt het dan langer (access time harddisk) voordat je bij melkpak2033.supermarkt.dezestraat.utrecht.winkeloverzicht.nl het ipadres hebt gevonden.
+1 Aboe
@maertz23 juni 2003 13:47
http://www.smartin-designs.com/
voor de liefhebber..
pop-up killers in principe niet meer nodig.. als ze uberhaupt nog komen dan 99.99% allemaal blank.
+1 Coritchando
23 juni 2003 17:10
Opzich is het heel simpel om te beginnen. Maak eerst ipv 12 zo'n 50 servers. In elk land (elk knooppunt, bv. AMS-IX) gooi je een root server neer. Je trekt het dan geologisch uit elkaar wat voordelen heeft en elk land heeft dan zijn eigen hoofd DNS server(s) met daaronder de kleinere DNS'en (caching) van de providers.

En ach, elke Tweaker browst toch op IP ipv naam? ;)
+1 maertz
@Coritchando23 juni 2003 17:19
nee, alleen mensen met teveel tijd :P
+1 rbs
23 juni 2003 06:25
Een beetje enorm |:( om zo'n aanval uit te voeren zeg. als het lukt dan kun je zelf niet meer internetten (met dns dan).
maar om eerlijk te zijn denk ik dat het wel meevalt. als een cache expired dan moet hij wel gerefreshed worden, maar ik neem aan dat dat betekent dat de cache gewoon gebruikt blijft worden en ondertussen wordt geupdated? ipv in een keer leeggooien en helemaal opnieuw beginnen?
0 Wolfboy
@rbs23 juni 2003 10:48
Ik denk dat als je zo'n dns plat gooit je er altijd wel even voor zorgt dat je zelf een caching dns hebt staan

anders ben je gewoon heel erg dom |:(

Trouwens ik denk dat elke tweaker die een beetje stabiel inet wil hebben wel een dns servertje heeft staan, of ben ik 1 van de weinige :?
+1 lintux
@Wolfboy23 juni 2003 11:43
Trouwens ik denk dat elke tweaker die een beetje stabiel inet wil hebben wel een dns servertje heeft staan, of ben ik 1 van de weinige
Ik kan me de tijd dat ik dat niet deed al niet meer herinneren. Maar kan dat tegenwoordig ook al in Windows dan? ;)
+1 OverSoft
@lintux23 juni 2003 18:21
vast wel, maar het zit iig niet in het standaard pakket :P

lang leve linux :D
0 Skyclad
@rbs23 juni 2003 09:05
Misschien dat het degenen die die aanval doen daar ook niet om gaat? Of ze zijn niet geinteresseerd in wel of niet kunnen internetten, maar willen zoveel mogelijk schade veroorzaken, of ze willen gewoon laten zien dat het kan, of ze doen het voor de kick.
0 0siris
23 juni 2003 10:06
in plaats van het opzoeken van het adres van een machine kon worden volstaan met het intikken van een naam
ik dacht dat je gewoon een ipadres moest intikken :? Als je een naam ipv een nummer kon intikken, had je toch al DNS gehad? :Z
+1 heuveltje
@0siris23 juni 2003 10:19
dat staat er toch ook ?

met opzoeken word bedoeld dat er ergens wel een handgeschreven lijstje met wat ip-nrs lag........
0 Reeves
23 juni 2003 08:35
Gefeliciteerd met jullie 20 jarig bestaan.

DNS heeft zichzelf idd bewezen de afgelopen 20 jaar maar heeft toch een update nodig denk ik. Misschien dat dat DNSSEC beter is. Probleem is wel dat alle providers en landen zich hier op moeten instellen... :P
0 D-Monk
23 juni 2003 10:50
Gefeliciteerd :*)
1 2

Op dit item kan niet meer gereageerd worden.


Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True