DNS rootserver verplaatst uit veiligheidsoverwegingen

CNet.com bericht dat Verisign deze week één van de dertien DNS rootservers heeft verplaatst vanwege veiligheidsredenen. De verplaatsing komt slechts enkele weken nadat hackers een grote DDOS-aanval uitvoerden op de servers. Volgens Verisign heeft die gebeurtenis echter geen rol gespeeld in het besluit om de server te verplaatsen. Het verplaatsen van de server was onderdeel van een al langer lopend programma om de veiligheidsrisico's te beperken. De server, bekend als de J root server, is verplaatst naar een onbekende locatie. Voorheen stond de server in hetzelfde gebouw als de A root server. Het blijkt trouwens dat de recente aanval bij lange na niet zo serieus was als aanvankelijk werd gedacht. Om de DDOS-aanval te stoppen werden ICMP-packets tegengehouden waardoor er ten onrechte van uit werd gedaan dat de servers down waren:

Originally, Matrix NetSystems, a company that measures network performance, had reported that both of Verisign's root servers had been severely affected by the attacks. Later, though, the company recanted its claims, explaining that its method of measuring server uptime used Internet Control and Management Protocol (ICMP) packets, the same sort of data the attackers had used to flood the DNS root servers. Verisign pointed out that it had filtered out such data, a move that stopped the attack but that had also made it appear to Matrix NetSystems that the servers were down.

Other servers that were thought to have been downed by the attack may also have been operating reliably, Matrix NetSystems explained on its Web site.

"Other DNS root-server operators, such as the Department of Defense, which operates the G server, also took steps to maintain reliable connections," the company said in its latest advisory, dated Oct. 23. "According to DOD sources, they immediately began rate-limiting requests and switched to stealth servers to thwart the attack."

Door Hielko van der Hoorn

Feedback • 07-11-2002 23:04
43 • submitter: Wouter Tinus

07-11-2002 • 23:04

43

Submitter: Wouter Tinus

Bron: CNet.com

Lees meer

Verisign en FBI halen .com-domeinnaam neer
Verisign en FBI halen .com-domeinnaam neer Nieuws van 1 maart 2012
Icann verklaart falen ddos-aanval rootservers
Icann verklaart falen ddos-aanval rootservers Nieuws van 12 maart 2007
VS willen controle over DNS-rootservers houden
VS willen controle over DNS-rootservers houden Nieuws van 1 juli 2005
IPv6-records toegevoegd aan DNS-rootservers
IPv6-records toegevoegd aan DNS-rootservers Nieuws van 22 juli 2004
Xs4all wordt al een week door DDoS-aanval geteisterd
Xs4all wordt al een week door DDoS-aanval geteisterd Nieuws van 24 oktober 2003
Afrika krijgt zijn eerste DNS-rootserver
Afrika krijgt zijn eerste DNS-rootserver Nieuws van 4 oktober 2003
DNS viert twintigste verjaardag
DNS viert twintigste verjaardag Nieuws van 23 juni 2003
Servers eenvoudig overbelastbaar met hash-aanval
Servers eenvoudig overbelastbaar met hash-aanval Nieuws van 5 juni 2003
Verisign krijgt patent op het opvragen van DNS-gegevens
Verisign krijgt patent op het opvragen van DNS-gegevens Nieuws van 15 mei 2003
Uitvinder DNS pleit voor beveiligingsverbeteringen
Uitvinder DNS pleit voor beveiligingsverbeteringen Nieuws van 12 april 2003
98% van de aanvragen bij DNS-rootservers is onnodig
98% van de aanvragen bij DNS-rootservers is onnodig Nieuws van 3 maart 2003
Experts pleiten voor veiligere versie BGP-protocol
Experts pleiten voor veiligere versie BGP-protocol Nieuws van 1 maart 2003
Internet kwetsbaarder door schaalvergroting
Internet kwetsbaarder door schaalvergroting Nieuws van 30 november 2002
Huiszoeking bij Nederlandse hacker na verzoek VS
Huiszoeking bij Nederlandse hacker na verzoek VS Nieuws van 20 november 2002
Verenigde Staten overwegen hackers levenslang te geven
Verenigde Staten overwegen hackers levenslang te geven Nieuws van 15 november 2002
Internet weerstaat grootste DDoS aanval ooit
Internet weerstaat grootste DDoS aanval ooit Nieuws van 23 oktober 2002
Meer producten en artikelen
Bedrijfsnieuws

Reacties (43)

-Moderatie-faq
43
43
36
14
3
1
Wijzig sortering
twiFight 7 november 2002 23:07
Ik ben misschien een n00b, maar de fysieke locatie van die server heeft toch weinig te maken met aanvallen of andere malicious dingen via internet?

Dit helpt toch alleen als er een of andere jojo met een blokje C4 de serverroom in wil lopen?
Bigs @twiFight7 november 2002 23:08
Als die servers gebruik maken van dezelfde verbinding wel, en die kans is groot als ze in het zelfde gebouw staan :)
CARman @Bigs7 november 2002 23:58
Nee hoor :)

Zelfs als die servers in 1 en hetzelfde gebouw staan, is er ( zeker bij rootservers ) altijd een stuk redundancy. Ongetwijfeld heet iedere rootserver minimaal 2 datalijnen naar de buitenwereld. Ik kan me bij die extra veiligheid niet anders voorstellen dan dat wordt bedoeld, dat het niet 'veilig' is om 2 rootservers op 1 en dezelfde fysieke lokatie te hebben staan. Denk es aan een grote brand, explosie of zelfs een terroristische aanval om het internet verkeer te ontregelen.

Door de J root-server te verhuizen naar een andere lokatie, is de veiligheid een stukje meer gewaarborgd.
Verwijderd @twiFight7 november 2002 23:15
idd, bezie het zo...
als ze allemaal op één centraal punt staan is het makkelijk ze allemaal plat te leggen. een bommetje hier en een bommetje daar :) als ik terrorist zou zijn had ik dat al lang gedaan :+
mja wie ben ik?

iig verplaatsen is geen slecht idee...
Raziel @Verwijderd8 november 2002 07:37
Breng ze nou niet op ideeen mafkees :P
Hebben we geen internet meer :'(

Maar denk ook dat het meer met het oogpunt op fysieke aanslag is geweest.
wica @Raziel8 november 2002 09:46
Hoezo geen Internet meer?
We hebben nog de DNS servers van onze ISP. Die onthouden meestal al veel combinatie ip/host. Dan hebben er een aantal mensen ooknog een eigen DNS die in de meeste gevallen het zelfde doet als je ISP.

En mocht dit niet meer gaan. heebben we altijd nog x.x.x.x Ja het IP adres.

Dus hoezo geen Inet?
Als alle straaatnaam bordjes in NL weg gehaalt wordenhebben we dan ook geen straten
SnowDude @Raziel8 november 2002 14:29
Dat is niet helemaal waar. De DNS servers bij providers hebben en cache tijd van een dag. Na een dag gaat hij weer naar de root server omdat de gegevens in de cache niet meer vertrouwd worden. Als de cache namelijk nooi ververst zou worden kan je nooit een IP nummer van een server aanpassen omdat in de cache het oude ip-nummer blijft staan.

Als de Root servers meer dan 24 plat liggen is een heel groot gedeelte van internet niet meer via DNS namen te vinden. Rechstreeks op IP natuurlijk wel dus het zal niet echt plat liggen. Maar echt handig is anders
Verwijderd 8 november 2002 02:45
Ik zou het logischer vinden ls in iedere tijdszone een server zou staan. En tuurlijk goed beveiligd ...

dan zou je 24 root-servers hebben.

Bovendien vind ik de verdeling 75%USA en 25%de rest een beetje erg scheef.
[eNeRGy] @Verwijderd8 november 2002 07:15
Je zou haast zeggen dat de verdeling op ego is :P
Verwijderd @Verwijderd8 november 2002 08:50
Sara, staat geloof ik in Utrechts AMC of in Amsterdams VU als ik me niet vergist en dient voor Medisch onderzoek om ingewikkelde modellen van cellen te berekenen
paella @Verwijderd8 november 2002 09:12
Stond ie maar bij een ziekenhuis, dan had ie mee op het noodaggregaat kunnen draaien en lagen we er van de week niet uit. }>)
Hodgesaargh 7 november 2002 23:16
Hele aanval was ook meer een actie van een dom kiddie IMO. Iemand die een beetje weet hoe het internet in elkaar zit, weet dat je zo alleen maar lastig bent en geen grote schade veroorzaakt. Tenzij hij/zij het heel lang volhoud, maar dat lukt toch niet aangezien er dan wel ingegrepen wordt.

Die storing op de AMS-IX was een groter probleem. Dat laat maar weer eens zien hoe afhankelijk het internet in Nederland van 1 knooppunt is.

Dus wel logisch om die server te verplaatsen... backups nooit in hetzelfde gebouw bewaren... leer je in welke willekeurige opleiding al in je eerste jaar (of uur als je een cursus doet :))
:murb: @Hodgesaargh8 november 2002 00:08
Euh... en NDIX ( http://www.ndix.nl ) dan? Bestaat nog niet lang als internetknooppunt zijne, maar goed, is toch gevestigd in enschede (en da's nog geen duitsland :p )
zeroxcool @Hodgesaargh7 november 2002 23:18
En ook niet bij je thuis neerleggen, altijd bij vrienden :+.
ReLexEd 7 november 2002 23:14
Drie keer raden waar er de komende dagen een bericht over naar buiten komt via het Pentagon....

Ze hebben "bewijzen" dat terroristen het gemunt hebben op de rootservers!

Wat vervolgens weer gebruikt wordt als argument om de "War Against (Cyber)Terror" te verantwoorden....
cefas 8 november 2002 08:50
De server die bij Sara in A'dam staat is een van de .NL root servers.

Trouwens van die server moet je vooral kijken naar server H, van het U.S. Army Research Lab, heb een tijdje geleden een docu over het U.S. Army research lab gezien en ik weet het zeker als ze bij die server kunnen komen zijn het wel heel knappe terroisten. In het research lab wordt topper dan top-secret B-) onderzoek gedaan
hightower 8 november 2002 10:03
Zucht. Zelfs hier worden hackers genoemt die de aanval gedaan zouden hebben. Waarom toch? Hackers zijn mensen die proberen zo'n aanval te voorkomen niet te produceren.

De mensen die wel kwaad willen heten crackers of scriptkiddies. Deze laatsten weten echter gewoon niet waar ze mee bezig zijn.
Defspace @hightower8 november 2002 10:16
Hou daar nou toch eens mee op!
Bij nerd.net is dat misschien zo. Maar IRL (je weet wel, buiten enzo) is een hacker gewoon een cracker en een scriptkiddie etc.

Mod me maar overbodig, maar ik wordt wel zo moe van dat eeuwige gezeik over wat een Hacker/cracker/sk is!
BaatZ 7 november 2002 23:09
Op zich wel verstandig, hoewel de geografische locatie van een server bij lange na niet zo belangrijk is als zijn plaats in het wereldwijde netwerk:
een Ddos is gemakkelijker gedaan dan een IRL bombardement.
Een oplossing zou zijn om niet een centrale DNS server te hebben, maar iedere computer zijn steentje te laten bijdragen (als verbinding > 8mb/s) voor de DNS service als een soort van P2P.
SirBlade @BaatZ7 november 2002 23:43
Zo moeilijk bleek het ook niet te zijn 2 boeings in het WTC en 1 op het Pentagon te mikken. Een klein vliegtuig (bv zo'n learjet) vullen met explosieven en vervolgens op het verisign gebouwen laten crashen zal zo'n root-server vast redelijk uitschakelen (in ieder geval de mensen die hem moeten onderhouden).

Volgens mij stond de Europese root-server in Zweden of zo ergens ver onder de grond, in een oude mijn. stukje veiliger. Meen daar ooit eens een RFC over gelezen te hebben maar kan hem niet meer vinden.
PanMan @SirBlade8 november 2002 02:29
De europeese root-server?
Een van de (wereldwijde) root-servers staat in Nederland, bij, ik dacht, SARA. Gewoon in een colo ruimte, achter een deurtje, hem hem wel's zien staan :)
Verwijderd @PanMan8 november 2002 07:34
Van [url="http://www.root-servers.org:"]www.root-servers.org:[/url]

I Autonomica Stockholm, SE

K Reseaux IP Europeens -
Network Coordination Centre London, UK

Dit zijn dus de Europese :) En geen van beide zijn in SARA te vinden ;)
HDoc @PanMan8 november 2002 07:06
Lekker Nederlands weer: "Oh er gebeurt toch niks mee, wie komt hier nu" ;)
NiGeLaToR @PanMan8 november 2002 09:01
Ik denk dat je gelijk hebt, maar misschien ook niet.

Mocht ie misschien toch eventueel mogelijkerwijs wel bij Sara staan.. dan staat ie daar misschien toch wel.

En als je hem hebt zien staan.. tjah, een lege kast met led's op batterijen zegt net zoveel :+

Zo worden al die hackers om de tuin geleid.. iedereen zit zo bij Sara te zoeken naar een rootserver, of niet. Want die zou hier immers staan, of niet.

De beste remedie is het in het ongewisse laten. Of niet. :)

Bij Sara staan sowieso een aantal root servers, maar die zijn root voor Sara zelf.. weinig bijzonders dus. Uiteraard handelen die dus alleen requests voor de eigen DNS en die van klanten af. Juist omdat zoveel locaties dit soort DNS servers kennen is de kans klein dat het hele internet in stort als de root's down zijn. Alle tussenliggende forwarders, cache's en rootservers fungeren dan als 1 grote mega-buffer.

* 786562 NiGeLaToR
Verwijderd @BaatZ8 november 2002 10:54
Een oplossing zou zijn om niet een centrale DNS server te hebben, maar iedere computer zijn steentje te laten bijdragen (als verbinding > 8mb/s) voor de DNS service als een soort van P2P
Dit zal niet werken om de dood eenvoudige reden dat dit zeer ten koste gaat van de betrouwbaarheid van de DNS services. Als ik het ip addres van www.tweakers.net opvraag wil ik niet het addres van de een of andere hacker krijgen. Voor electronisch bankieren is dat nog belangrijker. P2P heeft veel beperkingen op dat vlak.

Daarnaast kun je veel ellende uithalen door rootservers onderuit te halen, en mogelijk nog meer door de gegevens erin te veranderen. Dat geld overigens nog meer voor de servers die de specifieke topdomeinen zoals .com .nl .net .org, etc. beheren.
BadRespawn 8 november 2002 10:46
"Om de DDOS-aanval te stoppen werden ICMP-packets tegengehouden waardoor er ten ontrechte van uit werd gedaan dat de servers down waren:"

Als die severs hun "service" niet kunnen leveren, dan is de "denial of service" aanval dus geslaagd... dat die box zelf niet down is boeit dan niet zo.
mullah @BadRespawn8 november 2002 11:19
icmp != dns service
neographikal @BadRespawn8 november 2002 12:07
tis gegaan btw :P :)
_JGC_ 7 november 2002 23:42
Krijgt ie nu ook een ander IP? Zo ja: dan heb ik een probleem, mag ik een heel hoopje ROOT-serverbestanden aanpassen op mn DNSCache servertjes :(
PenguinPower @_JGC_7 november 2002 23:54
Och das wel een heel groot probleem |:(
Per server effe: dig @198.41.0.4 > /etc/bind/named.ca
misschien iets om in de cron te zetten ?!?!?!
Verwijderd @PenguinPower8 november 2002 11:05
Dat hoor je zelfs eens per maand te doen. En dus in de cron te zetten om het jezelf gemakkelijker te maken.
_JGC_ @PenguinPower8 november 2002 17:21
Niet elke gek draait een niet-chrooted bind |:(
Zal zo es ff kijken hoe dat in djbdns gaat, misschien doet ie het ook wel automatisch.
Firefox @PenguinPower8 november 2002 00:02
Idd... Root servers worden bij mij elke maand geverifieerd met een DIG via een crontab (en het resultaat komt netjes in me mail terecht)
Mr.CeeJay 8 november 2002 00:13
* 786562 ChristianAls jullie niks verklappen wil ik er nog wel een }:O op installeren :>
NiGeLaToR @Mr.CeeJay8 november 2002 09:04
Lekker belangerijk, de key is al gevonden hoor :+

Een rootserver hoeft niet per se een groot apparaat te zijn.. in principe is het afhandelen van DNS requests niet erg taakintensief. Wel als er miljarden binnenkomen uiteraard, maar dan is niet alleen de rootserver van belang.

* 786562 NiGeLaToR
* 786562 NiGeLaToR

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq