Nur noch 14 Tage bis zur Einführung der Zensurinfrastruktur und die Entwicklung im Netz ist im Moment verdammt schnell, deshalb muss ich mich fast schon ein bischen beeilen. Ich gehe davon aus das die nächsten Monate – was Internetsperren angeht – sehr technisch werden. Darum möchte ich vorweg kurz erklären wie diese DNS-Sperren überhaupt funktionieren.
Dazu gibts erstmal ein Bildchen:
Der Ablauf ist dann folgender
- Sie möchten also von ihrem Computer die Webseite www.illegal.de aufrufen.
- Damit ihr Web-Browser diese Webseite aus dem Internet herunterladen kann, benötigt er zuerst die IP-Nummer für www.illegal.de, dazu stellt ihr Betriebssystem eine DNS-Abfrage an den DNS-Server ihres Providers.
- Dieser DNS-Server kennt die Sperrliste des BKA und liefert anstatt der richtigen IP-Nummer 1.2.3.4 die IP-Nummer des Web-Servers mit dem Stop-Schild (hier 6.6.6.6).
- Als Folge davon stellt ihr Web-Browser seine Anfrage für den Download der Webseite (HTTP-Request) an den Stop-Schild Server und sie sehen das Stop-Schild.
Die Technik hierfür ist im Prinzip jetzt schon z.B. bei T-Online im Einsatz. Wer die T-Online DNS-Server verwendet und eine falsche Adresse (z.B. www.asdfkjasdf.de) eingibt wird automatisch auf die T-Online Navigationshilfe umgeleitet. Ein bischen technischer sieht die DNS-Abfrage für www.asdfkjasdf.de bei T-Online dann eben so aus:
$ dig @217.0.43.145 www.asdfkjasdf.de ; <<>> DiG 9.6.1-RedHat-9.6.1-2.fc11 <<>> @217.0.43.145 www.asdfkjasdf.de ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9751 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.asdfkjasdf.de. IN A ;; ANSWER SECTION: www.asdfkjasdf.de. 0 IN A 62.157.140.133 www.asdfkjasdf.de. 0 IN A 80.156.86.78 ;; Query time: 59 msec ;; SERVER: 217.0.43.145#53(217.0.43.145) ;; WHEN: Fri Jul 17 00:01:44 2009 ;; MSG SIZE rcvd: 67
Sauber und richtig wäre in diesem Fall eigentlich folgende DNS-Antwort:
$ dig www.asdfkjasdf.de ; <<>> DiG 9.6.1-RedHat-9.6.1-2.fc11 <<>> www.asdfkjasdf.de ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 38658 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.asdfkjasdf.de. IN A ;; AUTHORITY SECTION: de. 7200 IN SOA f.nic.de. its.denic.de. 2009071693 7200 7200 3600000 7200 ;; Query time: 67 msec ;; SERVER: 192.168.2.1#53(192.168.2.1) ;; WHEN: Fri Jul 17 00:07:22 2009 ;; MSG SIZE rcvd: 87
Das Entscheidende ist hier das NXDOMAIN und steht für Non-Existent Domain.
Das Weiterleiten auf eine “Navigationshilfe” wird von einigen Sicherheitsexperten sehr kritisch gesehen. Diese Technik kann auch missbraucht werden, aber dazu vielleicht in einem eigenen Blog-Eintrag mal mehr.
Für den technisch noch etwas unbedarften Leser, keine Panik wegen dem vielen Kauderwelsch, daran gewöhnt man sich. Das ZugErschwG ist ja bis 2012 befristet und wenn das passiert was ich vermute was passieren wird, haben sie zum eingewöhnen noch jede Menge Gelegenheit!