{"id":167,"date":"2009-07-17T00:05:15","date_gmt":"2009-07-16T22:05:15","guid":{"rendered":"http:\/\/www.scheiss-software.de\/?p=167"},"modified":"2009-07-17T00:21:32","modified_gmt":"2009-07-16T22:21:32","slug":"wie-funktioniert-die-dns-sperre","status":"publish","type":"post","link":"https:\/\/www.scheiss-software.de\/?p=167","title":{"rendered":"Wie funktioniert die DNS-Sperre"},"content":{"rendered":"

Nur noch 14 Tage bis zur Einf\u00fchrung der Zensurinfrastruktur und die Entwicklung im Netz ist im Moment verdammt schnell, deshalb muss ich mich fast schon ein bischen beeilen. Ich gehe davon aus das die n\u00e4chsten Monate – was Internetsperren angeht – sehr technisch werden. Darum m\u00f6chte ich vorweg kurz erkl\u00e4ren wie diese DNS-Sperren \u00fcberhaupt funktionieren.<\/p>\n

Dazu gibts erstmal ein Bildchen:
\n\"dns-sperre01\"<\/p>\n

Der Ablauf ist dann folgender<\/p>\n

    \n
  1. \nSie m\u00f6chten also von ihrem Computer die Webseite www.illegal.de aufrufen.<\/li>\n
  2. Damit ihr Web-Browser diese Webseite aus dem Internet herunterladen kann, ben\u00f6tigt er zuerst die IP-Nummer f\u00fcr www.illegal.de, dazu stellt ihr Betriebssystem eine DNS-Abfrage an den DNS-Server ihres Providers.<\/li>\n
  3. Dieser DNS-Server kennt die Sperrliste des BKA und liefert anstatt der richtigen IP-Nummer 1.2.3.4 die IP-Nummer des Web-Servers mit dem Stop-Schild (hier 6.6.6.6).<\/li>\n
  4. Als Folge davon stellt ihr Web-Browser seine Anfrage f\u00fcr den Download der Webseite (HTTP-Request) an den Stop-Schild Server und sie sehen das Stop-Schild.<\/li>\n<\/ol>\n

    Die Technik hierf\u00fcr ist im Prinzip jetzt schon z.B. bei T-Online im Einsatz. Wer die T-Online DNS-Server verwendet und eine falsche Adresse (z.B. www.asdfkjasdf.de) eingibt wird automatisch auf die T-Online Navigationshilfe umgeleitet. Ein bischen technischer sieht die DNS-Abfrage f\u00fcr www.asdfkjasdf.de bei T-Online dann eben so aus:<\/p>\n

    \r\n $ dig @217.0.43.145 www.asdfkjasdf.de<\/strong>\r\n\r\n; <<>> DiG 9.6.1-RedHat-9.6.1-2.fc11 <<>> @217.0.43.145 www.asdfkjasdf.de\r\n; (1 server found)\r\n;; global options: +cmd\r\n;; Got answer:\r\n;; ->>HEADER<<- opcode: QUERY, status: NOERROR<\/strong>, id: 9751\r\n;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0\r\n\r\n;; QUESTION SECTION:\r\n;www.asdfkjasdf.de.\t\tIN\tA\r\n\r\n;; ANSWER SECTION:\r\nwww.asdfkjasdf.de.\t0\tIN\tA\t62.157.140.133<\/strong>\r\nwww.asdfkjasdf.de.\t0\tIN\tA\t80.156.86.78\r\n\r\n;; Query time: 59 msec\r\n;; SERVER: 217.0.43.145#53(217.0.43.145)\r\n;; WHEN: Fri Jul 17 00:01:44 2009\r\n;; MSG SIZE  rcvd: 67\r\n<\/pre>\n
    Sauber und richtig w\u00e4re in diesem Fall eigentlich folgende DNS-Antwort:<\/p>\n
    \r\n$ dig www.asdfkjasdf.de<\/strong>\r\n\r\n; <<>> DiG 9.6.1-RedHat-9.6.1-2.fc11 <<>> www.asdfkjasdf.de\r\n;; global options: +cmd\r\n;; Got answer:\r\n;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN<\/strong>, id: 38658\r\n;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0\r\n\r\n;; QUESTION SECTION:\r\n;www.asdfkjasdf.de.\t\tIN\tA\r\n\r\n;; AUTHORITY SECTION:\r\nde. 7200 IN SOA f.nic.de. its.denic.de. 2009071693 7200 7200 3600000 7200\r\n\r\n;; Query time: 67 msec\r\n;; SERVER: 192.168.2.1#53(192.168.2.1)\r\n;; WHEN: Fri Jul 17 00:07:22 2009\r\n;; MSG SIZE  rcvd: 87\r\n<\/pre>\n
    Das Entscheidende ist hier das NXDOMAIN und steht f\u00fcr Non-Existent Domain.<\/p>\n
    Das Weiterleiten auf eine “Navigationshilfe” wird von einigen Sicherheitsexperten sehr kritisch gesehen. Diese Technik kann auch missbraucht werden, aber dazu vielleicht in einem eigenen Blog-Eintrag mal mehr.<\/p>\n
    F\u00fcr den technisch noch etwas unbedarften Leser, keine Panik wegen dem vielen Kauderwelsch, daran gew\u00f6hnt man sich. Das ZugErschwG ist ja bis 2012 befristet und wenn das passiert was ich vermute was passieren wird, haben sie zum eingew\u00f6hnen noch jede Menge Gelegenheit!<\/p>\n","protected":false},"excerpt":{"rendered":"
    Nur noch 14 Tage bis zur Einf\u00fchrung der Zensurinfrastruktur und die Entwicklung im Netz ist im Moment verdammt schnell, deshalb muss ich mich fast schon ein bischen beeilen. Ich gehe davon aus das die n\u00e4chsten Monate – was Internetsperren angeht – sehr technisch werden. Darum m\u00f6chte ich vorweg kurz erkl\u00e4ren wie diese DNS-Sperren \u00fcberhaupt funktionieren. … <\/p>\n
    Continue reading “Wie funktioniert die DNS-Sperre”<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[6],"tags":[7,4],"_links":{"self":[{"href":"https:\/\/www.scheiss-software.de\/index.php?rest_route=\/wp\/v2\/posts\/167"}],"collection":[{"href":"https:\/\/www.scheiss-software.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.scheiss-software.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.scheiss-software.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.scheiss-software.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=167"}],"version-history":[{"count":9,"href":"https:\/\/www.scheiss-software.de\/index.php?rest_route=\/wp\/v2\/posts\/167\/revisions"}],"predecessor-version":[{"id":172,"href":"https:\/\/www.scheiss-software.de\/index.php?rest_route=\/wp\/v2\/posts\/167\/revisions\/172"}],"wp:attachment":[{"href":"https:\/\/www.scheiss-software.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=167"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.scheiss-software.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=167"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.scheiss-software.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=167"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}