Welche Dienste benötigen DNS, welche nicht?

[Descartes]

Hallo,

ich schreibe gerade an einem Artikel für eine juristische Fachzeitschrift. Dafür hätte ich gerne gewusst, welche Dienste DNS benötigen und welche nicht.

Ich habe leider keine Aufstellung gefunden und die Frage ist wohl auch etwas außerhalb dessen, was für gewöhnlich gefragt wird (es geht ja um die grundsätzliche Frage und weniger um ein konkretes Problem).

Klar ist mir das bei http für das Web, smtp/imap/pop3 für Mails und ftp für Dateiübertragungen. Hier wird DNS zur Namensauflösung benötigt, es sei denn man verwendet gleich die IP-Adresse und es gibt keine "virtuellen hosts". Für Letzteres ist, soweit ich das verstanden habe, der Domainnamen nötig, damit etwa der Webserver das zuständige Verzeichnis aufrufen kann.

Aber jetzt gibt es ja noch ssh, irc, usenet etc. und - ganz allgemein - P2P Netzwerke.

Kann man hier irgendwelche Aussagen treffen oder kennt jemand eine Einteilung (Etwa eine Liste mit DNS ja/möglich/nein für jeden Dienst) ?

Vielen Dank und viele Grüße

Descartes

 

[icetea]

theoretisch sollte jeder dienst im Internet auch ohne DNS auskommen.
DNS ist im endeffekt ja nur eine komfortfunktion.

es wird zwar bei webservern immer dazu verwendet um verschiedene seiten auf zu rufen die auf der gleichen IP liegen, notfalls könnte man es aber auch einfach mit unterverzeichnissen lösen.

wie gesagt alles eine frage des komforts

 

[marce]

anders gesagt: so ziemlich alles, was irgendwas mit Netzwerk zu tun hat verwendet DNS.

 

[Descartes]

Hallo icetea,

Vielen Dank für Deine Antwort!

theoretisch sollte jeder dienst im Internet auch ohne DNS auskommen.
DNS ist im endeffekt ja nur eine komfortfunktion.

Ja, das ist mir schon klar. Worauf ich hinaus will:

Der Artikel dreht sich um die technische Seite der DNS-Sperren, die gerade in der Diskussion sind.

Mein Artikel beschreibt die Technik auf einfachem Niveau (eben auch für Juristen) und erläutert die zwei einfachsten Umgehungsmöglichkeiten:
1. IP-Adresse direkt verwenden,
2. DNS-Server wechseln.
Auf SSL-Proxys, Tor, I2P etc. wird nicht weiter eingegangen (vielleicht in einem späteren Beitrag).

Vor diesen Erläuterungen möchte ich gerne rüberbringen, dass es Dienste gibt, die grundsätzlich ohne DNS auskommen - die DNS-Sperre also grundsätzlich nicht wirksam ist, weil DNS nicht gebraucht wird. So meine ich, gibt es etwa bei (reinen) Peer-to-Peer Netzwerken keine zentrale Einheit und auch keine DNS-Auflösung.

Viele Grüße

Descartes

PS: Danke auch an marce - Gerade erst gesehen, aber da war der Beitrag schon raus.

 

[supersucker]

DNS ist im endeffekt ja nur eine komfortfunktion.

Äh, genau.

Ein Tunnel durch die Schweizer Alpen ist ja schlußendlich auch nur eine Komfort-Funktion - man kann schließlich auch drüberklettern, wa!

 

[rikola]

Vor diesen Erläuterungen möchte ich gerne rüberbringen, dass es Dienste gibt, die grundsätzlich ohne DNS auskommen - die DNS-Sperre also grundsätzlich nicht wirksam ist, weil DNS nicht gebraucht wird. So meine ich, gibt es etwa bei (reinen) Peer-to-Peer Netzwerken keine zentrale Einheit und auch keine DNS-Auflösung.

Weswegen sollte ein P2P denn kein DNS nutzen koennen? Die Technik hat doch weniger damit zu tun, wie der Rechner auf die IP-Adresse kommt, oder nicht?
Jedes Program, dass dem Nutzer den Komfort anbieten moechte, statt einer IP-Adresse einen Rechnernamen angeben zu koennen - und das wird wohl so ziemlich jedes sein - wird DNS oder /etc/hosts nutzen, bzw. nutzen koennen.

Gewiss kann man solche Programme dann auch ohne Namen und nur mit IP-Adressen nutzen, von daher kommen die Programme dann auch ohne Rechnernamen aus. Wie icetea bereits sagte, ist DNS ein reiner Komfortdienst.

 

[Descartes]

Hallo Zusammen,

O.K., dann war ich wohl auf dem falschen Dampfer ... ich werde den Absatz einfach umformulieren in der Art, dass alle Dienste grundsätzlich können, aber keiner muss.

Wieder etwas dazugelernt. Vielen Dank!

Viele Grüße

Descartes

PS: Wenn jemand Lust verspürt den Artikel (ca. 8 Seiten) zu überfliegen ... ich würde mich sehr freuen, bevor ich Stuss erzähle. Kann den Artikel allerdings nicht hier ins Forum posten, weil der Verlag die Klausel "unveröffentlicht" in den Bedingungen hat.

 

[yai]

DNS ist doch am Ende nur wie ein Telefonbuch. Kennst du die Nummer, brauchst du's nicht.

 

[marce]

außer Du rufst in einer WG / Telefonzentrale / ... an :-)

 

[BloodyMary]

Um nochmal zurück zu den DNS Geschichten zu kommen:
Teilweise ist DNS oder gerade auch "Dynamisches" DNS (für nicht-Statische IP Adressen) nötig um bspw. Peer-to-Peer Netze aufrecht zu erhalten. Ich denke da an EMule Server die auf Privaten Rechnern mittels DynDNS laufen.
Ob im p2p Bereich nun die Clients untereinander mittels der vom ISP zugewiesenen IP oder des Öffentlichen Hostnames (bspw. p123456789.dip.t-dialin.net) kommuniziert wird ist in jedem Fall irrelevant. Am Anfang ist bei den meisten Netzen ein zentraler Server der den ersten Kontakt herstellt. Server, Netze und Clients gibt es wie Sand am Meer. Also werden dort die DNS Sperren sowieso nicht greifen.
Naja und spätestens hier (http://picidae.net/) hört der DNS Filterkram sowieso auf.

 

[Gast1]

anders gesagt: so ziemlich alles, was irgendwas mit Netzwerk zu tun hat verwendet DNS.

.. was man auch wunderbar an dem entsprechenden Aufruhr sieht, wenn DNS mal einen kritischen BUG hat.

http://www.blackhat.com/presentations/bh-usa-08/Kaminsky/08_bhb_od2_slides.m4v

+

http://mirrors.dotsrc.org/congress/...we_so_vulnerable_to_the_dns_vulnerability.mp4

(Auch aufgrund des Unterhaltungswerts, den der Vortragende bietet, sehenswert.)

 

[uzumakinaruto]

wie sieht das de mit email aus ... ich glaube das kommt nicht ohne dns aus.
uzu@1.2.3.4 ist ja keine mail adresse sondern erst **********

 

[caba_]

Natürlich ist das eine E-Mail Adresse

 

[yai]

Und was heißt den schon "Komfortfunktion": spätestens wenn ipv6 Realität wird geht ohne DNS nix mehr. Wer kann sich denn schon ipv6-Adressen merken oder sogar in ipv4 (und zurück) im Kopf umrechnen?

 

[foobarflu]

Natürlich ist das eine E-Mail Adresse

RFC 5322 sagt da was anderes (zumindest wenn mich die BNF nicht täuscht wegen fortgeschrittener Stunde)

 

[Bâshgob]

Sorry, konnte ich mir eben nicht verkneifen:

Juristen erklären das Internet: DNS

 

[Descartes]

Hallo,

@Bâshgob
Hey, die sind gut. Kannte ich noch gar nicht - hab's gleich ein paar Kollegen weitergeleitet ;-)

Deshalb finde ich es toll, dass mein Aufsatz hier gegen gelesen wird, damit ich nicht auch so einen Mist schreibe.

@yai
Klar, die sind schwerer zu merken, aber wann muss man sich schon mal ne IP-Adresse wirklich merken. Am Telefon vielleicht. In einen Link eingebettet klickt sich das eine doch wie das andere.

@BloodyMary
Im P2P Bereich gibts doch auch schon ne Menge zensurresistentes und richtig ausgeklügelte Sachen, bspw. GNUnet.

@Rain_Maker
Da musste ich sofort daran denken, dass es ja "nur" 13 Root-Nameserver gibt. Ein DDos Angriff mit dem Conficker Bot-Netz könnte da doch einige Ausfälle verursachen (laut http://www.wired.com/threatlevel/2009/03/will-conficker/ 12 Mio Zombies). Ein paar Angriffe gab es ja schon (http://de.wikipedia.org/wiki/Root-Nameserver#Ausfallsicherheit_und_Angriffe). Ob "Anycast" das abfangen könnte - Cache hin oder her?

Viele Grüße

Descartes

 

[uzumakinaruto]

du denkst doch nicht das es wirklich nur 13 rootserver gibt .. ok .. 13 stück die zur gleichen zeit laufen .. aber die sind sicherlich mehrfach gespiegelt ... fällt einer aus geht der andere online ... das ist schon jetzt so konfiguriert
wenn ich jetzt zu 100 prozent richtig informiert bin

 

[Descartes]

du denkst doch nicht das es wirklich nur 13 rootserver gibt .. ok .. 13 stück die zur gleichen zeit laufen .. aber die sind sicherlich mehrfach gespiegelt ... fällt einer aus geht der andere online ... das ist schon jetzt so konfiguriert
wenn ich jetzt zu 100 prozent richtig informiert bin

Hallo,

laut Wikipedia sind es 13 (http://de.wikipedia.org/wiki/DNS_Root_Nameserver), die teils auf anycast basieren. Ich denke es ist nicht gemeint, dass es 13 physische Server sind, sondern unter welchen 13 IP-Adressen die Rootserver zu erreichen sind. Blockiere ich die 13 Adressen vollständig durch DDoS ist eine Namensauflösung über die Root-Server nicht mehr möglich. Geht dann die Auflösung nicht über einen Cache, würde eine Auflösung über die Root-Server nicht mehr funktionieren.

Mit anycast ist natürlich die "Hardwarepower" hinter den IP-Adressen enorm hoch geworden, so dass ein DDos Angriff sehr heftig sein müsste um die Root-Ebene komplett lahm zu legen. Ich habe mich eben gefragt, ob das mit 12 Millionen Zombies möglich wäre. Kann aber wahrscheinlich keiner genau sagen, denn es wird auf die Internetanbindung, Rechenleistung und darauf ankommen, ob alle 12 Mio Zombies gerade online sind (wohl unwahrscheinlich).

Viele Grüße

Descartes