Skip to content

eigener Nameserver

Man ist das eine schwere Geburt! Aber im Detail.

Angefangen hat alles mit einem Artikel auf Heise News über das ORSN (Open Root Server Network) Projekt.
Nach den immer neuen Veröffentlichungen über die Geheimdienste und deren grenzenlosen Überwachung, schon eine tolle Sache, ein DNS-System was nicht so einfach kontrolliert und manipuliert werden kann.
Also, die FritzBox kurz konfiguriert und einen offenen DNS-Server von ORSN benutzen. Cool ging ohne Problem auf Anhieb. :-)
Hm, irgendwie ist die Idee zu gut und ich denke es wäre eine gute Idee selbst so einen ORSN DNS-Server aufzusetzen. Geht total einfach mit der Beispielkonfiguration und einem Bind als DNS-Server!
Die ersten Tage lief das ganz System gut, dann aber lernte ich die Probleme offener DNS-Server (ein Open Resolver beantwortet alle Anfragen zu jeder Domain) und dem DNS System gut kennen! Dazu müssen wir kurz in die Grundlagen von DNS und UDP als Netzwerkprotokoll einsteigen. UDP ist ein verbindungsloses Protokoll, welches sich sehr gut mit einem offenen DNS-Server zum Denial of Service (DoS) gegen andere Systeme benutzen lässt. Dazu muss der Angreifer dem DNS-Server DNS-Anfragen stellen und dabei seine Absender-IP-Adresse fälschen. Dieses Vorgehen vom Angreifer wird IP-Spoofing genannt und erstellt DNS-Antworten zu der gefälschten Absender-IP-Adresse, die die Anfrage gar nicht gestellt hat.
Wenn ein Angreifer nun sehr viele Anfragen (viele hundert und mehr) mit gefälschten Absender-IP-Adressen sendet, erhalten die angegriffenen Systeme die ganzen DNS-Antworten und werden dadurch in ihrer Arbeit beeinträchtigt oder sogar blockiert, da die Systeme und die Infrastruktur mit der schieren Datenmenge klar kommen müssen.
Über meinen DNS-Server wurden so mehr als 2 GB Traffic pro Stunde generiert. Da musste ich die Notbremse ziehen und den DNS-Server wieder abschalten. :-(
Nun sollte eine Lösung her, aber welche? Einige haben versucht mit Firewallregeln die vielen Anfragen abzuwehren und andere haben DNS-Anfragen per TCP erzwungen, was leider zu langsameren DNS-Anfragen führt. Ich habe mich dann für einen Patch entschlossen, der den Bind um ein Response Rate Limit (RRL) erweitert. Dieser Patch, der seit der Version 9.9.4 in der offiziellen Bind Version enthalten ist, kann DNS-Anfragen so begrenzen, dass eine IP-Adresse unbegrenzt Anfragen stellen kann aber nicht mehr alle Anfragen beantwortet werden. Perfekt dachte ich!
Hm, den oder die Angreifer interessierte es überhaupt nicht. Es kamen immer noch tausende Anfragen pro Stunde, aber mein System antwortete nur noch auf jede zehnte Anfrage und siehe da, nach einer Woche hörte die Angriffswelle einfach auf.
Seit dem sieht man immer wieder einmal Tests ob sich mein DNS-Server sich für DoS benutzen lässt, hört aber nach kurzer Zeit wieder auf. Somit ist mein System fast einsetzbar, wenn meine FritzBox nicht öfters meinen würde, dass der DNS-Server nicht da ist. Daran arbeite ich aber noch. Ich gebe nicht so schnell auf. ;-)


Kurz zur Erklärung warum das RRL funktioniert.
Surft eine Person ganz normal, stellt sein System vielleicht 10-50 verschiedene DNS-Anfragen pro Minute an einen DNS-Server. Die Angreifer versuchten es aber mit mehr als 25 DNS-Anfragen pro Sekunde zum immer dem gleichen Zielnamen und einer gefälschten Absender-IP-Adresse, wodurch sich der Angreifer problemlos von einer normalen Person unterscheiden lässt und das RRL zuschlägt. Wenn eine normale Person nun ebenso 25 DNS-Anfragen pro Sekunde zum immer dem gleichen Zielnamen stellt, ist er aber auch ein Angreifer gegen sich selbst und RRL schützt ihn vor sich selbst. ;-)


ungeheuerliche Spritpreise

Heute Abend habe die größte Schweinerei mit Spritpreisen auf etwa 1,5km gesehen!

1,509 Euro Kaufland
1,589 Euro Aral
1,689 Euro Shell

Ein Unterschied von 18 Cent pro Liter Superbenzin schlägt dem Fass den Boden aus!
Dafür werde ich Shell für lange Zeit boykottieren und nur wenn es nicht anders möglich dort Tanken.

Surfen ohne Flash

Nun starte ich auch meinem Desktop PC das Experiment, ob es sich ohne Flash vernünftig surfen lasst.
Mit meinem iPad funktioniert das äußerst positiv. Die meisten Probleme erwarte ich eigentlich auch nur bei Videos im Internet. Da Google in Youtube mit dem WebM und h.264 Codec einen Ersatz anbietet, gibt es dort fast keine Probleme.

Warum mache ich das überhaupt? Da Adobe nicht mehr Willens ist das Flashplugin unter Linux weiterzuentwickeln und die versprochenen Sicherheitsupdates(siehe Meldung) auch nicht wirklich kommen, wird das Flashplugin einfach entfernt.

Ich werde weiter berichten, welchen Einschränkungen man so alles hinnehmen muss. :-)

Updates überall

In den letzten Tagen habe ich mal alle mögliche Software auf diesem Server aktualisiert. Man, das macht ja richtig Arbeit.
Zuerst musste mal ein Update der Distribution gemacht werden. Das lief erstaunlich gut, obwohl doch einige alte Pakete übrig blieben und per Hand entfernt werden mussten. Da ich die Distribution nur benötige um einen Compiler zu haben, musste ich danach noch die restliche Software neu kompilieren. Das war nach etwa 3 Stunden erledigt. :-)
Jetzt läuft erst mal alles und ich kann mich noch um spezielle Konfigurationen kümmern, die ich schon immer erledigen wollte.

nun ist der Winter da

Nachdem einige schon gedacht hatten, der Winter kommt nicht mehr ins Flachland. Nun ist er da, sogar mit Schnee bei uns!
Endlich haben wir nicht nur Frosttage sondern auch mal Eistage an denen die Temperatur am ganzen Tag unter 0°C liegt.
Die ersten Eisschollen auf der Havel treiben auch schon. :-) Vielleicht reicht es diesmal zu Eislaufen in diesem Winter.

2012

Allen ein gesundes und ruhiges Jahr 2012.

Mir fällt dabei auf, dass ich 2011 wirklich wenig hier in dem Blog geschrieben habe. :-( Ich nehme mir mal für 2012 vor, dass ich hier mehr schreibe.

Steuersenkung, wieso?

Wie können es sich deutsche Politiker in der größten Schuldenkrise Europa es sich leisten Steuersenkungen zu beschließen? Es ist ja nicht so als ob Deutschland keine Schulden hat. Dieses Trio aus CDU/CSU und FDP verdient es in diesem Punkt verprügelt zu werden. Eigentlich müsste die Schuldenbremse zu einem Neuverschuldungsstopp umgebaut werden.
Zusätzlich müsste sich die Politik mal gründlich den Umgang mit unseren Finanzsystem überlegen. Warum wird dieses Finanzsystem so verhätschelt? Meiner Meinung nach ist das Finanzsystem nicht ganz unschuldig am derzeitigen Schuldenproblem in Europa!

Saab, oh oh!

Nach dem ich dachte mit Saab kann es nicht viel weiter Berg ab gehen, lese ich heute Nachrichten über die Nichtzahlung von Löhnen in der FTD. Langsam aber sicher geht es dem Ende zu. :-(
Die Übernahme durch Koenigsegg ist nicht wirklich von Erfolg gekrönt gewesen.
Wieso ging das eigentlich schief? Wer hat GM und Koenigsegg damals nur dazu überredet?

2011

Jo, 2011 kann kommen. Es ist alles vorbereitet. ;-)

Ich wünsche euch allen, die natürlich den Blog ab und zu mal lesen, einen guten Rutsch ins neue Jahr.

nie wieder Aussenfilter

Hm, was bedeutet der Satz?
Da ich ein Aquarium besitze und ich dieses sauber halten möchte, legte ich mir irgendwann mal Filter zu. Meine ersten Filter waren diverse Innenfilter die per Luftstrom angetrieben worden sind. Nach und nach rüstete ich auf, bis ich einen Ausserfilter von Fluval hatte. Der Filter lief bestimmt 10 Jahre, bis ich mir ein neues Aquarium zugelegt hatte. Dieses enthielt nun einen Innenfilter von Juwel. Da alle sagten, ein Innenfilter ist nur etwas für Anfänger legte ich mir einen zweiten Aussenfilter von Fluval zu. Hm, der passte zwar in den Aquriumunterschrank, brummte aber zu viel. Nach etwa einem halben Jahr ging ich wieder zum Innenfilter von Juwel zurück. Das Internet überredete mich aber wieder einen Aussenfilter von EHeim zuzulegen. Der Filter musste ja wieder in den Schrank passen und dadurch entschied ich mich für einen kleinen Filter. Aber egal.
Eigentlich eine umspannende Geschicht, da bis jetzt nichts besonderes passiert ist. Bis vor einem Monat. Da hatte ich den Filter gereinigt und musste ihn also öffnen. Alles wieder zusammengebaut und ab in den Schrank. Zwei Tage später stand der Filter im Schrank in einer Wasserfütze. Nicht so schlimm dachte ich, stellt eine Schale drunter, zog alle Verbindungen nach und gut war. Diesmal war es nur komisch, dass die Luft nicht alleine aus dem Filter ging, ich musste immer wieder bisschen wackeln. Dann war wieder alles gut.
Einen Donnerstag abend stellt ich dann fest, dass der Wasserspiegel nicht mehr auf dem normalem Level war, sonder tiefer!!! O Ohhhhhhhhhh Die Schale war voll Wasser und unter dem Schrank war auch Wasser. Mist! Schnell den Filter raus und alles Wasser aufgewischt. Dabei stellt ich aber fest, das auch etwas Wasser unter das Laminat gelaufen war. :-( Leider soviel, dass ich am Freitag morgen 6 Reihen Laminat rausreißen musste, da sich vor dem Aquarium das Laminat hoch beulte!
Was habe ich aus dem Schaden gelernt?
Ich mache am Aquarium nun mit einem Innenfilter, der auch von EHeim ist, nur noch eine mechanische Reinigung und Wasserumwirblung und keine "biologische" Filterung über einen Ausserfilter mehr! Und was soll ich sagen, die funktioniert ganz gut, ist leise und der Filter lies sich heute superleicht reinigen.

Tiny Core Linux

Es wurde dieser Tage die Linux Distribution Tiny Core Linux 3.0 freigegeben. Das an sich ist nichts besonderes, aber wenn man mal auf die Eigenschaften von Tiny Core Linux schaut ist das schon echt ne Wucht!
Tiny Core Linux ist eine etwa 10 MB Große minimal Distribution mit GUI. Es gibt sogar eine noch kleine Version mit 6 MB! Der RAM Verbrauch ist ebenso Krass, es werden 48 MB benötigt.
Das ist schon eine Leistung ein Linuxsystem so abzuspecken und trotzdem ein brauchbares System zu erstellen. Echt genial!

31 Grad Celsius im Büro

Ist das ein schöner Tag heute. Das Eis schmilzt schon vor dem Essen und im Büro klebt man am Stuhl und Tisch! :-(
Morgen wird es noch ein bisschen wärmer werden und dann heißt es einfach nicht bewegen!

Ich will Winter!!!!!!!!!!

am iPad geschrieben

Jo, das ist nun der erste Eintrag in diesem Blog, der von meinem iPad geschrieben ist. :-)
Am Freitag konnte ich im Mediamarkt dann doch nicht mehr am iPad vorbeigehen. Da ich auch nicht mehr die UMTS Variante haben wollte, war das iPad dann auch verfügbar. Den Zugang zum Internet, wenn kein WLAN vorhanden ist, muss dann mein Handy als WLAN Accesspoint übernehmen.
Bis jetzt habe ich den Kauf nicht bereut. Es erfüllt meine Anforderungen bestens. Jetzt muss Apple noch ein bisschen am iOS arbeiten und die App-Entwickler ein paar Apps fürs iPad erstellen, dann steigt der Gebrauchswert weiter.
Gerade habe ich gelesen das Apple 3 Millionen iPads in 80 Tagen verkauft hat. Respekt!!! Das werden viele nicht für möglich gehalten. Ich denke auch nicht nur Apple-Jünger kaufen die iPads, oder doch?

wieder Urlaub in Schweden

So, kann die Urlaubsvorbereitung richtig losgehen! ;-) Elche und Rentiere wir kommen!
Fähre nach Schweden und Unterkunft in Åre ist gebucht. Jipppiiiiiiiiiiii
Vorfreude ist doch die schönste Freude, besonders wenn es im Moment auf Arbeit ein bisschen stressig ist mit Terminen.

neuer Plasma, die zweite

Jetzt habe ich den neuen Fernseher nun doch schon 4 Wochen und bin recht zufrieden. Die Bildqualität der digitalen Sender ist sehr gut und die der HD Sender sogar beeindruckend. Auch sonst wurde an dem Modell einiges an verbessert gegenüber dem Vorgänger. Natürlich hat jedes Gerät auch Nachteile, leider :-( ! Das neue Plasmapanel spiegelt heftiger!
Panasonic bräuchte eigentlich nur das Spiegel beseitigen und es ermöglichen digitale und analoge Sender in einer Senderliste zu verwalten, dann wäre ich mit dem Fernseher 100% zufrieden.