Tag Archives: Denic

Fahrplan für den Terror, Danke Denic.

Posted on by

Ich weiß nicht ob es allen klar ist, aber die DENIC hat mit dem gestrigen faktischen Ausfall aller DE Domains gezeigt, wie man ein Land heute destabilisieren kann.

DENIC legt alle Deutschen Domains mit einem Schlag lahm!

Fahrplan für den Terror, Danke Denic.

Das der Fehler von DENIC gestern Abend nicht zu einem totalen Chaos geführt hat, lag u.a. daran, daß DNS Daten gecacht werden. Obwohl alle DE-Domains nicht mehr aufgelöst werden konnten, waren einige Domains für bestimmte Menschen noch erreichbar, die dann meinten, daß es ja keinen Totalausfall gab. Ein technisches Missverständnis, daß auch zeigt, daß diese Menschen gar nicht wissen, wie das Internet und DNS funktionieren.

Konnten wirklich alle DE-Domains nicht mehr aufgelöst werden?

Diese spannende Frage erinnert irgendwie an die Einleitung eines jeden Asterix Bandes, und die Parallele stimmt auch. Heute beachten so ziemlich alle DNS-Resolver DNSSEC. Das ist gut, wenn eine Domain DNSSEC benutzt, ist aber natürlich überflüssig für Domains, die kein DNSSEC einsetzen. Weil die Resolver, das sind die Computerprogramme, die für den eigenen PC losgehen und die Frage nach der IP eines Domainnamens stellen, modern sind, beachten Sie DNSSEC. Da, wie oben im Bild, bereits der erste Eintrag, die TOP-Level-Domain ( TLD ), falsch signiert war, brechen Resolver an der Stelle direkt ab und fragen sich nicht weiter die Kette bis zum Schluß durch:

  • dig @8.8.8.8 „de.“

  • […]RRSIG with malformed signature found for de/soa (keytag=33834)

8.8.8.8 sind die öffentlichen Nameserver von Google, die dann für den fragenden das „Resolving“ (Auflösen) übernehmen. Und wie man sieht, hat der gestern Abend direkt für „de.“ gestreikt. Den Root-Punkt am Ende eines Domainnamens kennen normale Menschen im Internet gar nicht, weil der geflissentlich von echt allen Programmen weggelassen wird, und das zu Recht. Nicht desto trotz ist „test.de.“ eigentlich die korrekte Schreibweise. (Würdet Ihr den alle schreiben wollen? Genau).

Gallische Resolver, die kein DNSSEC validieren, waren nicht betroffen

Genauso habe ich unsere Zentralen DNS-Caches im Rechenzentrum wieder zum Funktionieren gebracht: DNSSEC abgeschaltet. Mein privater DNS Resolver auf dem PC hatte das auch nicht aktiviert, so daß ich zu den wenigen gehörte die alles machen konnten, aber den Luxus haben die Normalbürger nicht, da bei denen der (DSL-)Router die DNS Auflösung macht und den hat man nicht unter dieser strengen Kontrolle.

Ihr habt bestimmt schon einmal von der NIS-2 Richtlinie der EU gehört, die kritische Infrastrukturbetreiber zu Widerstandsmaßnahmen verdonnert, daß deren kritische Dienste in Betrieb bleiben. NIS-2 ist der Grund, wieso Ihr seit Dezember Eure Domaininhaberemailadressen validieren müsst. Ein Vorgang, der das Netz TOTAL SICHER macht 😉 Das ist natürlich blanker Aktionismus und so nutzlos, wie man sich das nur vorstellen kann.

Beispiel:

Ich gebe als Inhaberemail eine Adresse genau der Domain an, die ich gerade registriert habe. Was habe ich dadurch mehr an Infos über den gefakten Inhabernamen erfahren? Nichts.

Eine Validierung von Firmennamen und Adressen ist dagegen schon eine andere Hausnummer, außer der Eintrag im Handelsregister oder Datenbank des Adresshändlers ist genauso Fake, dann gewinne ich auch nichts.

Ihr seht, so ganz durchdacht ist die NIS-2 Umsetzung der DENIC nicht. Zurück zum DNS.

Wie wird da jetzt aber ein Fall für ISIS draus?

Der Ausfall gestern hat sehr eindringlich gezeigt, wieso ein Cyberangriff auf Deutschland, oder jedes andere Land, dort ansetzen wird: Beim ROOT Nameserver der TLD.

Der Angriff wird grob so ablaufen:

  1. Infiltration der DENIC
  2. Zerstörung der DE Zone und des Backups
  3. Eliminierung der Personen die wissen wie man das zurücksetzt.

Folgen:

  1. alle nicht in DNS Cachen gespeicherten Zonendaten sind unerreichbar
  2. nach maximal 24 Stunden sind diese Caches eruiert(leer)
  3. Ausfall von deutschen EMAIL, MATRIX, WHATSAPP, SMS, WEBSEITEN
  4. Ausfall von Zahlungsdienstleistern mit der TLD des angegriffenen Landes

Alles in <24h ohne Möglichkeit das zu vermeiden. 

Wieso 24h? Weil das die normale TTL von DNS Einträgen ist, damit die nicht ständig bei den ADNS ( Authoritative Domain Name Server ) nachgefragt werden müssen. Das wäre zu viel Stress fürs Netz, Ihr habt keine Vorstellung davon wie viele DNS Anfragen so ein PC am Tag macht.

Gegenmaßnahme

Ein dezentraler DENIC Ersatz bei dem der Angriff auf eine Instanz keine Folgen hat.

Das stellen wir uns am besten so vor, daß diese Schatten-Server die ganze Zeit die Infos von Denic kopieren, solange die Zone intakt ist und sobald die Zone defekt ist, den Stand einfrieren und aus Ihren Caches den JOB von den zerstörten DE-ROOTServern der Denic übernehmen.

Die Liste mit den Schattenservern liegt allen Resolvern bei oder wird wie die DNSSEC Keys von der Denic verteilt so lange sie kann und die Resolver ziehen sich einmal im Monat ein Update, so wie das bei den .-ROOTservern auch ist.

Der Unterschied eines Schattenserver zum offiziellen DE-Rootnamervern ist: Die Denic hat keine administrative Möglichkeit die Zonendaten zu zerstören, weil die nur gepullt werden und wenn die Daten die gepullt werden sollen, invalide sind, hört das Pullen auf und der „Notfall“ wird ausgerufen.

Funktion systemisch eingebaut.

Das System hat den Vorteil, daß es automatisch funktioniert, es kann also eine Blackbox einfach ins Netz eines Rechenzentrums gesteckt werden, die dann die DE-Rootzone spiegelt und das ausgibt. Die .-Rootserver könnten diese Schattenserver auch als normale DE-Rootserver ausgeben, weil es funktional nach außen keinen Unterschied gibt, solange die Updates der Zonendaten kommen (was ne Menge am Tag sein dürfte).

So ein System anzugreifen wäre fast unmöglich, weil man dazu DOS Angriffe benutzen müßte, und die können erkannt und abgewehrt werden. Dazu kommt, daß das System kostendeckend fast unbegrenzt skaliert werden kann, wenn die Schattenserver z.b. zusätzlich ein P2P Netzwerk zum Abgleich aufbauen. Setzt der Ernstfall ein, würde sich das System so, sogar selbst auf den letzten Stand syncen.

Der Realitätsabgleich

In der Realität des eingesetzten Notfalls, gibt es vermutlich ein paar tausend eher unwichtige Abweichungen wegen der Sync-Verzögerung, aber das ist dann zu verschmerzen und deutlich besser als der Totalausfall gestern Abend. Ihr macht Euch keine Vorstellung davon was an der „Meine Webseite ist offline“ Front los war. Mails im Sekundentakt von Überwachungsservern, ich musste gestern Abend z.B. das Konto beim SMS-Provider aufladen, weil mein Handy tatsächlich vom Tisch vibriert ist .. echt wahr.

Im Positiven würde man im Idealfall die zerstörte DE-Zone gar nicht bemerken. Denkt mal darüber nach.

DENIC legt alle Deutschen Domains mit einem Schlag lahm!

Posted on by

Dienstag. 5.5.2026, 21:40 Uhr CEST.

May 5, 2026 23:28 CEST
May 5, 2026 21:28 UTC
INVESTIGATING

Frankfurt am Main, 5 May 2026 – DENIC eG is currently experiencing a disruption in its DNS service for .de domains. As a result, all DNSSEC-signed .de domains are currently affected in their reachability.
The root cause of the disruption has not yet been fully identified. DENIC’s technical teams are working intensively on analysis and on restoring stable operations as quickly as possible.
Based on current information, users and operators of .de domains may experience impairments in domain resolution. Further updates will be provided as soon as reliable findings on the cause and recovery are available.
DENIC asks all affected parties for their understanding.
For further enquiries, DENIC can be contacted via the usual channels.

DENIC legt alle Deutschen Domains mit einem Schlag lahm!

Ja, es stimmt. Die Denic hat durch einen Signaturfehler für „.de“, also die TLD für Deutschland, die DNS Abfragen für alle DE-Domain unmöglich gemacht, weil alle gängigen Resolver DNSSEC prüfen und wenn da der erste EIntrag in der Kette defekt ist, dann geht keine Domain mehr, nicht mal, wenn diese Domains gar kein eigenes DNSSEC haben.

  • dig @8.8.8.8 „de.“
  • […]RRSIG with malformed signature found for de/soa (keytag=33834)
  • .EU GEHT, weil hat nichts DENIC am HUT
    $ delv @8.8.8.8 a evolution-hosting.eu
; unsigned answer
evolution-hosting.eu. 30 IN A 83.246.80.130

    .de ohne DNSSEC geht nicht

    $ delv @8.8.8.8 a benderirc.de
;; resolution failed: failure

    .de MIT DNSSEC geht auch nicht.

    $ delv @8.8.8.8 a heise.de
;; broken trust chain resolving 'heise.de/A/IN': 8.8.8.8#53
;; resolution failed: broken trust chain

    mehr Infos für Euch auf status.denic.de ( solange es noch geht).

Erst Datenschutz, jetzt Ausweispflicht!

Posted on by

Falls sich jemand gefragt hat, wie man schizophren definiert, hier eine aktuelle Definition:

„Zuerst verstecken wir die Domaininhaberdaten mit Hilfe des Datenschutzes vor den Augen der Kunden,
dann fordern wir zu deren Sicherheit die Ausweispflicht zur Registrierung von Webseiten ein.“

Was ist das angebliche Ziel der Sache?

„Die Verbraucherschutzministerien der Länder wollen verstärkt gegen sogenannte Fake-Shops im Internet vorgehen. Nach Informationen von NDR und Süddeutscher Zeitung sprechen sie sich dafür aus, dass die Anmeldung von Internetseiten mit einer de-Domain künftig nur mit einer Identitätsprüfung möglich ist.“

(Quelle: sueddeutsche.de¹)

Ja, Geiz ist geil und deswegen kaufen Leute bei Fake-Shop billigere Fakewaren ein, egal auf welcher Domain die angeboten werden. Klar greifen die Kunden lieber bei einem Shop mit DE Domain zu, als bei einer CN-Domain, aber wäre ich Betrüger, ich würde eine CN-Domain nehmen, weil:

  • Die Waren überwiegend in China hergestellt werden, da würden billigere Preise im Webshop für Markenware sogar richtig Sinn ergeben.
  • Überprüfen könnte ich als Kunde den Shop gar nicht, weder die Domaininhaberschaft noch, ob es Straße oder Firma überhaupt gibt.
  • Auch lange Wartezeiten für den Versand aus China sind wir alle gewohnt, da würde es also gar nicht so schnell auffallen, daß nie einer Ware losschickt.

Wohingegen von einem Shop in Deutschland erwartet wird, daß er innerhalb einer Woche geliefert hat. Kommt es zu Verzögerungen, muß man sich richtig bemühen um die Leute bei Laune zu halten. Das nur zur Logik der Domainwahl.

Jetzt zur Realität

Wenn man bei einem kleineren  Hostingunternehmen eine Webseite anmieten und eine Domain registrieren will, wird mal als völlig Unbekannter ohne Ausweiskopie nicht weit kommen. Warum?  Weil die bösen Buben in Massen versuchen mit gefakten Addressdaten Webseiten für … tada … Fakeshops und Spamschleudern zu bekommen 🙂

Es findet in der Realität also längst eine Überprüfung statt, aber um das zu wissen, müßte man ja in der realen Welt leben und nicht in einer Pipi-Langstrumpf-Blase der Grünen.

Der Clou an der Sache

Wisst Ihr wie viele geklaute, kopierte oder anderweitig falsche Ausweisdokumente da an die Hoster geschickt werden?

Aus unserem Zulauf an solchen Dokumenten : 100%

Das liegt aber vermutlich daran, daß wir B2B machen und die wenigen Privatkunden über Beziehungen bekommen haben 🙂 Wir sind also nicht repräsentativ 😀

Von Kunden weiß ich aber, daß sich das ungefähr auf 20% beläuft. Die Theorie ist dabei, daß kleinere Hoster  weniger Personal zum Überprüfen haben und halt dringend Kunden wollen. Dummerweise richten die Betrüger bei kleinen Hostern größere Schäden an, weswegen die keinen Bock darauf haben und eher besser hinsehen als 1und1 das tun würde 😉

Würde es Webshopbesucher weiterbringen?

Die Besucher eines Shops könnten nicht prüfen mit wem Sie da Geschäfte machen, selbst wenn die Ausweispflicht da wäre. Sie kämen ja nicht an die Whoisdatenbank ran, die ja aufgrund glorreicher Datenschutzpolitik hinter einer Wand verschwunden sind. Ergo: Überprüfung nicht möglich.

Wie einfach man eine DE Domain mit Ausweis bestellen könnte zeigen unsere Beamten im Umgang mit den Identitäten der ganzen Migranten und Flüchtlinge. Da werden Dokumente ausgestellt auf Namen, die frei erfunden sind und keiner kann es prüfen. Wenn ich also eine Domain registrieren wollen würde, ich nähme mir einen von den Burschen und liese ihn noch ein paar Identitäten wahr werden. Das würde man auch erst merken, wenn es zu spät ist. Ergo SINNLOS!

Aber mit sinnlosen Sachen kennen sich Politiker ja bestens aus 😀

 

¹ https://www.sueddeutsche.de/news/wirtschaft/verbraucher-minister-planen-hoehere-huerden-fuer-online-shops-dpa.urn-newsml-dpa-com-20090101-190524-99-355969

² https://www.bz-berlin.de/berlin/kolumne/berlins-buergeraemter-schaffen-mit-gefaelschten-paessen-falsche-identitaeten