„Vielleicht kommt die richtige Attacke noch“

Paul Mockapetris über das Domain Name System

Trends & News | News

1982 beschrieb er erstmals das Domain Name System zur Auflösung von Host-Namen auf IP-Adressen, heute arbeitet Paul Mockapetris an professionellen DNS-Lösungen. Im c't-Interview äußert er sich über die Entwicklung des DNS und die Gefahren für die Zukunft des Namenssystems.

Mit den RFCs 882 und 883 [1|#literatur] beschrieb Paul Mockapetris 1982 das Domain Name System, wie es ein Jahr später eingeführt wurde und seit 1986, mit leichten Modifikationen, das Internet der IP-Nummern für Menschen zugänglicher macht. Mit den RFCs 1034 und 1035 schrieb Mockapetris im November 1987 dann die noch bis heute gültigen Definitionen der Domain-Namen und des DNS, die lediglich durch einige weitere Dokumente in einzelnen Teilen aktualisiert wurden.

Paul Mockapetris, „Erfinder“ des Domain Name System: „Wir müssen als Techniker und Entwickler der Zeit voraus sein, um nicht von politischen Interessen dominiert zu werden.“

Aus Anlass des 20. Jahrestags der ersten Implementation des DNS erhielt Mockapetris am 1. April den „IEEE Internet Award“. Außerdem wurde er mit dem Titel eines „Visiting Scholar“ am Postel Center for Experimental Networking der University of Southern California geehrt. Mit Mockapetris, der 1978 den ersten SMTP-Server für einen einfachen E-Mail-Transfer entwickelte und zuvor bei der Erfindung der vor allem bei IBM-Kunden installierten Netzwerktopologie Token Ring mitarbeitete, sprach c't anlässlich eines Besuches in Frankfurt.

c't: Jede E-Mail verursacht mindestens drei DNS-Lookups, jeder Aufruf einer Website deren zwei. Wie fühlt man sich, wenn man ein solch wichtiges System entwickelt hat und als Jubilar geehrt wird?

Paul Mockapetris: Gut. Aber Sie dürfen nicht vergessen, dass das DNS heute mehr ist als eine Tabelle mit IP-Nummern und Host-Namen für Mail und Web. Denken Sie nur an die Internet-Telefonie mit Voice over IP, an das Telefonnummern-Routing mit ENUM [2|#literatur] . Und bald werden ID-Tags in großem Stil hinzukommen.

c't: Vor fünf Jahren wurden Sie gefragt, was sie eigentlich erfinden wollten. Sie antworteten damals, dass es ein Verzeichnis sein sollte, das nicht von Politikern, Rechtsanwälten und Bürokraten kontrolliert wird.

Mockapetris: Oh ja, das sehe ich heute noch genauso. Mit dem Wissen um Politiker und Bürokraten, die sich heute als Experten aufspielen, hätten viele von uns die Internet-Technik gar nicht entwickelt. Ich würde den Satz um einen positiven Aspekt ergänzen: Wir müssen als Techniker und Entwickler der Zeit voraus sein, um nicht von politischen Interessen dominiert zu werden. Was heute diskutiert wird, etwa DNSec und die Internationalisierung des Zeichensatzes von DNS, das haben wir vor zehn Jahren diskutiert, als ich Direktor der IANA war und den Vorsitz bei der IETF hatte. Wir haben es hoffentlich zufrieden stellend gelöst. Schauen Sie sich doch ICANN an. Die suchen die optimale Lösung, technisch und politisch. Das wird nicht funktionieren.

c't: Wie sicher ist das DNS heute? Im vergangenen Oktober gab es eine verteilte DoS-Attacke auf die zentralen DNS-Server, die Sie als „überraschend erfolgreich“ werteten.


„Es ist wichtig, dass DNS und DHCP in der Open Source sind und offen bleiben.“


Mockapetris: Damit meinte ich, dass eine solche Ping-Attacke eine vergleichsweise einfache Sache ist. Man kann Router programmieren, die Ping-Fluten einfach wegzuwerfen. Dennoch wurden die Root-Server außer Gefecht gesetzt. Es war nur deshalb kein „Ereignis“, weil die Daten der Root-Server überall im Cache gehalten werden. Aber vielleicht kommen die richtigen Attacken noch. Ich habe das Grid Computing als die dunkle Seite des Internet bezeichnet: Was passiert eigentlich, wenn jemand die Kapazitäten dieser verteilten Rechner dazu benutzt, Attacken zu starten? Wer das für unmöglich hält, ist unmöglich naiv. Anders gesagt: Wir feiern zwar das 20. Jubiläum, aber wir stehen erst am Anfang. Nehmen sie nur das, was gerade mit der Web-Präsenz von Al Jezeera passiert. Mal sind sie erreichbar, mal nicht. Da sind wahrscheinlich Hunderte so genannter „Patrioten“ am Werk, die nichts begriffen haben. Das ist schon so etwas wie eine verteilte Attacke im Sinne des Grid Computing.

c't: Am Anfang stand Ihre Entwicklung des DNS. Dennoch sind Sie damit nicht reich geworden: Es gab keine Patente und auch die jetzt verliehenen Preise sind zwar ehrenvoll, aber nicht gerade wertvoll.

Mockapetris: Das ist eigentlich gut so, dass das DNS frei von Streitereien um das geistige Eigentum geblieben ist. Das ganze Projekt war doch mit Forschungsmitteln der Regierung finanziert worden, allenfalls hätte die Universität ein Patent erhalten können. Als das DNS wirklich komplett war, haben wir, also John Postel und ich, die Sache der Universität gemeldet. Die hat dann abgewinkt und gemeint, das sei ohne Zukunft. Noch schlimmer lief es übrigens bei meiner früheren Universität, wo wir die Grundlagen von Token Ring entwickelten. Die behaupteten, dass lokale Netze absolut chancenlos seien - und haben unsere gesamte Forschungsarbeit an IBM verschenkt, weil dort jemand Interesse äußerte. Es war absolut deprimierend.


„Das ist gut so, dass das DNS frei von Streitereien um das geistige Eigentum geblieben ist.“


c't: Nach Jahren an der Universität, nach all der Mitarbeit in den verschiedenen Gremien, sind Sie in die Privatwirtschaft gegangen. Nun sind Sie wieder dort, wo Sie angefangen haben, bei der DNS-Architektur, aber bei einer Firma. Ist das so etwas wie „Back to the Roots“?

Mockapetris: Privatwirtschaft klingt irreführend. Ich habe nach der Universität als Angestellter Nr. 2 bei @Home angefangen, dem ersten Anbieter von Internet über Kabelmodems. Aber an der Arbeit änderte sich nichts. Damit die Kabelmodems funktionieren konnten, mussten wir eine DHCP-Lösung für die Verteilung von IP-Adressen entwickeln. Für zehn bis 20 Rechner ist das eine einfache Sache, aber dann hatten wir über eine Million Kunden ...

c't: Jetzt sind Sie Cheftechniker bei Nominum und arbeiten mit großen Unternehmen, die Tausende von IP-Nummern verwalten wollen.

Mockapetris: Nicht Tausende, Millionen ist da schon tref-fender. Wir stehen vor einer Explosion des DNS. Nehmen Sie nur ENUM und das Routing von Telefonnummern. Wir arbeiten zurzeit mit internationalen Konzernen, die das Problem erkannt haben, aber bald wird es auch mittlere Firmen betreffen. Wir haben 60 Top-Inge-nieure, die sich nur mit DNS beschäftigen.

c't: Gut, dann stelle ich die Frage so: Bisher haben diese Ingenieure BIND 8 und BIND 9 sowie das ISC DHCP für das Internet Software Consortium als Open Source entwickelt. Nun bietet Nominum eigene DNS-Lösungen an. Ist das der Abschied vom Gedanken der Open Source?

Mockapetris: Überhaupt nicht. Die Open-Source-Software wird von uns weiter entwickelt und gepflegt, wir bestreiten weiterhin den Support für diese Sachen. Es ist wichtig, dass diese Sachen in der Open Source sind und offen bleiben. Aber wir haben Kunden, die an ihre Netzwerke höhere Ansprüche im Sinne der „Five-Nines“ stellen (gemeint ist 99,999 Prozent Verfügbarkeit, d. Red.), die ihren IP-Adressenraum als kritischen Firmenschatz schützen und alle Möglichkei-ten ausnutzen wollen. Für sie produziert Nominum Closed Source. Wir sind der Brain Trust für IP-Assets, der beide Seiten bedient. (jk)

[1] RFC 882/883. Die beiden Original-RFCs wurden mittlerweile durch RFC 1034 und RFC 1035 abgelöst.

[2] Zu ENUM, dem Mapping von Telefonnummern auf Internet-Adressen, siehe auch: ENUM für Endkunden, Die integrierte Verwaltung von Telefonnummern und IP-Adressen kommt voran, c't 2/03, S. 26, sowie die laufende Berichterstattung zu der Einführung von ENUM auf heise online.

Kommentare

Anzeige
Anzeige