News .de-Domains nicht erreichbar: Probleme bei der DENIC legten deutsche Internetseiten lahm

[hendrik.]

Was denkt der Schelm denn?

Zeitlicher Zusammenhang - die DENIC hatte gestern Abend eine Party in Berlin.
Es ist Humor.

[Zukünftig werde ich Humor kennzeichnen.]

 

[Zensored]

Die Frage ist bei solchen Ereignissen doch wohl legitim?

Spekulationen und wage Feindbilder über Privatpersonen streuen ist nicht legitim.
Schreib rein du spekulierst und vermutest eine vom Ausland gesteuerte Aktion ohne hier lebende Menschen mit solchen Vornamen zu diskreditieren.

Die Denic analysiert die Ursache und wird später mitteilen was das Problem war.

 

[[SniperWolf]]

Habe seit ein paar Tagen Opnsense laufen

Nur ein Tipp falls nicht bekannt, so hatte ich das Problem gestern ganz schnell erkannt und auch behoben.
Via ssh auf die OPNsense und in der shell

drill de

oder

dig de

eingeben. Hilft zur schnellen Fehlererkennung.

Lustig wie es uns gestern aufgefallen ist, wir haben gestern Abend Hans Zimmer - Live in Prague geschaut, da neue Atmos Konfiguration. Meine Partnerin wollte nebenbei aufm Smartphone schauen wo das nächste mal in der näheren Umgebung ein Konzert stattfindet (für Interessierte: im Oktober in Düsseldorf). Sie zeigte mir dann hilflos und zugleich genervt nur graue DNS Fehler Seiten vom Browser.
Erst dachte ich AdGuard funkt gerade dazwischen, dort ins Abfrageprotokoll geschaut, keine Blocks, aber auch keine HTTPS Verbindungen, in den Details dann schon SERVFAIL bei allen Aufrufen mit .de Domain gesehen.

Also kurz auf die OPNsense, genannten Befehl tatsächlich erstmal für computerbase.de getestet -> SERVFAIL, dann nur für de -> SERVFAIL.
Folglich in UnboundDNS auf der OPNsense DNSSEC ausgeschaltet, ins Bett gegangen und heute wieder eingeschaltet.

 

[FrozenPie]

@Gurkenwasser
Höhö, "Apocalpyse". War AMDs PowerPoint Abteilung an dem T-Shirt beteiligt?

(Falls es nicht deutlich geworden ist: Das soll ein nicht böse gemeinter Witz sein)

 

[the_IT_Guy]

Hier eine Erklärung, falls noch nicht gepostet.
https://blackfort-tec.de/insights/dnssec-denic-servfail-nsec3-fehler-de-zone

Und ja, ist schon super, dass ausgerechnet halb DENIC gestern Workshop/Party hatten.

https://bsky.app/profile/denic.de%2Fpost%2F3ml4r2lvcjg2h

 

[fdsonne]

Hat schon jemand die Idee gehabt, dass die Störung nicht ganz so einfach aufgetreten ist, sondern dahinter vielleicht ein bewusster Angriff steckt?

Muss denn Jede Störung direkt immer ein bewusster Angriff sein!?
Darf und kann in der IT nicht auch einfach mal ganz klassisch nur ein Fehler passiert sein und deswegen eine große Auswirkung zu sehen sein?

Ich mein, die haben einfach die .de TLD mit neuen Schlüsseln signiert. Thats it. Was auch immer da schief gelaufen ist. Leider ist die Kette halt relativ Anfällig an genau diesem einen Punkt. Es gibt nur die eine .de Domain TLD und wenn diese nicht geht, geht alles in der Kette nicht (mehr) was unterhalb dieser TLD angelehnt ist. Das ist by Design ein Nachteil. Mir wären aber ehrlicherweise so viele Fehler dahingehend nicht bekannt. Mal davon ab dass das wenig Sinn hätte, da wirklich "anzugreifen". Weil DNS eben dezentral funktioniert. Es ist nicht festgelegt, welcher NS für die Subdomains innerhalb einer TLD zuständig ist. Das ist die freie Entscheidung des Domain Inhabers. Du kannst damit halt nicht wirklich irgendwelchen "Schaden" anrichten außer eben, DNS quasi lahm zu legen. Aber auch nur dann, wenn du einen Resolver nutzt, der DNSSEC validiert. Was kein Muss ist und auch nirgends vorgeschrieben ist. Das ist auch wieder die freie Wahl des Nutzers.

 

[Krik]

Jetzt brauchen wir alle nur noch: "We survived the DNSSEC Apocalpyse" T-Shirts.

 

[knoxxi]

dass ausgerechnet halb DENIC gestern Workshop/Party hatten.

Admin zum Technik Chef als die „Hütte brennt“

 

[nipponpasi]

Oder schlicht aus dem Cache

Danke, fuer den Hinweis, aber das war es nicht.

Gab verschiedene Konstellationen, die noch funktioniert haben.

Ja, ich hatte wohl einfach Glueck 🤷‍♂️

 

[DarkSoul]

Danke, fuer den Hinweis, aber das war es nicht.

Bei mir schon, aber nicht aus dem Browers-/Windows-Cache, sondern eben vom Pi Hole, bzw eben nicht weil ich welt.de & Co. schon länger nicht mehr besucht hatte.

 

[nipponpasi]

sondern eben vom Pi Hole

Achso du nutzt ein Pi Hole. Sorry, damit kenne ich mich nicht aus.
Hab nen schoenen Tag

 

[incurable]

Anhang anzeigen 1727057

Herzlichen Glückwunsch, Du hast die Definition von "zu früh" gefunden.

 

[TnTDynamite]

Danke, fuer den Hinweis, aber das war es nicht.

Ja, ich hatte wohl einfach Glueck 🤷‍♂️

Naja, ob "welt.de" zu erreichen wirklich Glück ist... ;-)

 

[SavageSkull]

Ich habe keine Ahnung was DNSSEC ist.
Hauptsache alles läuft wieder.

 

[nipponpasi]

...zu erreichen wirklich Glück ist... ;-)

Britney Spears - Toxic

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[fdsonne]

Danke, fuer den Hinweis, aber das war es nicht.

Es gibt nur zwei technisch mögliche Optionen, warum es ging.
A) Du hast einen DNS Resolver in Verwendung, der keine DNSSEC Validierung durchführt oder einen der temporär wie Cloudflare die Validierung für alle .de Domains ausgeschalten hat.
B) Du nutzt einen DNS Resolver, der die Daten noch im Cache hat oder irgendwo in der Kette zwischen dem ersten und dem letzten Glied (DNS, Browser, Client OS, ...) wurden die Antworten gecacht.

Andere Möglichkeiten gibt es nicht. Denn nachweislich waren die Signaturen der .de TopLevelDomain nicht valide - damit war keine DNSSEC Validierung für jegliche Subdomains sowie die TLD .de mehr Möglich. Jeder DNS Resolver der halbwegs nach Standard funktioniert, würde dir hier bei Nutzung von DNSSEC keine Antworten für .de Domains geben. Wenn also Seiten wie welt.de gegangen sind, dann muss bei einer derart globalen und zentralen Störung wahlweise DNSSEC außen vor sein oder etwas aus dem Cache kommen.

Lokale Hosteinträge für alle .de Domains wäre noch die Option C) - aber das ist nahezu ausgeschlossen diese Daten selbst zu pflegen.

Ich habe keine Ahnung was DNSSEC ist.
Hauptsache alles läuft wieder.

Vereinfacht gesagt ist es ein Verfahren um die Kette der DNS Antworten gegen eine Signatur vom jeweiligen Domain Inhaber prüfen zu lassen. Das soll verhindern, dass Jemand DNS Antworten manipuliert und dir als Endnutzer die Möglichkeit geben zu entscheiden, was du in so einem Fall machen willst.

Ohne DNSSEC geht dein Client einfach zum Server der in der DNS Antwort steht. Egal ob das der richtige ist. -> umlenken von validem Traffic auf manipulierte Systeme bspw. möglich.
Mit DNSSEC kannst du entscheiden. IdR wird man dann die Antwort als invalide zurückweisen. -> das ist das was gestern passiert ist.

 

[nipponpasi]

B) Du nutzt einen DNS Resolver, der die Daten noch im Cache hat oder irgendwo in der Kette zwischen dem ersten und dem letzten Glied (DNS, Browser, Client OS, ...) wurden die Antworten gecacht.

Ja, das mit der Simulation ist auch meine erste Vermutung.
Aber 🤫 Ich will keine Probleme bekommen.
Danke, passt schon alles.

 

[Sun_set_1]

Nein, ich habe den Cloudflare DNS in meinem Router eingetragen und hatte gestern ebenfalls Probleme.

Mit 1.1.1.1 hat bei mir gestern allerdings auch alles problemlos funktioniert.

Ergänzung (Heute um 11:28)

) Du nutzt einen DNS Resolver, der die Daten noch im Cache hat oder irgendwo in der Kette zwischen dem ersten und dem letzten Glied (DNS, Browser, Client OS, ...) wurden die Antworten gecacht.

Na, vergiss mal nicht das manche Leute auch ihren DNS korrekt mit DoT verwenden. Es ist durchaus möglich, dass durch den Patch zwar das unverschlüsselte Processing abgeraucht ist, die DoT Schiene aber ganz normal weiter funktionierte. Ohne Einblicke in das innere Processing letztlich unmöglich zu beruteilen.

Wie gesagt, bei mir hat mit DoT und 1.1.1.1 auch alles funktioniert. Und ich wüsste nicht, was bei DoT im Router oder Adapter cachen sollte, das ist vom Prinzip (Transportverschlüsselung) her ausgeschlossen.
Wenn aber beispielsweise eine DoT als erfolgreich signierte Anfrage im DNS weiter prozessiert wird, eine ohne TLS jedoch nicht (weil das Update da eben nen Bug hatte) dann würd das sofort auch alles erklären.

Ergänzung (Heute um 11:33)

Vereinfacht gesagt ist es ein Verfahren um die Kette der DNS Antworten gegen eine Signatur vom jeweiligen Domain Inhaber prüfen zu lassen.

Ganz genau. Ein Bug in DoT oder eben ungenutzter DoT ist hier gar nicht so unwahrscheinlich.
Signierung plötzlich als mandatory gesetzt vom AbgangsDNS aber nicht erzeugt -> -401 bad auth

Bei Nutzung von DoT, bereits ab der Quelle signierte Anfrage die einfach durchgeschleift wird -> 200 ok

 

[Wannseesprinter]

@Jan

DENIC Pressemitteilung ist soeben raus:

https://blog.denic.de/technische-storung-bei-de-domains-behoben/

 

[Weyoun]

Da hatte ich gestern wohl Glück, dass ich am späten Abend ohne Probleme sowohl Amazon Prime (Champions League) als auch Magenta TV und Paramount+ streamen konnte. Oder funktionieren die Streaming-Dienste (inkl. der deutschen Töchter) über ".com"-Domains?

Ergänzung (Heute um 11:40)

Ich schiebe das mal dann drauf, dass ich Amazon Prime keine Videos starten kann. Amazon.de selbst ging noch, aber teilweise sehr langsam am laden.

Bei mir lief Amazon Prime sowie alle anderen Streaming-Dienste über den Fire TV Cube ohne Probleme.