sysiphus.de

Virtuell oder real?

Einige Firmen werben gerne mit "eigenem Server" und betreuen darauf nur wenige Kunden, auf der anderen Seite bieten andere Firmen Webhosting so günstig an, daß sich eigenes Hosting für "ein paar Domains" gar nicht lohnen kann.

Wie bekomme ich heraus, ob eine Domain bei einem Provider gehostet wird oder auf einem "eigenen" Rechner im Internet steht?

Wer die gängigen Zeitschriften (iX, internet professionell, ...) durchliest, findet da auch ein paar Provider, die eigene Kapazität als Paket verkaufen, etwa "50 MB Serverplatz und 1,5 GB Traffic für maximal 25 Domains" als "Reseller-Server". Damit bewaffnet nennt sich dann so mancher selbst "Provider", obwohl er rein technisch nicht viel mit dem tatsächlichen Betrieb eines Servers zu tun hat - Domains verwaltet er über ein paar CGIs, technische Beratung erfolgt oft ohne technische Kompetenz und der Server kann nicht an die tatsächlichen Bedürfnisse angepasst werden.

Diese Seite kann man als Schritt-Anleitung sehen: oben fangen die einfachen Sachen an, nach unten steigert sich der Schwierigkeitsgrad.

Schritt nach vorn - ins Rechenzentrum

Die einzig "richtige" Lösung ist es, einfach mal beim Provider anzurufen und nachzufragen, ob man einmal eine kurze Führung durchs Rechenzentrum machen könnte. Als guter Admin interessiert man sich sowieso für seine Partner und Technik, mit etwas Glück trifft man auf der anderen Seite auf den Techniker, der das ganze stolz eingerichtet hat und jedem dankbar ist, der sich nicht nach zwei Minuten gelangweilt umdreht :-)

Wer den Schritt ins Rechenzentrum z.B. aus geografischen Gründen nicht machen kann oder den Zutritt aus Sicherheitsgründen verwehrt bekommt, kommt um Indizien-Tricks nicht herum.

Analyse von hinten

Um "von hinten" das ganze herauszusuchen, muß man etwas Software bemühen. In einem gut gewarteten Unix-System finden sich whois, traceroute, ping und nslookup ohnehin, Mac-User dürfen sich z.B. die AG Nettools holen, bevor es weitergeht.

Virtuell pur?

Klassische virtuelle Server benutzen eine eigene IP-Adresse für jede gehostete Domain. Virtuelle Server richtet man bei diesem System ein, indem ein Rechner auf mehrere IP-Adressen reagiert.

Derartige Server kann man nur mit technischen Mitteln enttarnen, die einen Zugang zum Netzwerk des Providers erforder, kommen also eher nicht in Frage - zum Glück gibt es ja die neuere Variante, dem IP-losen Webhosting. Bei dieser Art von virtuellem Server hat der Server genau eine IP-Adresse und der Webserver möchte vom Client die Information bekommen, welche Domain denn gefragt ist. Da IP-Adressen auch Geld kosten, knapp werden und es ja auch neue Technik gibt, entscheiden sich immer mehr Provider für diese Art von Webhosting. Das gleiche Verfahren kann man auch auf virtuelle FTP-Server anwenden (nur unterstützt kaum ein FTP-Client derartige Erweiterungen so, dass man sich auf diese Erweiterungen kaum verlassen könnte).

Der Spaß bei dieser Form des Webhosting ist, daß man es sehr leicht entdecken kann: einfach mit einem Nameserver-Lookup die Domain heraussuchen lassen, IP-Adresse merken und dann wieder den Nameserver-Lookup rückwärts laufenlassen. Da die virtuellen Server auf der gleichen IP laufen, wird der reverse-lookup in 99,9% der Fälle einen anderen Hostnamen ergeben:

ista:~ # nslookup www.hoffart.de
Server:  localhost
Address:  127.0.0.1

Non-authoritative answer:
Name:    hoffart.de
Address:  192.67.198.3

ista:~ # nslookup 192.67.198.3
Server:  localhost
Address:  127.0.0.1

Name:    web.webmailer.de
Address:  192.67.198.3

Passt der neu aufgelöste Hostname absolut nicht zum Anbieter, so kann man sich sicher sein, daß das der Server sehr wahrscheinlich nicht ein "eigener" Rechner ist. Wer gut drauf ist, kann mal versuchen die Webadresse des neuen Hostnamen zu erreichen, gelegentlich zeigen sich da dann die Seiten des Top-Providers ...

Sammelbecken europäischer IPs: RIPE

In der RIPE-Datenbank steht drin, wer Ansprechpartner für eine Domain ist - sowohl der administrative Ansprechpartner (dem "gehört" die Domain) als auch der technische Ansprechpartner (der Provider bzw. ein Admin beim Provider) finden sich da zu jeder Domain.

Mit einem "whois name.de" kann man sich den tech-c heraussuchen, den technischen Ansprechpartner. Wenn da nicht die Firma steht, die den "eigenen Server" anbietet, ist die Chance recht hoch, einen Reseller vor sich zu haben. "Volle" Provider bieten genügend, um ihre Domains selbst verwalten zu können und haben dort dann eben ihren eigenen Eintrag stehen.

Wer gerade kein whois zur Hand hat, darf als Webverliebter auch über das Whois-Interface beim DE-NIC gehen.

Als tech-c steht bei z.B. bei hoffart.de:
person:      Markus Schrodt
address:     Carnotstraße 6
address:     D-10587 Berlin
address:     Germany
phone:       +49 30 88615 200
e-mail:      info@webcockpit.de
nic-hdl:     MS1736-RIPE
notify:      guardian@xlink.net
mnt-by:      XLINK-MNT
changed:     mlelstv@xlink.net 19980701
changed:     mlelstv@xlink.net 19981008
changed:     ib@xlink.net 19990122
changed:     ib@xlink.net 19990506
changed:     ib@xlink.net 19990521
changed:     ib@xlink.net 19990805
source:      RIPE

Der Whois-Eintrag wurde also bislang von XLink gewartet und geändert, tech-c ist Strato.

Die Info aus der RIPE-Datenbank kann bei der großen Suche nur ein Indiz sein, und sagt ohne Hintergrundwissen nicht viel mehr aus, als man auch vorher wusste. Wer sichergehen will, muß ein paar Schritte weiterdenken.

Kurz angebunden?

Ein "eigener" Server kann technisch über eine Standleitung, einen Router oder ein Netzwerkkabel ans Internet angeschlossen werden - also suchen wir einfach mal danach. Dazu stehen verschiedene Mittel zur Verfügung, die allerdings allesamt nicht sehr genau sind, so man nicht unmittelbaren Zugriff auf das Netzwerk des Providers hat.

Im eindeutigsten Fall ist der Server über einen Router oder eine Standleitung an den Provider darüber gebunden und dann bekommt man bei einem traceroute zum Server einfach zusätzliche Zwischenstationen mit vielleicht eindeutigem Namen ("gate-05", "cisco-providername", ...) zwischen eigenem Rechner und der Gegenstelle gegenüber der Strecke vom eigenem Rechner zu einem Server beim Provider "davor".

ista:~ # traceroute www.sysiphus.de
traceroute to www.sysiphus.de (192.67.198.6)
 1  INFRaMAX.infra.de (194.121.21.250)
 2  Bone.frei.net (193.141.226.12)
 3  freiburg.core.xlink.net (194.122.229.73)
 4  karlsruhe.core.xlink.net (194.122.227.125)
 5  www.hoffart.de (192.67.198.6)

Ergeben sich beim Traceroute ungewohnte Überseeverbindungen, so handelt es sich sehr wahrscheinlich um einen Reseller, der einfach die sehr günstigen Tarife verschiedener US-Provider nutzt.

Es gibt noch eine zweite Möglichkeit der Anbindung - das direkte Netzwerkkabel. In diesem Fall steht ein eigener Rechner im gleichen Rechenzentrum wie die Rechner des übergeordneten Providers (Top-Provider) - dann zahlt der Anbieter einfach eine Miete für Strom, Netzanbindung und Traffic an den Top-Provider, gewartet wird der Server von außen. In diesem Fall kann es sogar vorkommen, daß die Traceroute-Zeitangaben kürzer sind als die Zeiten zu Rechnern des Top-Providers, im Normalfall sind die Zeiten gleich lang und es finden sich keine Gateways oder Router dazwischen.

Aus meiner Sicht ist diese Form des Hosting durchaus ein "eigener Server" und eine gute Möglichkeit, ohne den Aufwand eigener Leitungen gute Connectivity zu bekommen.

So einen Rechner kann man gegenüber einem beim Top-Provider gehosteten Rechner nur enttarnen, wenn man selbst einen Rechner im Ethernet des Top-Providers hat - mit arp oder einem Packet Sniffer wie tcpdump kann man die Ethernet-Hardwareadressen des gehosteten Servers heraussuchen und versuchen, diese mit anderen IP-Adressen im Ethernet zu vergleichen, die definitiv nicht zum Hosting-Angebot gehören (etwa die IP-Adresse des Webservers des Top-Providers) - aber selbst das ist keine Garantie auf "Enttarnen".

Interessante Links

  • AG Nettools sind eine Sammlung von IP-Tools für den Mac
  • Apache ist eine sehr flexible Serversoftware, die sich fü alle genannten Formen des Webhostings eignet
  • Netcraft findet heraus, unter was für einem Betriebssystem und Serversoftware ein Webserver läuft
  • Das Whois-Interface des DE-NIC zeigt einem die "Verhältnisse" um eine Domain

Anders Henke, 18.03.2000