Temporäres DNS-Spoofing - Ursache und Strategie gegen
Szenario: Ein Hardwarerouter wird verwendet, um ein Netzwerk mit dem Internet zu verbinden. Der Router verwendet die DNS-Server des ISP und verfügt über eine aktuelle Firmware (keine Sicherheitslücken bekannt). DNS-Caching ist deaktiviert. Soweit bekannt, werden alle Domain-Namen normalerweise in die bekannten IP-Adressen aufgelöst (=> keine anderen Auffälligkeiten).
Vor kurzem wurde das seltsame Ereignis in dem oben genannten Netzwerk bemerkt:
Nachdem es wenige Sekunden zuvor normal war, löste sich www.google.de plötzlich nicht mehr auf eine IP-Adresse aus den normalen US-amerikanischen IP-Bereichen von Google. Stattdessen gab der Router eine Reihe vietnamesischer IP-Adressen zurück, die zu einem einzelnen / 24 Netz gehören! Dies war nicht spezifisch für die Client-Workstation, da dies auch in der Router-Protokolldatei zu sehen ist. (Der Grund kann also keine Malware auf dem Client sein.) nslookup
Folgende Ausgabe (zensierte IP-Adressen):
$ nslookup www.google.de Nicht autorisierende Antwort: Server: UnKnown Address: 192.168.yy.yy Name: www.google.de Addresses: 2a00:1450:... 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx 203.113.xx.xx
Der Zugriff auf die Site in Firefox zeigte, dass die seltsamen IP-Adressen verwendet wurden, aber ein gültiges HTTPS-Zertifikat für den korrekten CN wurde vorgelegt!
Ein erneuter Versuch etwa eine Minute später zeigte, dass sich die DNS-Auflösung wieder normalisiert hatte, und gab die bekannten IP-Adressen erneut an. Wahrscheinlich war www.google.de der einzige betroffene Domainname. www.google.com und andere getestete Namen waren nicht betroffen. Das Problem kann nicht mehr reproduziert werden und ist nicht persistent.
Was denkst du darüber?
Wurde der lokale Router ausgetrickst oder vielleicht sogar der DNS-Server des Providers?
Ich habe über die Einführung eines lokalen DNS-Cacheservers nachgedacht, der mehrere DNS-Server anfordert und die Ergebnisse vergleicht, bevor IP-Adressen an den Client zurückgegeben werden. Angemessen?
0 Antworten auf die Frage
Verwandte Probleme
-
5
Gibt es drahtlose Router, die Bandbreitenüberwachung und -drosselung ermöglichen?
-
1
DNS-Einstellungen pro Windows-Benutzer wechseln?
-
6
Welche Heimmodems und andere Netzwerkgeräte für Zuverlässigkeit?
-
12
Welche Router bevorzugen Sie für DD-WRT oder OpenWRT?
-
2
Welche Sicherheitsprobleme hat ein Computer, der direkt an ein Modem angeschlossen ist?
-
2
Warum findet mein Macbook kein drahtloses Netzwerk?
-
2
Wie kann ich mein drahtloses Netzwerk für höchste Sicherheit konfigurieren?
-
6
Warum funktioniert der Neustart / Reset des Routers?
-
2
Netzwerkgeräte konsolidieren, um Stromrechnungen zu sparen
-
2
Westell vs. Linksys - welches sollte ich behalten?