viewfinder
Goto Top

Man-In-The-Middle als Service vom Internet-Service-Provider. Heiße Luft oder das Ende des Internets?

Geänderte Einleitung:
In dieser Frage geht es um einen Standard-DSL-Anschluß in Thailand. Dieser Anschluss weist Anomalien auf, die von mir einem Laien als MITM-Attake eingeschätzt werden. Mehr dazu unter Umschreibung und Symptome.
Geklärt werden sollten folgende Fragen:

  • Habe ich wirklich direkten Zugang zum Internet?
  • Wird meine Identität oder die meiner Gegenstelle verfälscht?
  • Wie muss ich meine Kreditkartenzahlungen und Passwörter bewerten?

Daten und Protokolle finden sich unter ¨Zur Sache¨ Besondere Aufmerksamkeit dürfte hier ¨traceroute google.com¨ verdienen. Die entsprechende Aufzeichnung kann unter ¨Zur Sache/Abfragen von innen/traceroute/Nachtrag¨ gesichtet werden. Auf beiden Seiten meines ISP befinden sich private IPs. Das ¨Abfragen von aussen¨ gestaltet sich logischerweise problematisch. Ich habe hierzu ¨The ICSI Netalyzr¨ genutzt und meine entsprechende Routerkonfiguration veröffentlicht.

  • Können Proxies SSL-Verbindungen und Tunnel im laufendem Betrieb aufbrechen?
  • Was kann ich tun? Zum Provider gibt es keine Alternative, denn alle von mir probierten Provider in Thailand haben nach meiner Erfahrung DNS-Probleme.

Ein Lösungsidee findet sich unter der Zuzammenfassung. Fachlich bin ich derzeit noch nicht in der Lage diese umzusetzen und ja ich habe Suchmaschinen penetriert.

back-to-topZwischenstand

Damit sich niemand den Finger beim scrollen brechen muß, werde ich hier eine Art Zwischenstand anlegen.

back-to-topWireshark-Meldungen

  • IP 224.0.0.251 in ¨MDNS¨-verbindungen / Tip von @aqui / thanks for the super video
  • offen bleibt: Was ist eine BAD-IP? Gibt es Grund zur Sorge, wenn die Hälfte der externen Verbindungen (TCIP) mit Bad-IP und Cheksum-Error ausgewiesen werden.

back-to-topMITM Verdacht

back-to-topProvider verwendet Carrier-Grade-NAT / Tip von @BirdyB
  • 3BB verwendet Carrier-Grade-NAT. Es ist bisher nicht geklärt ob dies bei mir wirklich der Fall ist.
  • Mein Router bekommt eine öffentlich IP zugewiesen.
  • Soweit ich mich eingelesen, wären damit die meisten Probleme erklärbar. Nur wie beurteile ich falsche/private Zertifikaten?


back-to-topUmschreibung fachgerecht, laienhaft

Einige Tage vor Neujahr war endlich Zeit, den Anomalien meines privaten LANs auf die Pelle zu rücken. Möglicherweise bin ich ja doch einfach zu unfähig. Also nahm ich mir etwas Zeit zum recherchieren und verpasste meinem Router einer alternative Firmware. Der erste Versuch ging irgendwie daneben. Die Namensauflösung funktionierte einigermaßen. Das Internet lief ohne murren, doch per IP fand sich immer nur eine Verbindung zwischen Client und Router. Die Pfadverfolgung zum nächsten LAN-Client ging über 3x meinen Router, zwei unbekannte IPs und starb dann bei meinem Provider ab. Vermutlich hatte ich nur vergessen den NVRAM zu löschen. Also Faktory-Reset und alles von vorn. Diesmal richtete ich das LAN offline ein. Alles läuft super. Also nur noch den 30-Sekundenjob für PPPoE. Das ist jetzt eine Woche her. Das Internet läuft etwas besser aber immer noch nicht entsprechend seiner Bandbreite. Nicht nur der Profi wird beim lesen der Abfragen und Logs hellhörig. Ganz klar möchte ich sagen: Ich will hier keine politische Diskusion führen. Das können wir gerne in einem anderem Post tun. Ich suche eine generelle Lösung. Es ist kein Problem von Thailand und ich vermute das diese Technologie auch nicht hier entwickelt wurde. Ich brauche dringend Hilfe. Das Profis, in allen von mir gefundenen Foren, dicht machen, kann ich im Zusammenhang mit lokalen Strukturen verstehen. Mir geht es hauptsächlich um einen gesicherten Handshake. Dieser scheint mir nicht mehr gegeben.


Verstanden habe ich nur die Garfik. Damit ich bei der hoffentlich kommenden Diskusion nicht ganz daneben stehe, gebe ich am Ende dieses Pamphletes einen Lösungsvorschlag. Vernutlich für Profis ein Scherz, aber ich habe es versucht. Primär bleiben die zwei großen Fragen. Ist der in Folge beschreibene Gatway ein Zugang zum Internet, eine Mitm-Attacke oder reagiere ich einfach nur zu heftig? Was kann ich noch oder was sollte ich gar nicht tun?

back-to-topSymptome

Jeder wird die nachfolgend aufgezählten Dinge kennen und lächeln. Zumindestens wenn er normaler User ist und noch keinen Accout und keine Kontrolle über seinen Rechner oder Router verloren hat. Manch Hacker wird jubeln, wenn er sich per WEB-Ftp auf seinem Hostspace einlogt und eine wildfremde Hompage vorfindet. Zurück zu den eher normalen Abweichungen.

  • Verbindungsabruch durch fehlende dynamische IP -> nach Supportkontakt gibt Provider IP manuell frei
  • Authentizitäts-Verfahren auf PHP-Basis enden mit absenden des Formulares -> mittels Proxy geht es dann doch (Bsp.: Revit.de, Revit.com,Pagewizz.de)
  • Neue Seiten müssen überwiegend mehrfach abgerufen werden -> hat sich offensichtlich nach Neuinstallation erledigt (only https://www.wireshark.org >1min, danach normal)
  • Seiten sind nicht erreichbar (ohne Proxy) -> Bsp.: green-24.de war lange ein Kanditat; seit einigen Monaten nicht mehr passiert
  • Nach nicht erreichbaren Seiten oder Stopschildern kein Proxy mehr einsetzbar -> im Moment schwer prüfbar, letzte Stopschild nicht notiert und meine gewünschten Contents scheine frei
  • komplex aufgebaute Seiten funktionieren erst schlecht und später gar nicht bzw. sind unbrauchbar -> leider nicht vor Neuinstallation erneut getestet; Bsp.: Reefbase.org mehr als ein Jahr unbrauchbar, rennt jetzt wie vom LAN
  • extrem hohe Anzahl an privaten Protokollen bei SSL-Verbindungen -> Problem mit Zertifikaten besteht aktuell immer noch
  • extrem viele Abbrüche bei Updates -> bis vor einem Jahr nur morgens machbar; hat sich extrem verbessert
  • Beim Öffnen meines Browsers (Firefox mit einigem Klimbim) telefoniert das Ding wenigstens auf TCP zu meinem Provider-> Nach umbenennen /home/___/.mozilla (nutze Linux Mint) war der Fehler nicht reproduzierbar

back-to-topWas möchte/brauche ich?

  • Hilfe bei der Beurteilung der Situation. Ich bin hier fachlich überfordert.
  • Eine Internetverbindung die ein ¨Nice to meet you¨ sicher stellt. Motto: Ich bin ich und Du bist Du.
  • Eine Internetverbindung in der meine Kreditkartenzahlung und meine Passwörter auch verschlüsselt bleiben.

back-to-topZur Sache

back-to-topSituationsbeschreibung

Der Router bekam die neueste Firmware (einen Sprung höher) und gleich noch eine alternative Firmware verpasst. Theoretisch wäre jetzt die ganze Schreiberei umsonst. Da ich nun bereits im Paranoid++ laufe, habe ich mir zur Beruhigung ¨wireshark¨installiert. Psychologisch keine gute Idee.

  • Was bedeuten die Unmengen von ¨Bad IP´s und vor allem, was ist eine ¨Bad IP¨?
  • Was bedeuten häufige ¨Checksum Errors¨?
  • Gelegentlich taucht die IP 224.0.0.251 in ¨MDNS¨ -verbindungen auf. Ich finde allein die IP schon fantastisch. Doch was ist das?
  • Ich bin überrascht das meine Workstation und mein Router für DNS-Verbindungen ein Smartphone (Infospalte) benutzen. Wer hat denen das Teil gegeben?

Leider habe ich dringlich Flüge zu buchen und muß E-Mails schreiben aber traue mich nicht. Es gibt hier keine Alternativen. Nicht DER sondern DIE Provider sind das Problem. Eine nette Beschreibung der Umstände findet man hier: http://www.thaivisa.com/forum/topic/466394-blocked-website/

back-to-topInternetanschluß

back-to-topAllgemeine Beschreibung

back-to-topAufbau Gateway Internet/Intranet
  • Internet ?
  • ISP (M-SP ?) Breitband 3bb; 10Mbps/512Kbps (PPPoE); Triple T Internet Co.,Ltd
  • ZyXEL AMG1001-T10A (über Web-Interface als Modem geschaltet); Original-Firmware, Version unbekannt
  • Linksys E2500 v3; Firmware: Tomato Version 1.28 by shibby; ¨Advanced/Routing-Miscellaneous-Mode¨: Gateway

Die Vergabe von alternativen Namensservern schein gesperrt. Sofern ein Standardeintrag offen bleibt, wird die DNS des Providers verwendet. Vergebe ich alle drei Möglichkeiten an alternative Server, funktioniert das Internet nicht mehr.

back-to-topKonfiguration mit Bezug auf ¨The ICSI Netalyzr¨-Test

back-to-topRouting
Destination Gateway / Next Hop Subnet Mask Metric Interface
Dyn-IP des ISP * 255.255.255.255 0 ppp0 (WAN)
192.168. ___ .0 * 255.255.255. ___ 0 ___x (LANx)
192.168. ___ .0 * 255.255.255. ___ 0 ___y (LANy)
127.0.0.0 * 255.0.0.0 0 lo
default Dyn-IP des ISP 0.0.0.0 0 ppp0 (WAN)
¨___¨ = Ausblendung. Bin mir einfach nicht sicher, was man veröffentlichen darf und was nicht.
Statische Routen: nicht angelegt
back-to-topDNS
  • Basic->Network--LAN
                • Static DNS : [keine Eintragung]
                • Enable DNSSEC : [aktiv]
                • Use dnscrypt-proxy : [deaktiviert]
                • LAN--WINS (for DHCP) : [keine Eintragung]
  • Basic->Static DHCP/ARP/IPT
                • Static DHCP/ARP/IPT : alle Hosts sind über MAC an feste IP (außerhalb des Pools) gebunden ¨Bound to¨ (ohne hostseitige DNS-Einträge)
                • --Options-- Ignore DHCP requests from unknown devices : [deaktiviert] Diese option verstehe ich trotz Hilfe nicht.
  • Advanced->DHCP/DNS--DHCP / DNS Server (LAN)
                • Use internal DNS : [aktiv]
                • Use received DNS with user-entered DNS : [deaktiv]
                • Prevent DNS-rebind attacks : [aktiv]
                • Intercept DNS port(UDP 53) : [deaktiv]
                • Use user-entered gateway if WAN is disabled : [aktiv]
                • Ignore DHCP requests from unknown devices : [deaktiv] like, Basic->Static DHCP/ARP/IPT--Options--
                • Maximum active DHCP leases : [255]
                • Static lease time : [Same as normal lease time]
                • Announce IPv6 on LAN (SLAAC) : [deaktiv]
                • Announce IPv6 on LAN (DHCP) : [deaktiv]
                • Mute dhcpv4 logging : [deaktiv]
                • Mute dhcpv6 logging : [deaktiv]
                • Mute RA logging : [deaktiv]
                • Dnsmasq Custom configuration :
                  server=87.118.100.175#110
                  server=62.141.58.13#110
                  server=94.75.228.29#110 
back-to-topDNS-Log-Sequenz (bei Start Router)
Jan  1 07:00:20 *** daemon.info pppd[480]: Remote message: Authentication success,Welcome!
Jan  1 07:00:20 *** daemon.notice pppd[480]: PAP authentication succeeded
Jan  1 07:00:20 *** daemon.notice pppd[480]: peer from calling number 00:18:82:46:C5:ED authorized
Jan  1 07:00:20 *** daemon.notice pppd[480]: local  IP address ***.77.226
Jan  1 07:00:20 *** daemon.notice pppd[480]: remote IP address ***.72.1
Jan  1 07:00:20 *** daemon.notice pppd[480]: primary   DNS address 110.164.252.222
Jan  1 07:00:20 *** daemon.notice pppd[480]: secondary DNS address 110.164.252.223
Jan  1 07:00:20 *** user.debug ip-up[676]: 182: pptp peerdns disabled
Jan  1 07:00:20 *** user.debug init[1]: 182: pptp peerdns disabled
Jan  1 07:00:20 *** daemon.info dnsmasq[507]: exiting on receipt of SIGTERM
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: started, version 2.73 cachesize 1500
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: compile time options: IPv6 GNU-getopt no-RTC no-DBus no-i18n no-IDN DHCP DHCPv6 no-Lua TFTP no-conntrack ipset Tomato-helper auth DNSSEC loop-detect no-inotify
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: DNSSEC validation enabled
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: DNSSEC signature timestamps not checked until first cache reload
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: asynchronous logging enabled, queue limit is 5 messages
Jan  1 07:00:20 *** daemon.info dnsmasq-dhcp[681]: DHCP, IP range 192.168.*** -- 192.168.***, lease time 1d
Jan  1 07:00:20 *** daemon.info dnsmasq-dhcp[681]: DHCP, IP range 192.168.*** -- 192.168.***, lease time 1d
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: using nameserver 94.75.228.29#110
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: using nameserver 62.141.58.13#110
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: using nameserver 87.118.100.175#110
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: reading /etc/resolv.dnsmasq
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: using nameserver 94.75.228.29#110
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: using nameserver 62.141.58.13#110
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: using nameserver 87.118.100.175#110
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: using nameserver 110.164.252.222#53
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: using nameserver 110.164.252.223#53
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: read /etc/hosts - 3 addresses
Jan  1 07:00:20 *** daemon.info dnsmasq[681]: read /etc/dnsmasq/hosts/hosts - 10 addresses
Jan  1 07:00:20 *** daemon.info dnsmasq-dhcp[681]: read /etc/dnsmasq/dhcp/dhcp-hosts
Jan  1 07:00:20 *** user.info rcheck[713]: Time not yet set. Only "all day, everyday" restrictions will be activated.  
Jan  8 09:40:16 *** daemon.info pppd[480]: System time change detected. 
back-to-topIPv6 Support
  • wurde von mir überall mit Ausnahme der Android-Geräte gesperrt.
back-to-topUDP-Support
  • Port Forwarding->UPnP/NAT-PMP--Settings--
                • Enable UPnP : [deaktiv]
                • Enable NAT-PMP : [deaktiv]

back-to-topAbfragen von innen

back-to-topnslookup

nslookup administrator.de 192.168.***.***
Server:		192.168.***.***
Address:	192.168.***.***#53

Non-authoritative answer:
Name:	administrator.de
Address: 82.149.225.18
nslookup 82.149.225.18
Server:		127.0.1.1
Address:	127.0.1.1#53

Non-authoritative answer:
18.225.149.82.in-addr.arpa	name = www.administrator.de.

Authoritative answers can be found from:
nslookup -q=any administrator.de 
Server:		127.0.1.1
Address:	127.0.1.1#53

Non-authoritative answer:
administrator.de
	origin = ns.namespace4you.de
	mail addr = hostmaster.administrator.de
	serial = 1388419901
	refresh = 16384
	retry = 2048
	expire = 1048576
	minimum = 2560
administrator.de	nameserver = ns2.namespace4you.de.
administrator.de	nameserver = ns.namespace4you.de.
administrator.de	text = "v=spf1 mx a ip4:82.149.225.20 ip4:82.149.225.18 ip4:82.149.225.22 ip4:217.91.213.75 -all"
Name:	administrator.de
Address: 82.149.225.18
administrator.de	mail exchanger = 100 mail.administrator.de.

Authoritative answers can be found from: 
nslookup administrator.de ns.namespace4you.de. 
Server:		ns.namespace4you.de.
Address:	80.67.16.124#53

Name:	administrator.de
Address: 82.149.225.18 
Gibt es irgend einen Grund warum ¨Authoritative answers can be found from:¨ nicht gleich die entsprechende Quelle nennt?

back-to-toptraceroute

traceroute administrator.de --resolve-hostnames
traceroute to administrator.de (82.149.225.18), 64 hops max
  1   192.168.*** (***)  0,438ms  0,378ms  0,325ms 
  2   10.121.83.177 (10.121.83.177)  20,385ms  19,942ms  10.121.83.101 (10.121.83.101)  19,994ms 
  3   10.121.83.178 (10.121.83.178)  19,880ms  19,692ms  19,363ms 
  4   110.164.0.157 (mx-ll-110.164.0-157.static.3bb.co.th)  32,592ms  32,066ms  32,472ms 
  5   110.164.0.156 (mx-ll-110.164.0-156.static.3bb.co.th)  31,022ms  31,568ms  30,950ms 
  6   110.164.1.173 (mx-ll-110.164.1-173.static.3bb.co.th)  33,582ms  30,831ms  30,812ms 
  7   110.164.1.167 (mx-ll-110.164.1-167.static.3bb.co.th)  32,005ms  32,278ms  32,681ms 
  8   110.164.1.123 (mx-ll-110.164.1-123.static.3bb.co.th)  32,546ms  32,491ms  32,476ms 
  9   110.164.0.121 (mx-ll-110.164.0-121.static.3bb.co.th)  224,742ms  226,400ms  223,886ms 
 10   213.248.81.93 (prs-b5-link.telia.net)  231,604ms  232,021ms  230,583ms 
 11   213.155.130.22 (prs-bb2-link.telia.net)  232,809ms  231,974ms  231,272ms 
 12   62.115.139.57 (ffm-bb2-link.telia.net)  241,236ms  241,093ms  240,406ms 
 13   62.115.142.71 (ffm-b12-link.telia.net)  235,545ms  235,227ms  234,262ms 
 14   62.115.52.250 (aixit-ic-310160-ffm-b12.c.telia.net)  238,953ms  239,262ms  237,669ms 
 15   83.141.5.106 (ae0-3003.er1.of.aixit.net)  238,288ms  237,603ms  236,483ms 
 16   *  *  * 
 17   *  *  * 
...
 63   *  *  * 
 64   *  *  * 
nochmal zum Spaß (schade kein ¨run-time¨, für Spiegelei reichts aber)
traceroute 82.149.225.18  --resolve-hostnames
traceroute to 82.149.225.18 (82.149.225.18), 64 hops max
  1   192.168.*** (***)  0,406ms  0,385ms  0,330ms 
  2   10.121.83.177 (10.121.83.177)  19,886ms  20,696ms  10.121.83.101 (10.121.83.101)  19,917ms 
  3   10.121.83.102 (10.121.83.102)  19,478ms  21,926ms  19,826ms 
  4   110.164.0.157 (mx-ll-110.164.0-157.static.3bb.co.th)  39,925ms  30,941ms  31,204ms 
  5   110.164.0.156 (mx-ll-110.164.0-156.static.3bb.co.th)  31,071ms  30,354ms  30,298ms 
  6   110.164.1.173 (mx-ll-110.164.1-173.static.3bb.co.th)  30,233ms  29,663ms  30,278ms 
  7   110.164.1.167 (mx-ll-110.164.1-167.static.3bb.co.th)  30,948ms  30,970ms  30,813ms 
  8   110.164.1.123 (mx-ll-110.164.1-123.static.3bb.co.th)  31,400ms  31,593ms  30,008ms 
  9   110.164.0.121 (mx-ll-110.164.0-121.static.3bb.co.th)  234,347ms  235,472ms  234,263ms 
 10   213.248.81.93 (prs-b5-link.telia.net)  233,449ms  236,169ms  232,267ms 
 11   62.115.113.150 (prs-bb3-link.telia.net)  235,048ms  233,877ms  233,556ms 
 12   62.115.140.34 (ffm-bb2-link.telia.net)  240,697ms  314,270ms  239,422ms 
 13   62.115.142.7 (ffm-b12-link.telia.net)  234,327ms  246,770ms  237,676ms 
 14   62.115.52.250 (aixit-ic-310160-ffm-b12.c.telia.net)  252,027ms  246,628ms  244,365ms 
 15   83.141.5.106 (ae0-3003.er1.of.aixit.net)  244,814ms  246,130ms  243,845ms 
 16   *  *  * 
 17   *  *  * 
 18   *  *  *
...
 63   *  *  * 
 64   *  *  * 
back-to-topNachtrag
Sorry, ich muß das hier mal durcheinander wirbeln. Wie lautet die Frage zur Antwort ¨Ich habe nichts gemacht, das war der Computer¨? Nachfolgend etwas Hilfestellung.
 traceroute google.com --resolve-hostname 
 traceroute to google.com (110.164.6.163), 64 hops max
  1   192.168.*** (***)  0,462ms  0,393ms  0,328ms 
  2   10.121.83.177 (10.121.83.177)  20,953ms  10.121.83.101 (10.121.83.101)  21,186ms  10.121.83.177 (10.121.83.177)  19,653ms 
  3   10.121.83.178 (10.121.83.178)  23,538ms  20,509ms  19,860ms 
  4   110.164.0.123 (mx-ll-110.164.0-123.static.3bb.co.th)  34,939ms  31,955ms  30,956ms 
  5   110.164.0.122 (mx-ll-110.164.0-122.static.3bb.co.th)  30,614ms  30,446ms  29,717ms 
  6   10.11.253.62 (10.11.253.62)  31,001ms  30,151ms  30,761ms 
  7   *  *  * 
  8   *  *  * 
  9   *  * ^C 
 traceroute google.com --resolve-hostname 
 traceroute to google.com (110.164.10.123), 64 hops max
  1   192.168.*** (***)  0,478ms  0,374ms  0,298ms 
  2   10.121.83.177 (10.121.83.177)  21,810ms  10.121.83.101 (10.121.83.101)  31,861ms  10.121.83.177 (10.121.83.177)  20,063ms 
  3   10.121.83.178 (10.121.83.178)  19,852ms  20,456ms  63,725ms 
  4   110.164.0.99 (mx-ll-110.164.0-99.static.3bb.co.th)  30,879ms  110.164.0.79 (mx-ll-110.164.0-79.static.3bb.co.th)  31,440ms  110.164.0.77 (mx-ll-110.164.0-77.static.3bb.co.th)  32,027ms 
  5   110.164.0.40 (mx-ll-110.164.0-40.static.3bb.co.th)  30,066ms  30,089ms  30,553ms 
  6   192.168.255.15 (192.168.255.15)  49,245ms  41,825ms  44,054ms 
  7   *  * ^C 
 traceroute google.com --resolve-hostname 
 traceroute to google.com (110.164.10.89), 64 hops max
  1   192.168.*** (***)  0,461ms  0,376ms  0,328ms 
  2   10.121.83.177 (10.121.83.177)  20,988ms  10.121.83.101 (10.121.83.101)  72,384ms  10.121.83.177 (10.121.83.177)  122,083ms 
  3   10.121.83.178 (10.121.83.178)  18,956ms  19,514ms  19,339ms 
  4   110.164.0.41 (mx-ll-110.164.0-41.static.3bb.co.th)  31,513ms  110.164.0.99 (mx-ll-110.164.0-99.static.3bb.co.th)  30,252ms  110.164.0.79 (mx-ll-110.164.0-79.static.3bb.co.th)  30,293ms 
  5   110.164.0.78 (mx-ll-110.164.0-78.static.3bb.co.th)  30,529ms  30,208ms  30,739ms 
  6   192.168.255.15 (192.168.255.15)  46,329ms  199,848ms  44,844ms 
^C 
 traceroute google.com --resolve-hostname 
 traceroute to google.com (110.164.6.217), 64 hops max
  1   192.168.*** (***)  0,453ms  0,376ms  0,323ms 
  2   10.121.83.101 (10.121.83.101)  20,646ms  10.121.83.177 (10.121.83.177)  47,564ms  10.121.83.101 (10.121.83.101)  39,622ms 
  3   10.121.83.102 (10.121.83.102)  20,180ms  24,348ms  21,225ms 
  4   110.164.0.123 (mx-ll-110.164.0-123.static.3bb.co.th)  31,534ms  38,608ms  30,387ms 
  5   110.164.0.122 (mx-ll-110.164.0-122.static.3bb.co.th)  30,191ms  29,915ms  29,627ms 
  6   *  *  * 
  7   *  *  * 
  8   * ^C 
 traceroute google.com --resolve-hostname 
 traceroute to google.com (110.164.10.34), 64 hops max
  1   192.168.*** (***)  0,491ms  0,380ms  0,335ms 
  2   10.121.83.101 (10.121.83.101)  64,216ms  10.121.83.177 (10.121.83.177)  21,452ms  10.121.83.101 (10.121.83.101)  19,870ms 
  3   10.121.83.178 (10.121.83.178)  32,296ms  18,924ms  19,973ms 
  4   110.164.0.41 (mx-ll-110.164.0-41.static.3bb.co.th)  31,449ms  110.164.0.99 (mx-ll-110.164.0-99.static.3bb.co.th)  31,552ms  110.164.0.79 (mx-ll-110.164.0-79.static.3bb.co.th)  31,313ms 
  5   110.164.0.76 (mx-ll-110.164.0-76.static.3bb.co.th)  30,370ms  30,229ms  30,045ms 
  6   192.168.255.13 (192.168.255.13)  51,000ms  43,634ms  43,091ms 
  7   * ^C 
Die privaten IPs hinter meinem Provider kann ich nicht ansprechen und darf ich auch nicht scannen (nach meinem Rechtsverständnis ). Anhand der auftauchenden privaten IPs hinter meinem Provider, ist es offensichtlich, das beide Seiten manipuliert werden. Man darf hier auch nicht blind auf ¨nmap¨ vertrauen, da ich nach dem Scann manuell (ping) einen Knoten mehr als ¨nmap¨ gefunden habe. Damit es nicht zu langweilig wird präge ich mal den Begriff ¨Paper-Hosting¨. Hier bekommt selbst für einen alten Ossi das Wort Mitschrift eine neue Bedeutung. Kann man mit Streams im Hintergrung anonym surfen? Welche Frame-Rate sollte man bevorzugen? Gibts es schon Videos in DIN-A0 ?
 Starting Nmap 6.40 ( http://nmap.org ) at 2016-01-09 11:07 ICT
Nmap scan report for 10.121.83.177
Host is up (0.028s latency).
Not shown: 999 closed ports
PORT   STATE    SERVICE
23/tcp filtered telnet
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: printer
Running: NRG embedded
OS CPE: cpe:/h:nrg:c7521n
OS details: NRG C7521n printer
Network Distance: 2 hops 

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 274.85 seconds 

Ohne großen Kommantar einfach weiter und somit zurück zum Beispiel anhand administrator.de.

back-to-topwhois

1 192.168.* (*) 192.168.0.0 - 192.168.255.255 = PRIVATE-ADDRESS-CBLK-RFC1918-IANA-RESERVED das bin ich
2 10.121.83.177 (10.121.83.177) 10.0.0.0 - 10.255.255.255 = PRIVATE-ADDRESS-ABLK-RFC1918-IANA-RESERVED bin ich nicht und auch nichts verstecktes in Tomato
3 10.121.83.102 (10.121.83.102) 10.0.0.0 - 10.255.255.255 = PRIVATE-ADDRESS-ABLK-RFC1918-IANA-RESERVED wie oben
4 110.164.0.157 (mx-ll-110.164.0-157.static.3bb.co.th) 110.164.0.0 - 110.164.15.255 TRIPLETNET-TH
Mmh, wat machen die da?

back-to-topnmap

Starting Nmap 6.40 ( http://nmap.org ) at 2016-01-07 16:23 ICT
Nmap scan report for 10.121.83.102
Host is up (0.035s latency).
Not shown: 997 closed ports
PORT   STATE    SERVICE
21/tcp filtered ftp
22/tcp filtered ssh
23/tcp filtered telnet

Nmap done: 1 IP address (1 host up) scanned in 4.22 seconds
Der Form halber alle auf meiner Seite gefundenene Knoten.
10.121.83.101
10.121.83.102
10.121.83.103
10.121.83.177
10.121.83.178
10.121.83.179

back-to-topAbfragen von aussen

Achtung !!! IPv6 ist bei mir ausgeschaltet. Ich habe von diesem Protokoll keinen Schimmer. Der Test lief in der Sandbox (Buttom sandbox) unter Linux Mint und als Broser diente QupZilla.

back-to-topThe ICSI Netalyzr

back-to-topSummary of Noteworthy Events
Major Abnormalities –
<codet type="plain">A detected in-network HTTP cache incorrectly caches information
Minor Aberrations –
Fragmented UDP traffic is blocked. –
A detected in-network HTTP cache exists in your network 
back-to-topAddress-based Tests
NAT support for Universal Plug and Play (UPnP) (?): Prohibited –
The client was not permitted to run this test in its entirety. We encourage you to re-run Netalyzr, allowing it to conduct its tests if prompted. However, some system configurations will always block this test. See the corresponding FAQ for help. 
back-to-topReachability Tests
Basic UDP access is available. –
The client was unable to send fragmented UDP traffic. The most likely cause is an error in your network's firewall configuration or NAT.
The maximum packet successfully sent was 1464 bytes of payload.
The client was able to receive fragmented UDP traffic. 
Traceroute (?): Failed to complete –
The test failed to execute completely, or the required results did not get uploaded to our server completely. 
Hidden Proxy Detection (?): Not executed –
The test was not executed. Required functionality was unavailable or not permitted, or this session dates from a time before Netalyzr supported this test. 
back-to-topHTTP Tests
HTTP caching behavior (?): Warning –
We detected the presence of an in-network transparent HTTP cache that caches data which was directly requested by the client.
Strongly uncacheable data was cached between you and our server, even when the data was requested directly and explicitly. This suggests that there is an HTTP cache in the network which examines and caches web traffic. Since this content was not supposed to be cached, the HTTP cache is probably operating incorrectly. 
back-to-topDNS Tests
Unrestricted domain DNS lookup (?): Prohibited –
The client was not permitted to run this test in its entirety. We encourage you to re-run Netalyzr, allowing it to conduct its tests if prompted. However, some system configurations will always block this test. See the corresponding FAQ for help. 
DNS resolver address (?): Not executed –
The test was not executed. Required functionality was unavailable or not permitted, or this session dates from a time before Netalyzr supported this test. 
DNS resolver port randomization (?): Failed to complete –
The test failed to execute completely, or the required results did not get uploaded to our server completely. 
DNS lookups of popular domains (?): Not executed –
The test was not executed. Required functionality was unavailable or not permitted, or this session dates from a time before Netalyzr supported this test. 
DNS results wildcarding (?): Not executed –
The test was not executed. Required functionality was unavailable or not permitted, or this session dates from a time before Netalyzr supported this test. 
DNS-level redirection of specific sites (?): Not executed –
The test was not executed. Required functionality was unavailable or not permitted, or this session dates from a time before Netalyzr supported this test. 
back-to-topIPv6 Tests
DNS support for IPv6 (?): Not executed –
The test was not executed. Required functionality was unavailable or not permitted, or this session dates from a time before Netalyzr supported this test. 
IPv4, IPv6, and your web browser (?): IPv6 connectivity problem –
Your browser has problems accessing sites supporting both IPv4 and IPv6. It took 1.6 seconds longer to fetch the image from the dual-stacked site than from an IPv4-only one. 
back-to-topNetwork Security Protocols
DNSSEC Support from the DNS Roots (?): Not executed –
The test was not executed. Required functionality was unavailable or not permitted, or this session dates from a time before Netalyzr supported this test. 

back-to-topZusammenfassung

Ich hoffe niemand hat sich durch die Menge an Text abschrecken lassen. In Anbetracht der Thematik fand ich diesen Weg besser, als wochenlange Rumraterei. Soweit ich das beurteilen kann, würde ich diese Art des Internetzuganges als kompromitiert betrachten. Wegschmeissen und anderen kaufen wird nach meiner Erfahrung keine Besserung bringen.
  • Als erstes benötige ich eine Aussage, in wie weit Verschlüsselungen von Passwörtern noch wirkungsvoll sind.
  • Danach würde ich gerne offen über eine Wiederherstellung von Internetstandards wenigstens für die LAN-Seite nachdenken.

back-to-topLösungsvorschlag

Ich würde eine Lösung mittels Router + Modem (habe hier leider noch keine Kombilösung gesehen) bevorzugen. Ich hoffe es wird jetzt nicht alzu lustig für die Profis

- Router als Client/Gateway zu Provider/Netz (normales einloggen je nach Zugangsart)
- Internet-Anfragen vom Lan auf VPN-Client (im Router) leiten
- VPN-Client sucht nach VPN-server
- VPN-Server befindet sich in demilitarisierter Zone auf Router und bezieht DDNS von meinem Hoster
- Allgemein gültige Firewall für DMZ und LAN auf Router

Zielstellung ist nicht das anonyme surfen. Wichtig ist die Verschlüsselung meiner Passwörter und die höchst machbare Wahrscheinlichkeit, das ich auch die Adresse erhalte (¨Stopschild¨ gleichfalls akzeptabel), welche ich angefragt habe. Das Problem besteht neben der von mir nicht beurteilbaren Machbarkeit im mehrfachen passieren des Nadelöhrs. Ich habe null Ahnung ob die eingeschobene Struktur des Providers auch noch öffentliche IPs filtert und manipuliert. Auf das Beispiel mit ¨traceroute google.com¨ schielend, wird das wohl nichts mehr.

Ich hoffe jemand kann weiterhelfen
Gute Nacht
Falkmar

Content-Key: 292438

Url: https://administrator.de/contentid/292438

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 09.01.2016 aktualisiert um 15:54:22 Uhr
Goto Top
Hallo Falkmar

ohne den Text (aus Zeitmangel) gerade en Detail gelesen zu haben - musst du alles Fett schreiben? Kann man das nicht auf das notwendige reduzieren oder musst du damit irgendein Geltungsbedürfnis untermauern?

Viele Grüße,

Christian

PS: Scheint ein Formatierungsproblem der Seite zu sein.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.01.2016 um 16:00:35 Uhr
Goto Top
Moin,

Die Formattierung wurde ja schon angesprochen.

Es ist zwar löblich, daß Du in Deine Frage viele Informationen reinpackst, aber das ist soviel, daß es nett wäre, erstmal einen kleinen abstract in der Länge eines Absatzes an den Anfang zu stellen, damit man sich über die Problematik einen Überblick verschaffen kann, um zu beurteilen, ob man überhaupt helfen kann oder nicht, ohne jetzt relativ viel Zeit in das Lesen Deiner Abhandlung zu investieren.

lks
Mitglied: 122990
122990 09.01.2016 aktualisiert um 16:06:49 Uhr
Goto Top
Leider habe ich dringlich Flüge zu buchen und muß E-Mails schreiben
Joar, und dann trotzdem noch Zeit einen Roman zu verfassen, face-big-smile

Au möhr, die Formatierung hat komplett die Peilung verloren und es sogar geschafft das hier jetzt die ganze Seite fett wird face-wink
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.01.2016 um 16:07:41 Uhr
Goto Top
Zitat von @122990:

Leider habe ich dringlich Flüge zu buchen und muß E-Mails schreiben
Joar, und dann trotzdem noch Zeit einen Roman zu verfassen, face-big-smile

Au möhr, die Formatierung hat komplett die Peilung verloren und es sogar geschafft das hier jetzt die ganze Seite fett wird face-wink

Vermutlich idsd aber eher ein Bug im Forensystem, daß die Formatierung über den Beitrag hinaus aktiv bleibt. face-smile

lks
Mitglied: 122990
122990 09.01.2016 aktualisiert um 16:11:27 Uhr
Goto Top
Das meinte ich damit.
Da könnte ich noch einige weitere Bugs aufzählen, wie z.B. wenn man versucht einen Link schräg zu formatieren, etc. pp....face-wink
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.01.2016 um 16:11:57 Uhr
Goto Top
Zitat von @122990:

wie z.B. wenn man versucht einen Link schräg zu formatieren, etc. pp....face-wink

Jepp, bin ich auch schon drübergestolpert. Un ddiverse ander Formattierungen geben auch manchmal lustige Effekte wenn man die richtigen Zeichenfolgen erwischt. face-smile

lks
Mitglied: aqui
Lösung aqui 09.01.2016, aktualisiert am 10.01.2016 um 03:59:47 Uhr
Goto Top
Er hat irgendwo im Text zwei Sterne und die nicht wieder durch 2 Sterne aufgehoben sind und ist vermutlich zu faul zum Suchen face-sad
Richtig Spaß macht das nicht das fett lesen zu müssen...
Oder....Frank hat einen Bug face-wink
Der Inhalt ist allerdings oftmals ein peinlicher Lacher...
Gelegentlich taucht die IP 224.0.0.251 in ¨MDNS¨ -verbindungen auf. Ich finde allein die IP schon fantastisch. Doch was ist das?
Da scheitert es schon am einfachen Netzwerk Wissen oder Googeln:
https://de.wikipedia.org/wiki/Multicast
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
und auch
Checksum Error
https://de.wikipedia.org/wiki/Blockprüfzeichenfolge
usw. Bei soviel fachlichen Facts im Text reibt man sich da dann verwundert die Augen...
Mitglied: 114757
114757 09.01.2016 aktualisiert um 16:15:54 Uhr
Goto Top
WOW, von der Frage können sich hier so manche Anleitungen und Tipps in Punkto Aufbau was abschneiden face-smile Dachte zuerst das ich hier eine Anleitung für Paranoia lese face-wink

Gruß jodel32
Mitglied: Viewfinder
Viewfinder 09.01.2016 um 16:57:55 Uhr
Goto Top
Sorrry, Fettschrift gehört nicht zu meinen Favoriten. Es ist ein Formatierungsproblem. Eben Fettschrift ohne Punkte. Ich versuche es so schnell wie möglich, zu beseitigen.
Mitglied: Viewfinder
Viewfinder 09.01.2016 aktualisiert um 19:04:38 Uhr
Goto Top
@aqui (Level 5)
Der Ton Ton stimmt mit meinem Schriftbild überein.
Es ist weniger das Problem zu Googeln als viel mehr alles zu Googeln. Den zweiten Link zu MDNS kannte ich und durch Deine Hilfe und Deinem ersten Link, kann ich morgen eventuell abschätzen, wie oft solche Verbindungen vorkommen sollten und dieser Teil hat sich erledigt.
Bei der Frage Checksum Error geht geht es nicht um die mich überfordernde Frage der Deutung des Wortes.

Die Standardeinstellung von wireshark für ¨Bad-IP¨ und ¨Checksum-Error¨ ist schwarz. Kann ich von normalen Verbindungen ausgehen, wenn mir diese in schwarz angezeigt werden. Das vorkommen schwarzer Verbindungen (Bad-IP/Checksum) entfaltet sich nicht liniar. Die Anzeige füllt sich mit steigender Anzahl immer mehr schwarz (bis vorwiegend schwarz). Der wesentlich größere Teil dieser vermutlich qualitativ nicht so hochwertigen Verbindungen wird mit ¨BAD_IP¨ ausgewiesen. Jetzt versuche ich es noch einmal.

Wie viele ¨schwarze/schlechte¨-Verbindungen sind schätzungweise prozentual gesehen normal?
40-50% ? Und vor allem, was ist eine BAD-IP?

Asnsonsten: An faulen Pünktchen liegt es nicht, peinlich ists trotzdem.
Mitglied: Viewfinder
Viewfinder 09.01.2016 um 18:58:13 Uhr
Goto Top
Kein Geltungsbedürfnis. Es ist Unkenntnis. Ich kann den Zustand weder einschätzen noch wirklich ändern. Deshalb die ¨Bild¨-Überschrift und das Inhaltsverzeichnis, in der Hoffnung damit Admins von tranzparenten Proxies oder mitm-Proxies anzusprechen.
Ich werde morgen früh die Einleitung ändern. Fett unterstreichen brauch ich wohl nichts mehr.
Mitglied: tomolpi
tomolpi 09.01.2016 aktualisiert um 18:59:38 Uhr
Goto Top
Waaaaaaaaah meine Augen... Nach dem lesen deines Posts tanzt alles face-big-smile

Was möchte/brauche ich?

Eine Internetverbindung die ein ¨Nice to meet you¨ sicher stellt. Motto: Ich bin ich und Du bist Du.
Eine Internetverbindung in der meine Kreditkartenzahlung und meine Passwörter auch verschlüsselt bleiben.

Und da wirst du im Zeitalter von NSA und Konsorten scheitern...
Mitglied: 122990
Lösung 122990 09.01.2016, aktualisiert am 10.01.2016 um 04:49:50 Uhr
Goto Top
Bau dir ein VPN über deinen INET-Zugang auf und du bist kannst wieder an deinem Mochito schlürfen
http://www.vpnanbieter.net/

Gruß grexit
Mitglied: BirdyB
Lösung BirdyB 10.01.2016 aktualisiert um 07:19:21 Uhr
Goto Top
Bezüglich der Privaten IPs auf Seiten deines Providers:
Setzt dein Provider vielleicht Carrier-Grade-NAT ein?

Das würde die Adressen schonmal erklären...
Mitglied: Viewfinder
Viewfinder 10.01.2016 um 03:32:02 Uhr
Goto Top
@Lochkartenstanzer
Habe jetzt die Einleitung von ¨Laß Dich ein¨ auf ¨Zieh den Finger¨ umgestellt. Ich lebe seit etlichen Jahren in keiner Produktivumgebung mehr. War nen Logigfehler. Will ja aktive Admins ansprechen und keine Rentner. Danke für den Hinweis.
Mitglied: Viewfinder
Viewfinder 10.01.2016 um 03:37:14 Uhr
Goto Top
@114757
Ich hoffe es ist Paranoia, glaube es aber logischerweise nicht.
Mitglied: Viewfinder
Viewfinder 10.01.2016 um 04:18:50 Uhr
Goto Top
@tomolpi
Hoffentlich haben sich Deine Augen beruhigt und Du verlangst kein Schmerzensgeld.
Bitte nicht falsch verstehen. Es geht nicht darum ob Verschlüsselungen im Allgemeinen geknackt werden können. Von mir aus kann jeder meine Festplatten spiegeln oder meine Kommunikation aufzeichnen und seinen Kindern vorspielen. Zugegeben nur ungern.
Meine Sorge besteht in der Wahrung der Identitäten im nennen wir es mal ¨Livesystem¨.
Läßt sich einen Verschlüsselung im laufendem Betrieb aufheben und verschlüsselte Inhalte auslesen und oder manipulieren?

Ich vertrete eben die These: Was geht, wird gemacht.
Mitglied: Viewfinder
Viewfinder 10.01.2016 um 04:49:42 Uhr
Goto Top
@122990
Mochito? Ist das Rum oder Reisschnaps?
Jo, war auch meine erste Idee. Dafür gibt es reichlich Anleitungen im Internet und die Firmware Tomato besitzt alles was man braucht. Abgesehen von der Frage, welchem Proxy vertraue ich mehr, ist das Abschalten dieser Dienste bei manipulierter DNS kein Problem. Diese Dienste können auch nicht einfach ihre IP wechseln (bei manipulierter DNS). Als schnelle Lösung wird mir vermutlich nichts anderes übrig bleiben.
Mitglied: Viewfinder
Viewfinder 10.01.2016 um 07:18:55 Uhr
Goto Top
@BirdyB
Das könnte ein Volltreffer sein und erklärt mehr als nur die privaten IPs.
- 3BB (mein Provider) nutzt diese Technologie
- ich habe den preiswertesten DSL-Anschluss des Providers
Allerdings habe ich eine öffentliche IP. Hier meine IPs vom aktuellen Reboot

local IP address 223.207.196.222
remote IP address 223.207.192.1

meine lokale IP vor dem Reboot war 171.5.23.124

riesen Dank
Falkmar
Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.01.2016 um 08:54:22 Uhr
Goto Top
Zitat von @Viewfinder:

@Lochkartenstanzer
Habe jetzt die Einleitung von ¨Laß Dich ein¨ auf ¨Zieh den Finger¨ umgestellt. Ich lebe seit etlichen Jahren in keiner Produktivumgebung mehr. War nen Logigfehler. Will ja aktive Admins ansprechen und keine Rentner. Danke für den Hinweis.


Naja, von der Rente bin ich, trotzde des Nicks noch Jahrzehnte entfernt. Und auch wenn ich hier oft kommentiere, habe ich doh nich einen "Hauptberuf" in dem Metier, bei dem ich Kunden aus der Patchse helfen muß, bzw dafür sorgen, daß sie gar nicht erst in die patsche kommen. Nachdem Du die einleitung geändert hast, ist es deutlich besser geworden. ich werde es mir nachher als durchlesen und mal schauen, wieviel Senf ich dazu besteuern kann.

lks
Mitglied: Viewfinder
Viewfinder 11.01.2016 um 14:41:22 Uhr
Goto Top
@Lochkartenstanzer
Danke, das mit dem Finger hätte ich durch aus besser formulieren können. War wohl noch ein wenig auf der Welle des herzlichen Empfanges. Fettschrift macht offensichtlich agressiv.
BirdyB liegt mit seiner Vermutung wahrscheinlich richtig. ¨3BB¨ verwendet Carrier-Grade-NAT. Leider ist im Vertrag nichts diesbezügliches erwähnt und Support ist die moderne Umschreibung für Personal-Firewall (wörtlich). Was mir wirklich sorgen macht, ist der Onlinetest ¨Netalyzr¨. Mit Firefox in meinem Standardprofil und auf Linux Mint habe ich diesen Test kur vor diesem Post ohne Sandbox ausprobiert. Der hatte dann noch ein paar Highlights mehr. Zwei habe ich mir gemerkt.
- Ihre Struktur enhält vermutlich einen tranzparenten Proxy
- Ihre Header-Angaben wurden verändert
Falls Bedarf, kann ich den Test jederzeit wiederholen. Danke für Deine Zeit.

Falkmar

Was ist mit den Lochkarten? Sind die jetzt auch schon nicht mehr gut genug?
Mitglied: rzlbrnft
rzlbrnft 13.01.2017 um 15:12:37 Uhr
Goto Top
Zitat von @Viewfinder:
- Ihre Struktur enhält vermutlich einen tranzparenten Proxy
- Ihre Header-Angaben wurden verändert
Falls Bedarf, kann ich den Test jederzeit wiederholen. Danke für Deine Zeit.

Das ist durchaus nicht ungewöhlich wenn dein Provider bestimmte Seiten blockiert, was in asiatischen Ländern wohl gang und gäbe ist.
Hier wird das SSL Protokoll aufgebrochen und der Datenstrom auf illegale Machenschaften überprüft. Machen wir in der Firma mit unserer Firewall auch so, da es sonst unmöglich wäre, Arbeitsfremdes Material wie Facebook zu blockieren.

Wenn du das umgehen willst hilft eigentlich nur ein Tunnel, wie zum Beispiel Earth VPN.
Kostet halt einen gewissen Obulus, wäre es mir in deinem Fall aber wert, wenn du dann besser schlafen kannst.