1
Irgendjemand, der die 1.1.1.1 von Cloudflare als DNS-Server nutzt?
Na? Irgendjemand hier?
Falls es gestern (29.05.) gegen 10:10 Uhr etwas ruckelig lief liegt das daran, dass ein chinesisches Unternehmen die BGP-Routen für dieses Netz kurzzeitig gekapert hat:
https://bgpstream.com/event/138295
Für nicht-so-BGP-affine Mitleser:
Wenn ein anderer Provider die IP-Netze eines anderen per BGP announced und damit möglicherweise bessere Pfade hat (z.B. mehr Bandbreite, kürzere Routingwege) kann dieser andere Provider den eingehenden Traffic zu diesen IP-Netzen empfangen und natürlich mitlesen.
Das nennt sich BGP-Hijack und kommt gelegentlich aus Versehen oder mit Absicht vor.
Ob das Event hier versehentlich war, kann man so erstmal nicht sagen.
Aber wenn jemand tatsächlich das Netz ernsthaft Hijacken wollte, könnte dieser jemand damit natürlich auch schlichtweg falsche Antworten für DNS-Anfragen liefern.
Und z.B. so die Auflösung von OCSP-Servern für SSL-Zertifikate verhindern, womit die Browser dann standardmäßig nicht prüfen, ob ein Zertifikat für eine Webseite widerrufen wurde...
Und bevor sich jemand Illusionen macht: Das gleiche kann auch der 8.8.8.8 oder der 9.9.9.9 passieren!
Aufgrund der Tatsache, dass die meisten Provider Peering mit Google haben ist es natürlich schwieriger höher gewichtete Pfade für diese Routen zu erzeugen, aber möglich wäre es.
Falls es gestern (29.05.) gegen 10:10 Uhr etwas ruckelig lief liegt das daran, dass ein chinesisches Unternehmen die BGP-Routen für dieses Netz kurzzeitig gekapert hat:
https://bgpstream.com/event/138295
Für nicht-so-BGP-affine Mitleser:
Wenn ein anderer Provider die IP-Netze eines anderen per BGP announced und damit möglicherweise bessere Pfade hat (z.B. mehr Bandbreite, kürzere Routingwege) kann dieser andere Provider den eingehenden Traffic zu diesen IP-Netzen empfangen und natürlich mitlesen.
Das nennt sich BGP-Hijack und kommt gelegentlich aus Versehen oder mit Absicht vor.
Ob das Event hier versehentlich war, kann man so erstmal nicht sagen.
Aber wenn jemand tatsächlich das Netz ernsthaft Hijacken wollte, könnte dieser jemand damit natürlich auch schlichtweg falsche Antworten für DNS-Anfragen liefern.
Und z.B. so die Auflösung von OCSP-Servern für SSL-Zertifikate verhindern, womit die Browser dann standardmäßig nicht prüfen, ob ein Zertifikat für eine Webseite widerrufen wurde...
Und bevor sich jemand Illusionen macht: Das gleiche kann auch der 8.8.8.8 oder der 9.9.9.9 passieren!
Aufgrund der Tatsache, dass die meisten Provider Peering mit Google haben ist es natürlich schwieriger höher gewichtete Pfade für diese Routen zu erzeugen, aber möglich wäre es.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 375534
Url: https://administrator.de/contentid/375534
Ausgedruckt am: 24.11.2024 um 20:11 Uhr
1 Kommentar
Moin,
ja ich nutze die 1.1.1.1 als DNS-Server. Habe es mitbekommen, wusste aber nicht warum es nicht richtig lief. Danke für die Info!
LG Alex
ja ich nutze die 1.1.1.1 als DNS-Server. Habe es mitbekommen, wusste aber nicht warum es nicht richtig lief. Danke für die Info!
LG Alex
