Check your DNS-dealer

Mitglied: AnkhMorpork

AnkhMorpork (Level 2) - Jetzt verbinden

09.10.2020 um 09:18 Uhr, 1230 Aufrufe, 25 Kommentare

Welchen DNS-Server Ihr aktuelles Gerät gerade benutzt (Smartphone, PC, Tablet, Smart-TV), verrät beispielsweise die Testseite Browserleaks:
https://browserleaks.com/dns

Weiter:
https://www.heise.de/news/Mehr-Privatsphaere-mit-Fritzboxen-4920115.html


TGIF


Ankh the Punk
Mitglied: altmetaller
09.10.2020 um 10:11 Uhr
Hallo,

und warum zeigt das Teil dann die Vodafone DNS an, obwohl ich Quad9 befrage?

Gruß,
Jörg
Bitte warten ..
Mitglied: Lochkartenstanzer
09.10.2020 um 10:37 Uhr
Zitat von altmetaller:

Hallo,

und warum zeigt das Teil dann die Vodafone DNS an, obwohl ich Quad9 befrage?

Möglicherweise "filtert" Vodafone als MITM.

Ich bekomme auch die Telekom-Server angezeigt, obwohl ich meinen eigenen DNS-Resolver und Cache betreibe.

lks
Bitte warten ..
Mitglied: altmetaller
09.10.2020 um 10:39 Uhr
Hallo,

das lässt sich ausschließen, da ich eine bestimmte Webseite aufrufen kann

Gruß,
Jörg
Bitte warten ..
Mitglied: Doskias
09.10.2020 um 10:41 Uhr
Zitat von AnkhMorpork:
Welchen DNS-Server Ihr aktuelles Gerät gerade benutzt (Smartphone, PC, Tablet, Smart-TV), verrät beispielsweise die Testseite Browserleaks:
https://browserleaks.com/dns

Stimmt nicht. Mein aktuelles Gerät benutzt unseren DC, der benutzt wiederum die Firewall und die nutzt dann am Ende der Kette auch wieder was anderes als den Vodafone DNS.

Tolles Tool, funktioniert aber leider nicht.
Bitte warten ..
Mitglied: Lochkartenstanzer
09.10.2020 um 10:44 Uhr
Zitat von Doskias:

Tolles Tool, funktioniert aber leider nicht.

Hast es auch schon gemerkt.

lks

PS: Freitag!
Bitte warten ..
Mitglied: AnkhMorpork
09.10.2020, aktualisiert um 14:19 Uhr
Zitat von Lochkartenstanzer:

Zitat von Doskias:

Tolles Tool, funktioniert aber leider nicht.

Hast es auch schon gemerkt.

lks

PS: Freitag!

Ja, leider Ironie-Tag vergessen

<Edit>
Der Heise-Artikel enthält ja durchaus brauchbare Infos, leider bringt der Link seltsame "Freitags-Resultate".
</Edit>
Bitte warten ..
Mitglied: LordGurke
10.10.2020, aktualisiert um 13:02 Uhr
Mir hat die Seite bisher vollkommen richtige Ergebnisse geliefert. Wenn da was anderes steht, was man nicht erwartet, dann vermutlich tatsächlich, weil die DNS-Anfrage irgendwohin geleitet wurde, was man nicht erwartet hat.
Die Spalte "ISP" ist natürlich so zu interpretieren dass der Provider der IP-Adresse von der die DNS-Anfrage kam, anzuzeigen. Wenn ich meinen eigenen Recursor an einem Telekom-Anschluss betreibe, wird dort natürlich richtigerweise als ISP "Telekom" angezeigt.
Und IPv6 nicht vergessen, darüber können parallel zu IPv4 natürlich andere Resolver verteilt werden

Als zweiten Test kann man auch manuell eine DNS-Anfrage nach "whoami.akamai.net" machen, hierbei muss man ggf. A und AAAA abfragen.
Das reflektiert die IP-Adresse, von der Akamai die DNS-Anfrage erhalten hat.
Bitte warten ..
Mitglied: altmetaller
10.10.2020 um 13:26 Uhr
Hallo,

Zitat von LordGurke:

Mir hat die Seite bisher vollkommen richtige Ergebnisse geliefert. Wenn da was anderes steht, was man nicht erwartet, dann vermutlich tatsächlich, weil die DNS-Anfrage irgendwohin geleitet wurde, was man nicht erwartet hat.

Wenn Du meinst...

Als zweiten Test kann man auch manuell eine DNS-Anfrage nach "whoami.akamai.net" machen,

Danke für diesen tollen Tipp!

Wenn ich akamai befrage, kommt meine Abfrage von einer IP-Adresse, die gemäß reversem lookup zu pch.net gehören. Die sind auch auf der Homepage von meinem DNS-Anbieter (Quad9) gelistet: About Quad9 DNS Services

Wenn ich Browserleaks (s.O.) aufrufe, dann nutze ich angeblich den Vodafone-DNS. Mit anderen Worten: Browserleaks ist tatsächlich Müll

Gruß,
Jörg
Bitte warten ..
Mitglied: LordGurke
10.10.2020, aktualisiert um 13:35 Uhr
Zitat von altmetaller:
Wenn ich Browserleaks (s.O.) aufrufe, dann nutze ich angeblich den Vodafone-DNS. Mit anderen Worten: Browserleaks ist tatsächlich Müll

Oder du verwendest doch den Vodafone-DNS - z.B. weil er dir per IPv6-RA advertised wird. Anfragen nach AAAA-Records werden von manchen Betriebssystemen, darunter Windows, zuerst an einen IPv6-DNS-Server geschickt. Wenn du Quad9 ausschließlich per IPv4 konfiguriert hast, wird der für AAAA-Anfragen via IPv6 dann schlicht nicht benutzt.

Und Router verteilen Ihre DNS-Anfragen gerne per Round-Robin über alle Ihnen bekannten DNS-Server. Wenn also ein Router als IPv4-Nameserver Quad9 hat, als IPv6-Server weiterhin die Vodafone-DNS verwendet, wird ein Teil deiner Anfragen ebenfalls weiterhin über Vodafone geleitet.
Dadurch, dass Browserleaks eine hohe Menge DNS-Anfragen stellt, ist dort die Wahrscheinlichkeit sehr hoch, wirklich alle DNS-Server aus diesem Round-Robin-Konstrukt zu sehen.

Und als Tipp: Versuche mal einen anderen Browser testweise. Nicht, dass schlicht dein Browser DoH gegen einen Vodafone-Server benutzt.
Bitte warten ..
Mitglied: altmetaller
10.10.2020 um 14:05 Uhr
Hallo,

heise-v6 - Klicke auf das Bild, um es zu vergrößern

im Log vom Pi-Hole ist die Anfrage ebenfalls zu sehen; und dort ist IPv6-technisch "nur" die Link-Local-Adresse konfiguriert.

Gruß,
Jörg
Bitte warten ..
Mitglied: LordGurke
10.10.2020, aktualisiert um 15:01 Uhr
Kontrolliere mal mit "ipconfig /all", welche DNS-Server auf allen Interfaces konfiguriert sind.
Zudem: "nslookup -6" existiert unter Windows nicht und hat keine Wirkung. Wie du siehst, wurde dein IPv4-DNS gefragt, was das Standardverhalten ist. Auf meinem System, wo ich zu 100% weiß dass dort manuell ein IPv6-DNS eingetragen ist, wird von nslookup ebenfalls per IPv4 gefragt. Das ist eine Krankheit von nslookup - und es verhält sich dort anders, als der Rest der Software unter Windows. Leider.
Bitte warten ..
Mitglied: altmetaller
10.10.2020, aktualisiert um 19:16 Uhr
Hallo,

es ist nur der Pi-Hole konfiguriert.

Nicht, dass schlicht dein Browser DoH gegen einen Vodafone-Server benutzt.

Das tut kein Browser. Wenn, dann schicken die das an einen globalen Dienstleister. Firefox funkt z.B. CloudFlare an, was ich aber über die Canary Domains geblockt habe.

Übrigens wäre der DoH-Traffic in dem Fall nicht für Vodafone einsehbar und schon gar nicht manipulierbar. Es sei denn, sie haben den Key oder das Stammzertifikat vom Anbieter. Genau das ist ja die Motivation hinter DoH.

zuerst an einen IPv6-DNS-Server geschickt.

[...]

Wie du siehst, wurde dein IPv4-DNS gefragt, was das Standardverhalten ist.

Worauf möchtest Du eigentlich hinaus bzw. was möchtest Du mir sagen? Meine Anfragen gehen eindeutig über den Pi-Hole und von dort aus zum Quad9. Der o.g. Dienst arbeitet fehlerhaft - was hier bereits mehrere Teilnehmer bestätigt haben.

Gruß,
Jörg
Bitte warten ..
Mitglied: LordGurke
10.10.2020, aktualisiert um 20:04 Uhr
Zitat von altmetaller:
Das tut kein Browser. Wenn, dann schicken die das an einen globalen Dienstleister. Firefox funkt z.B. CloudFlare an, was ich aber über die Canary Domains geblockt habe.

Das tun Browser schon, wenn man es ihnen konfiguriert hat. Halte ich aber auch für unwahrscheinlich.


Worauf möchtest Du eigentlich hinaus bzw. was möchtest Du mir sagen? Meine Anfragen gehen eindeutig über den Pi-Hole und von dort aus zum Quad9. Der o.g. Dienst arbeitet fehlerhaft - was hier bereits mehrere Teilnehmer bestätigt haben.

Ich weiß schlicht aus der Vergangenheit, dass der Dienst korrekt arbeitet und habe darüber sogar fehlerhafte Konfigurationen gefunden - deshalb bin ich mir sicher, dass dein DNS-Traffic tatsächlich dort entlang läuft, wie es dir von Browserleaks angezeigt wird.
Und auch bei mir zeigt er aktuell die Einstellungen exakt so an, wie sie existieren. Einstellungen, die Browserleaks unmöglich erraten kann.

Ein beliebtes Problem ist nunmal, dass nur die DNS-Konfiguration auf dem IPv4-Protokoll angepasst wird. Über IPv6 kann sowohl per DHCP als auch per RA ein DNS-Server verteilt werden - und dieser wird dann (mit Ausnahme von nslookup) bevorzugt für Anfragen verwendet. Etwas, was schlicht übersehen wird, weil eine automatische Konfiguration über RA sogar unter bestimmten Umständen eine statische Konfiguration überschreiben resp. ergänzen kann.
Deshalb ja meine Frage, ob du auf irgendeinem Interface deines Systems einen DNS-Server stehen hast, den du da nicht erwartest.
Das kann ja ein zweiter DNS-Server sein (z.B. dein Internetrouter), den du dort eigentlich nicht stehen haben willst. Muss ja auch nicht zwingend IPv6 sein.

Deshalb glaube ich weiterhin, dass der Dienst bei dir nicht fehlerhaft arbeitet sondern ein Konfigurationsproblem aufdeckt - exakt so, wie es gedacht ist. Zum Beispiel, weil dein Router per IPv6-RA weiterhin sich selbst als DNS-Server verteilt und die Anfragen an deinen DNS-Server weiterleitet. Oder weil per DHCP mehr als ein DNS-Server verteilt wird. Oder weil auf irgendeinem Interface deines Systems noch ein weiterer DNS-Server statisch konfiguriert ist. Oder vielleicht auch, weil dein Pi-Hole die Anfragen nicht ausschließlich an Quad9 weiterleitet.


Nachtrag:
Ansonsten kannst du ja mal andere Dienste befragen, z.B. https://www.dnsleaktest.com/ - allerdings testen die nur mit IPv4, eventuelle Fehler im Zusammenhang mit IPv6 gehen damit eventuell unter.
Bitte warten ..
Mitglied: altmetaller
10.10.2020, aktualisiert um 20:06 Uhr
Hallo,

Zitat von LordGurke:

Ich weiß schlicht aus der Vergangenheit, dass der Dienst korrekt arbeitet

Und ich habe mir mal etwas genauer angeschaut, wie der Dienst auf seine Ergebnisse kommt: Offenbar sucht er nach exklusiven Einträgen oder Fehlern im DNS und versucht daraus, einen Fingerprint abzuleiten. Bei der Vielzahl der DNS-Server, die es (weltweit) gibt ist es nahezu ausgeschlossen, so eine Datenbank aktuell zu halten. Dieser Dienst ist der Beweis dafür

Über IPv6 kann sowohl per DHCP als auch per RA ein DNS-Server verteilt werden

Japp, aber man müsste schon arg in den Routern herummanipulieren, um so etwas zu erreichen. Und wer hier vorsätzlich einen DNS via RA verteilt, der tut dies bewusst und kennt auch die Konsequenzen.

Und - wie gesagt: Augenscheinlich bist Du der einzige Teilnehmer hier, bei dem das zu funktionieren scheint. Bei mir zeigt der nach wie vor den Provider-DNS an. Und wenn ich z.B. via nslookup nach bekannten Fehlern, Zensurmaßnahmen oder Besonderheiten im DNS meines Anbeiters suche, finde ich diese nur, wenn ich - oh Wunder - händisch den Provider-DNS frage

Deshalb glaube ich weiterhin, dass der Dienst bei dir nicht fehlerhaft arbeitet

Anders herum wird ein Schuh draus: Außer Dir hat sich hier noch niemand gefunden, bei dem er funktioniert Mit anderen Worten: Der whois über akamai ist wesentlich aussagekräftiger. Und ein wirklich guter Tipp.

Gruß,
Jörg
Bitte warten ..
Mitglied: LordGurke
10.10.2020 um 20:17 Uhr
Zitat von altmetaller:
Ich weiß schlicht aus der Vergangenheit, dass der Dienst korrekt arbeitet
Und ich habe mir mal etwas genauer angeschaut, wie der Dienst auf seine Ergebnisse kommt: Offenbar sucht er nach exklusiven Einträgen oder Fehlern im DNS und versucht daraus, einen Fingerprint abzuleiten. Bei der Vielzahl der DNS-Server, die es (weltweit) gibt ist es nahezu ausgeschlossen, so eine Datenbank aktuell zu halten. Dieser Dienst ist der Beweis dafür

Negativ. Die machen (ich habe mit Wireshark zugeschaut) eine große Menge DNS-Anfragen an zufällige Subdomains. Da sie zufällig sind, können sie nicht bereits im Cache liegen. Und man kann auf den autoritativen Nameservern für die angefragte Domain natürlich sehen, welche IP-Adresse nach dem zufällig generierten Namen fragt.
Und dann weiß man, welcher DNS-Server - zumindest als letzter in einer Kette - die konkrete Recursion durchgeführt hat.

browserleaks-dns - Klicke auf das Bild, um es zu vergrößern


Über IPv6 kann sowohl per DHCP als auch per RA ein DNS-Server verteilt werden

Japp, aber man müsste schon arg in den Routern herummanipulieren, um so etwas zu erreichen. Und wer hier vorsätzlich einen DNS via RA verteilt, der tut dies bewusst und kennt auch die Konsequenzen.

Nein. Das macht jede FritzBox, jeder Speedport, quasi jeder Provider-Router von alleine und vollautomatisch. Ist in einigen Fällen nichtmal abschaltbar.


Deshalb glaube ich weiterhin, dass der Dienst bei dir nicht fehlerhaft arbeitet

Anders herum wird ein Schuh draus: Außer Dir hat sich hier noch niemand gefunden, bei dem er funktioniert Mit anderen Worten: Der whois über akamai ist wesentlich aussagekräftiger. Und ein wirklich guter Tipp.

Das ist kein WHOIS sondern eine DNS-Anfrage. Die im übrigen EXAKT so funktioniert wie das, was Browserleaks macht.
Nur, dass das bei denen auch über IPv6 funktioniert (Akamai lieferte mir bisher nur IPv4 zurück). Und durch die größere Menge an Anfragen durch Browserleaks wird auch Round-Robin mit eingeschlossen.


Aber nur um diese Frage geklärt zu haben: Hast du denn wenigstens mal nachgesehen, ob da nicht doch ein DNS-Server entweder bei dir im Client oder auf dem Pi-Hole auftaucht, den du nicht erwartest?
Bitte warten ..
Mitglied: altmetaller
10.10.2020 um 20:33 Uhr
Hallo,

Zitat von LordGurke:

Nein. Das macht jede FritzBox, jeder Speedport, quasi jeder Provider-Router von alleine und vollautomatisch.

Ich habe gerade mal nachgeschaut: DNS via RA ist bei meiner Fritz!Box 6360 standardmäßig abgeschaltet. Bei zwei Kunden von mir (Fritz!Box, SpeedPort) ist es ebenfalls standardmäßig aus. Und ich weiß ziemlich sicher, dass dort nichts verändert wurde

Aber nur um diese Frage geklärt zu haben: Hast du denn wenigstens mal nachgesehen, ob da nicht doch ein DNS-Server entweder bei dir im Client oder auf dem Pi-Hole auftaucht, den du nicht erwartest?

Ja, und nicht nur das. Selbst wenn ich sämtlichen DNS-Traffic (IPv4 und IPv6) in der pfSense blockiere und DoH (Cloudflare) im Browser einschalte ist der Dienst immer noch der Meinung, ich nutze den Vodafone-DNS.

Die im übrigen EXAKT so funktioniert wie das, was Browserleaks macht.

Dann erlaube mir die Frage: Warum liefert sie - im Gegensatz zu Browserleaks das richtige Ergebnis?

Achja: Unter Linux verhält es sich genau so. Selbst in VMs, in denen es definitiv kein IPv6 gibt und in denen IPv4 statisch konfiguriert ist...^^

Gruß,
Jörg
Bitte warten ..
Mitglied: LordGurke
10.10.2020, aktualisiert um 23:09 Uhr
Ich gebe zu, ich bin jetzt verblüfft.
Jedoch wage ich diese - zugegebenermaßen vielleicht etwas spitze - Frage zu stellen: Du hast auch an der richtigen Stelle auf der Seite geschaut? Also im Abschnitt "DNS Leak Test", nicht in den Abschnitten darüber? Je nach Bildschirmauflösung ist das nämlich nicht sofort sichtbar...
Falls ja, welche Adressen werden da als DNS-Server angezeigt?

Trage ich auf meinem lokalen Forwarder Quad9 ein, bekomme ich bei Browserleaks vollkommen korrekt die Unicast-Adressen von Quad9 angezeigt.
browserleaks-ip-2020_10_10_23_07_47 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: altmetaller
10.10.2020 um 23:52 Uhr
Hallo,

ich habe die Lösung...

Gruß,
Jörg
Bitte warten ..
Mitglied: altmetaller
12.10.2020 um 09:15 Uhr
Hallo,

gar nicht neugierig?

Gruß,
Jörg
Bitte warten ..
Mitglied: Lochkartenstanzer
12.10.2020 um 09:27 Uhr
Zitat von altmetaller:

Hallo,

gar nicht neugierig?

ich schon.

lks
Bitte warten ..
Mitglied: LordGurke
12.10.2020 um 12:27 Uhr
Zitat von altmetaller:
gar nicht neugierig?

Ich lasse mich nicht durch Clickbait anfixen
Bitte warten ..
Mitglied: altmetaller
12.10.2020 um 17:40 Uhr
Hallo,

die Vodafone-IP-Adresse, die da angezeigt wurde, war meine eigene (dynamisch zugewiesene) Vodafone-IP und nicht der "offizielle" DNS von Vodafone...

Gruß,
Jörg
Bitte warten ..
Mitglied: LordGurke
12.10.2020 um 18:08 Uhr
Darf ich noch fragen, in welchem Abschnitt du deine Adresse gesehen hast?
Bitte warten ..
Mitglied: altmetaller
12.10.2020 um 18:12 Uhr
Hallo,

unter „Found xx Servers...“

Da steht meine IPv4 und meine IPv6 Adresse.

Gruß,
Jörg
Bitte warten ..
Mitglied: LordGurke
12.10.2020 um 18:18 Uhr
Dann leitest du offenbar DNS-Anfragen nicht durch Quad9 sondern wirst selbst rekursiv tätig. Ist letztlich datenschutzmäßig auch irgendwie besser
Bitte warten ..
Heiß diskutierte Inhalte
TK-Netze & Geräte
Störung Fax2Mail bei NFON am 24.10.20? Kein Mailversand von NFON möglich?
gelöst StefanKittelFrageTK-Netze & Geräte26 Kommentare

Hallo, scheinbar gibt es eine Störung bei NFONs Fax2Mail am heutigen Tag 24.10.20. Man kann Faxe an schicken und ...

Windows Server
Veeam - DCs restore - 0xc00002e2
gelöst Freak-On-SiliconFrageWindows Server22 Kommentare

Servus; Ich hab hier zwei Server 2012R2 DCs auf jeweils einem Hyper-V sitzen. Gesichert wird mit Veeam B&R. JA, ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
kman123FrageVoice over IP14 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Router & Routing
VPN Performance durch Mikrotik erhöhen
JseidiFrageRouter & Routing12 Kommentare

Hallo zusammen, ich habe Stand heute zwei Standort die ich per Site-to-Site VPN über zwei Fritzboxen verbinde. Da hier ...

Datenbanken
MSsql Express - Daten befüllen
istbananeFrageDatenbanken8 Kommentare

Hallo zusammen, ich habe bisher nicht viel mit Datenbanken zu tun gehabt. Nun gibt es ein paar Access Datenbanken ...

Microsoft
Sharepoint Website für externe User
RoadmaxFrageMicrosoft8 Kommentare

Hallo Zusammen, ich möchte eine komplette Website für externe User (Gäste) freigeben, in der sie nur "lesen" können. Dabei ...

Ähnliche Inhalte
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

FrankTippRedHat, CentOS, Fedora13 Kommentare

Hallo Fedorea/RedHat/CentOS User, unter den "normalen" Netzwerkeinstellungen von Gnome (Einstellungen -> Netzwerk) findet man leider keine Möglichkeit mehr, um ...

Server

Quad9: Datenschutzfreundliche Alternative zum Google-DNS - 9.9.9.9

DeepsysInformationServer8 Kommentare

Hi, Hinter der IP 9.9.9.9 steht ein neuer öffentlicher DNS, unter anderem von IBM gefördert und betreut, der keine ...

Windows Server

Windows DNS Server Denial of Service Vulnerability

DaniInformationWindows Server

Moin, Microsoft is aware of a vulnerability involving packet amplification that affects Windows DNS servers. An attacker who successfully ...

DNS

1.1.1.1: Cloudflare bietet datenschutzfreundlichen und schnellen DNS-Dienst

BassFishFoxInformationDNS5 Kommentare

Eine öffentliche Namensauflösung unter einer leicht zu merkenden IP-Adresse soll mehr Tempo und vor allem mehr Privatsphäre bringen. Cloudflare ...

Internet

Irgendjemand, der die 1.1.1.1 von Cloudflare als DNS-Server nutzt?

LordGurkeInformationInternet1 Kommentar

Na? Irgendjemand hier? Falls es gestern (29.05.) gegen 10:10 Uhr etwas ruckelig lief liegt das daran, dass ein chinesisches ...

DNS

"Quickie": Unerwünschte Aktivierung von Mozillas "DNS over HTTPS" in pfSense verhindern

altmetallerAnleitungDNS8 Kommentare

Hallo, Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT