Community Navigation
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du 
1

Frage

2

Antwort

3

Lösung

Fritzbox cacht fälschlicherweise DNS Cookies
ukleinek
Netzwerkforscher
Netzwerkforscher

am ‎27.04.2022 21:51

Hallo,

Ich habe festgestellt, dass sich der DNS-Server in der Fritzbox 6490 (von Vodafone) mit Firmware Version 7.29 falsch verhält.

 

Wenn ich zweimal hintereinander die gleiche Anfrage stelle, ist beim zweiten Mal, das DNS Cookie falsch, hier wird nämlich das Cookie der ersten Anfrage einfach weiterverwendet. In tcpdump sieht das so aus:

21:25:30.111299 IP (tos 0x0, ttl 64, id 54005, offset 0, flags [none], proto UDP (17), length 77)
    192.168.84.173.48654 > 192.168.80.1.53: [bad udp cksum 0x264a -> 0x0d59!] 47589+ [1au] AAAA? heise.de. ar: . OPT UDPsize=1232 [COOKIE 40c957380257809d] (49)
21:25:30.203666 IP (tos 0x0, ttl 63, id 63697, offset 0, flags [none], proto UDP (17), length 121)
    192.168.80.1.53 > 192.168.84.173.48654: [udp sum ok] 47589 q: AAAA? heise.de. 1/0/1 heise.de. [14h32m2s] AAAA 2a02:2e0:3fe:1001:302:: ar: . OPT UDPsize=1232 [COOKIE 40c957380257809d 1316a88f626999eaf1bad1d604744b1f] (93)
21:25:32.936618 IP (tos 0x0, ttl 64, id 29534, offset 0, flags [none], proto UDP (17), length 77)
    192.168.84.173.60394 > 192.168.80.1.53: [bad udp cksum 0x264a -> 0xc7e4!] 51029+ [1au] AAAA? heise.de. ar: . OPT UDPsize=1232 [COOKIE 98213e949e6bcdde] (49)
21:25:32.937297 IP (tos 0x0, ttl 63, id 63698, offset 0, flags [none], proto UDP (17), length 121)
    192.168.80.1.53 > 192.168.84.173.60394: [udp sum ok] 51029 q: AAAA? heise.de. 1/0/1 heise.de. [14h31m59s] AAAA 2a02:2e0:3fe:1001:302:: ar: . OPT UDPsize=1232 [COOKIE 40c957380257809d 1316a88f626999eaf1bad1d604744b1f] (93)
21:25:40.192652 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 238)
    192.168.80.1.138 > 192.168.80.255.138: [udp sum ok] UDP, length 210

Wie man sieht wird bei der ersten Anfrage und beiden Antworten das gleiche Cookie (nämlich 

40c957380257809d

 ) vewendet. Je nach Implementierung auf dem anfragenden Rechner, wird das einfach ignoriert (Standard-Resolver unter Windows und Linux) oder die Antwort wird als Spoofing-Versuch verworfen (systemd-resolved).

 

Interessanterweise kann ich das mit verschiedenen DSL-Fritzboxen (getestet auf 7490 mit 07.29 und 7560 mit 07.29) nicht reproduzieren. Auf einer Fritzbox 6591 (ebenfalls Vodafone) in der Nachbarschaft tritt das Problem auch auf. An den Upstream-DNS-Servern liegt das nicht, wenn ich statt den Provider-Servern 8.8.8.8 und 9.9.9.9 eintrage, tritt das Problem trotzdem auf. Und wenn ich die Vodafone-Server direkt frage, werden die Cookies auch richtig zurückgegeben. (Und 8.8.8.8 sowie 9.9.9.9 antworten ohne Cookie.)

 

Das scheint also ein Vodafone-spezifischer Bug in der Fritzbox Firmware zu sein. Wo melde ich das Problem am besten? Hier? Bei AVM direkt?

 

Liebe Grüße aus Freiburg

Uwe

0 Gefällt mir
4 Antworten 4
ukleinek
Netzwerkforscher
Netzwerkforscher

am ‎28.04.2022 08:34

Update: Eine Vodafone Fritzbox 6591 in Hessen zeigt das gleiche Problem (die beiden bisher getesteten Geräte sind aus B-W)

0 Gefällt mir
RobertP
Giga-Genie
Giga-Genie
Als Antwort auf ukleinek

am ‎28.04.2022 11:22

ich würde das mal an AVM schicken, die passen ja die Firmware für Vodafone an

außerdem bekommst du da wenigstens ein Antwort  😉

0 Gefällt mir
ukleinek
Netzwerkforscher
Netzwerkforscher
Als Antwort auf RobertP

am ‎28.04.2022 22:25

@RobertP  schrieb:

ich würde das mal an AVM schicken, die passen ja die Firmware für Vodafone an

außerdem bekommst du da wenigstens ein Antwort  😉

Habe ich gemacht, der Zustand da ist jetzt "Ich gebe Ihre Daten gern einmal bei uns intern zur Analyse weiter."

 

Ansonsten habe ich noch eine Erkenntnis: Es liegt vermutlich doch (mit) an den Upstream-DNS-Servern. Die Vodafone-DNS-Server antworten (richtig) mit DNS-Cookies und die Frtizbox cacht die (fälschlicherweise) mit. Wenn ich als Upstream-Server 8.8.8.8 und 9.9.9.9 einstelle (die die Cookies einfach wegschmeißen und antworten als hätte es die Cookies nicht gegeben), bekomme ich im Heimnetz auch keine Cookies zurück, also auch keinen Cookiemismatch. Ich vermute, das habe ich beim initialen Testen falsch getestet, weil ich die ipv6-DNS-Server nicht abgeschaltet habe.

 

Liebe Grüße aus Freiburg

Uwe

0 Gefällt mir
ukleinek
Netzwerkforscher
Netzwerkforscher
Als Antwort auf ukleinek

am ‎20.06.2023 10:32

Update: Ich habe mal bei AVM nachgehakt, ob sie das Problem reproduzieren können. Intern ist das wohl schon gelöst, wird wohl in FRITZ!OS >= 7.56 ausgerollt. Mal sehen, wann wir das bekommen ...

0 Gefällt mir