Menu Toggle

Aktuelle Einschränkungen:

BEHOBEN! Mobil: Einschränkungen Mobile Daten und Telefonie 2G/4G im Bereich Halberstadt, Gröningen, Osterwieck,...

BEHOBEN! Mobil: Einschränkungen Mobile Daten 4G/5G im Bereich Leimen , Mannheim, Hockenheim....

Kabel, DSL, Mobil  Ausfälle aufgrund von Hochwasser

Kabel Ankündigung Ausfall aufgrund von Wartungsarbeiten (04.08.)

Kabel Ankündigung Ausfall aufgrund von Wartungsarbeiten (05.08.)

 

Nähere Informationen dazu findet Ihr im Eilmeldungsboard

Close announcement

Störungsmeldungen Internet, TV & Telefon DSL

Siehe neueste
Betreff: Durch die fehlenden Infos bleiben einfach zu viele Fragen offen
DennisFR4
Netzwerkforscher

Von dem fragwürdigen Weg der Benachrichtigung seitens Vodafone mal abgesehen ist es so ganz ohne die Infos zu den DNS-Anfragen halt fast unmöglich festzustellen, welches Gerät im Netzwerk denn betroffen sein könnte. Und dann hilft auch der standardmäßige Support-Tipp mit dem Malware-Scan rein gar nichts, wenn es im Endeffekt vielleicht einfach nur die smarte Glühbirne ist, die nach Hause telefonieren möchte, der Server jedoch warum auch immer als Honeypot o.ä. gelistet wird.

 

Wenn du herausfindest, wie man an die Infos über die auslösenden DNS-Abfragen kommt, wäre ich über eine Info sehr dankbar. Das einzige was ich über die Vodafone-Meldung herauslesen kann ist, dass "mindestens ein Gerät mit dem Virus der Kategorie  >>externe Attacken<<  befallen sei". Leider ist das nicht sehr aussagekräftig.

 

Jedenfalls gehe ich derzeit nicht davon aus, dass es meine Windows-Geräte sind, einfach weil deren Maintainance passt und ich weiß, was dort läuft und was nicht. Irgendwas sagt mir, dass ein undurchsichtiges Smart-Device (Handy, TV, Drucker, IoT, ..) diese "Probleme" verursachen könnte oder dass Vodafone hier vielleicht einfach Fehler bei der Zuordung der Warnungmeldungen macht und der Grund vielleicht überhaupt nicht im eigenen Netzwerk liegt, was dann als False Positive anzusehen wäre. Wie gesagt, ohne vernüftige Infos ist es schwer hier mehr zu sagen..

Mehr anzeigen
reneromann
SuperUser

Nur um hier einiges, was da nicht ganz sauber ist, mal klarzustellen:

 

a) Nicht der Browser fragt beim DNS von Vodafone an, sondern der Browser fragt das Betriebssystem über die entsprechende Socket-Implementierung (z.B. WinSock) nach der passenden IP-Adresse. Meist heißt die Funktion dafür "gethostbyname" (resp. Windows) und liefert die IP zurück.

Es kümmert sich also nicht der Browser selbst, sondern die Socket-Bibliothek des Betriebssystems darum, den Namen in eine IP umzuwandeln - i.d.R. wird dafür zuerst in lokalen Verzeichnissen geschaut (z.B. eben jene Hosts-Datei) und wenn dort nichts gefunden wird, geht ein DNS-Request an den eingestellten primären DNS-Server raus -- was in der Regel der Router ist.

Der Router schaut dann seinerseits, ob er den Eintrag selbst kennt -oder- er leitet die Anfrage an den für ihn zuständigen primären DNS weiter - das wäre dann derjenige von Vodafone.

 

b) Wenn das Betriebssystem dem Browser die IP-Adresse genannt hat, baut der Browser über die Socket-Bibliothek eine TCP-Verbindung zum Port 80 oder 443 auf der vorher ermittelten IP-Adresse auf. Erst hier wird dann auch festgelegt, ob es eine HTTP, HTTPS oder anderweitige Verbindung ist -- das steht bei der DNS-Abfrage noch gar nicht mit drin.

 

Und genau daher kann Vodafone - weil der Router immer zwischengeschaltet ist - schlecht das eigentliche Gerät benennen - weil sich das Gerät selbst nie bei VF meldet, sondern es immer nur dein Router ist.

 

Und zur Grundproblematik - dies passiert z.T. auch, wenn bestimmte Adressen aufgelöst werden solle, die für Botnetze genutzt wurden...

Mehr anzeigen
AndiHoffi
Smart-Analyzer

Warum unterstellst Du mir schon wieder, ich würde von Vodafone verlangen, mir das betroffene Gerät zu nennen?
Das hast Du gestern schon gemacht. Und ich habe Dir bereits gestern geantwortet, dass ich das nicht erwarte, weil sie das nicht wissen können.

Wohl aber wissen sie, welche Domäne abgefragt wurde und wann das stattfand. Und damit sollten sie rausrücken.

Mehr anzeigen
DennisFR4
Netzwerkforscher

@AndiHoffi  schrieb:

Warum unterstellst Du mir schon wieder, ich würde von Vodafone verlangen, mir das betroffene Gerät zu nennen?
Das hast Du gestern schon gemacht. Und ich habe Dir bereits gestern geantwortet, dass ich das nicht erwarte, weil sie das nicht wissen können.

Wohl aber wissen sie, welche Domäne abgefragt wurde und wann das stattfand. Und damit sollten sie rausrücken.


Ich muss dem TE da Recht geben. Ohne vernünftige Infos kann der Inhaber des Netzwerks hier nur ins Blaue raten, inbesondere dann, wenn seine Geräte selbst unauffällig bzw. als sauber gegengeprüft sind (in meinem Fall habe ich auch via iBarry noch überprüft, ob meine aktuelle IP durch bekannte Honeypots geblacklistet wurde, was nicht der Fall war). Nur mit Angabe der DNS-Abfrage, die die Meldung verursachte, kann man vernünftig eingrenzen. Und diese Daten liegen dem ISP nunmal vor.

 

Vielleicht ist es ein HTTP-Redirect (z.B. über smartredirect) der Vodafone hier aufhorchen lässt? Zumindest bei mir was es so, dass ich diese Meldung das erste Mal bekam, als ich via Chip.de einen Link anklickte der mich über diesen Redirect-Dienst an eine ebenfalls ungesicherte HTTP-Verbindung (videolan.org) weiterleitete. Dann wäre zumindest zeitlich ein Zusammenhang zwischen dem Verhalten meines Netzwerks und der Vodafone-Meldung erkennbar. Weiter eingrenzbar ist dies jedoch aufgrund der fehlenden Infos eben leider nicht..

 

Prinzipiell finde ich es ja löblich, dass VF hier seine Informationspflich ernst nimmt und seine Nutzer über verdächtiges Verhalten informieren will. In der aktuellen Form kann dies aus genannten Gründen aber unter Umständen sogar mehr Schaden verursachen als verhindern..

Mehr anzeigen
kunde24
Netzwerkforscher

Bin auch am verzweifeln. Vielleicht ginge es mithilfe des pihole Projektes? Da hat man einen DNS Proxy auf dem raspi der die DNS abfragen bestimmt auch loggen kann...  wenn man da welche drin findet, die sich der Vodafone DNS weigert aufzulösen, ist man vielleicht etwas schlauer? 
Allerdings muss man dann die wlan Geräte überzeugen den raspi als DNS zu nutzen..

Mehr anzeigen
DennisFR4
Netzwerkforscher

Ich habe mich mit Pi-Hole noch nicht wirklich beschäftigt. Sinnvoll kann sowas schon sein, wenn man seine Geräte genauer überwachen möchte. Wie man allerdings der smarten Glühbirne beibringt, dass sie doch bitte den Raspberry als DNS-Server akzeptieren möchte, weiß ich nicht. Möglichweise geht das über einer Umstellen der DHCP-Funktion im Provider-Router. Und wahrscheinlich müsstest du im Pi-Hole-Interace dann wieder auf den VF-DNS durchschleifen, um eben die Meldungen zu erhalten.

 

Bleibt aber noch das Problem des fehlenden Zeitstempels seitens VF..

Mehr anzeigen
kunde24
Netzwerkforscher

Ich glaube mit einem gescheiten Router kann man via dhcp den pihole als DNS im ganzen Netzwerk ausrollen, die easybox 804 scheint das aber nicht zu können. Habe jetzt den pihole aufgesetzt und ein paar Geräte damit verbunden. Bin mal gespannt. Der loggt zumindest brav alles weg und es gibt weniger Werbung Smiley (fröhlich)

 

auf dem Laptop läuft seit längerem jetzt auch tcpdump und schreibt die DNS queries in ein eigenes log file. Ich habe ein Script geschrieben dass die DNS antworten vergleicht von Vodafone und 1.1.1.1 bzw 8.8.8.8

teilweise sind die Antworten identisch teilweise sehr unterschiedlich, tippe auf load balancing. Ich habe aber in keinem Fall etwas bemerkt was wie ein Vodafone-seitiger Block aussieht. Unerwartete NXDomain oder 0.0.0.0 Einträge gab es nicht. Auf die ip von securenet.Sicherheit.Vodafone.de kommt man nur dann, wenn man ein nslookup macht und der Server meint es wäre mal wieder Zeit für einen spoof.  Es gibt bisher keine Domain, die wirklich sicher  umgeleitet oder geblockt wird.

 

wegen der fehlenden Informationen auf der securenet Seite habe ich mich ans BSI gewandt . 

 

 

Mehr anzeigen
DennisFR4
Netzwerkforscher

Klingt interessant.

 

Schonmal drüber nachgedacht einen DNS-Flush auf deinen Geräten zu machen? Das könnte dazu führen dass der VF-DNS-Server wieder getriggert wird.

 

Das mit dem BSI ist eine gute Idee, da hier lt. Vodafone-Meldung ja Cyperkriminalität im Spiel sei ("..mindestens eins deiner Geräte... ist von Schadsoftware befallen"). Ich könnte mir aber auch vorstellen, dass die dir die Herrschaften vom BSI empfehlen Strafanzeige gegen unbekannt (Verdacht auf Computerbetrug) zu stellen, was dann aber nicht nur mögliche Ermittlungen bei VF zur Folge hätte, sondern auch bedeuten könnte, dass deine Heiminfrakstruktur für forensische Zwecke zur Verfügung stehen müsste Smiley (fröhlich)

Mehr anzeigen
maniwuppertal
Digitalisierer

@DennisFR4  schrieb:


[...]

 

Vielleicht ist es ein HTTP-Redirect (z.B. über smartredirect) der Vodafone hier aufhorchen lässt? Zumindest bei mir was es so, dass ich diese Meldung das erste Mal bekam, als ich via Chip.de einen Link anklickte der mich über diesen Redirect-Dienst an eine ebenfalls ungesicherte HTTP-Verbindung (videolan.org) weiterleitete. Dann wäre zumindest zeitlich ein Zusammenhang zwischen dem Verhalten meines Netzwerks und der Vodafone-Meldung erkennbar. Weiter eingrenzbar ist dies jedoch aufgrund der fehlenden Infos eben leider nicht..

 

Prinzipiell finde ich es ja löblich, dass VF hier seine Informationspflich ernst nimmt und seine Nutzer über verdächtiges Verhalten informieren will. In der aktuellen Form kann dies aus genannten Gründen aber unter Umständen sogar mehr Schaden verursachen als verhindern..


Das mit dem Redirect ist ein interessanter Gedanke. Bei mir war es tatsächlich auch so, dass die Warnung zum ersten Mal auftauchte, nachdem am vergangenen Freitag ein Link auf der Plattform "Pinterest" angeklickt wurde, der auf eine http-Webseite weiterleitete.

Mehr anzeigen
RandyF
Daten-Fan

Interessant, dass ich nicht der einzige bin, der seit Mai diese Meldung erhält. Verrückterweise erscheint sie, wenn ich meine EIGENE Webseite unverschlüsselt aufrufe, obwohl sie auch mit SSL-Verschlüsselung erreichbar wäre. Mein eigener Server ist aber definitiv kein Verteiler von Schadsoftware und steht auch auf keiner Blacklist. 

Auch bei mir war der Kundenservice offenbar nicht willens oder in der Lage, mir mitzuteilen, welche Verbindung konkret diese Meldung verursacht. 

Ich habe langsam den Eindruck, die Meldung wird random bei unverschlüsselten Websites ausgegeben, um dem Kunden das Sicherheitspaket von F-Secure anzudrehen, das nach Nutzung des "Online Virenscanners" (der natürlich nichts findet) vorgeschlagen wird. Und das wäre eine absolute Frechheit. 

Das würde dann auch aber erklären, warum sie einem die ursächliche Verbindung nicht mitteilen wollen...

Mehr anzeigen