Wie kann ich feststellen ob bei mir ein DNS-Rebind aktiv ist.

[Gemelon]

Seit einiger Zeit kann ich viele Internetseiten und auch meine internen Geräte nicht mehr erreichen. Ich bin jetzt nach wochenlanger suche dahin gekommen, dass ich annehme, das ich Opfer einer DNS-Rebind Attacke geworden bin. Das äußert sich so: interne IP Adressen wie z.B 192.168.178.78 ergeben im Browser die Fehlermeldung "Die Website ist nicht erreichbar". Wenn ich mit tracert die Adresse verfolge dann geht die Route über jede menge ausländischer Server Adressen nur nicht zum eigentlichen internen Ziel. Das selbe verhalten ist auch bei externen Webadressen. Das ganze ging schleichend. Zuerst gingen nur ein paar wenige Seiten und Adressen nicht und es sind dann immer mehr geworden die nicht mehr erreichbar waren. Adressen die ich noch nie zuvor verwendet habe wie z.B. die "forum.heimnetz.de" gehen zunächst noch, aber ich bin sicher morgen ist die auch nicht mehr erreichbar.
Wie kann ich nun feststellen wo diese Umleitung der Adressen stattfindet, im Rechner, im Router oder sonst wo im Netzwerk? Wie kann ich das finden und dann auch entfernen. Es scheint nicht direkt am Rechner zu hängen, da ich Windows komplett neu installiert habe und der Fehler sofort wieder da ist, auch ein anderer Browser löst das Problem nicht.

 

[blurrrr]

Hi,

prüf mal folgende Dinge:

a) DNS-Server von Deinem Client
b) DNS-Server von Deinem Router
c) Proxy-Einstellungen auf dem Client
d) VPN-Software
e) AV-Produkte

zu....
a) Windows-Eingabeaufforderung: ipconfig /all | find "DNS-Server" (auf die Groß- und Kleinschreibung achten)
b) Nachzuschauen im Router-Webinterface, vermutlich bei den Interneteinstellungen. Gemeint ist hier nicht, was der Router an die Clients verteilt (das kannst Du aber auch ruhig nochmal prüfen), sondern welche DNS-Server der Router im Internet befragt (meist vorgegeben durch den Provider).
c) Abhängig vom verwendeten Betriebssystem, unter Windows 10 z.B. unter Einstellungen/Netzwerk und Internet/Proxy
d) Müsstest Du selbst wissen, ggf. nutzt Du irgendwo eine VPN-Software (ggf. zur vermeintlichen Anonymisierung), wobei dann sämtlicher Verkehr durch den VPN-Tunnel geschickt wird.
e) Sowas wie bei Punkt d "kann" (muss aber nicht!) auch durch eine Antivirus-"Internet-Security-Suite" kommen (supertolle High-ecurity-Features und so, weisst schon.... ).

Damit hättest Du jetzt erstmal eine Reihe von Punkten, welche Du abarbeiten kannst. Mitunter hast Du auch einfach irgendeine Schadsoftware auf dem Rechner, welche dafür sorgt, dass die Dinge derzeit so laufen, wie sie laufen. In diesem Fall wäre es ratsam, mal von einer Linux-Live-CD zu booten und das System komplett überprüfen zu lassen (z.B. Bitdefender). Schadsoftware kann sich aber z.B. auch im BIOS einnisten, dann wären die Probleme nochmal ganz andere.

---

Wie kann ich nun feststellen wo diese Umleitung der Adressen stattfindet, im Rechner, im Router oder sonst wo im Netzwerk?

Anhaltspunkt 1 ist immer DNS. Das Netzwerk/Internet funktioniert nur via "IP". Weil wir uns die ganzen Adressen nicht merken können, gibt es DNS (Name <-> IP). Es gibt ein paar Einträge, welche sich definitiv nicht so schnell ändern werden. Dazu gehören z.B. die IPs von "dns.google" (nslookup dns.google), die Zahlen kennt man halt (IPv4 und IPv6). Ebenso verhält sich sich mit einigen Websites (wie dieser hier z.B.). Der Punkt ist, es sollte "immer das gleiche Ergebnis" dabei rauskommen (wenn man mal von Migrationen absieht).

Ist das nicht der Fall, liegt das Problem sicherlich beim DNS. Wenn Dein Rechner einfach nur Deinen Router fragt (und das auch sichergestellt ist, dass es so ist!), bleibt in erster Linie noch der Router, denn der weiss selbst auch nix und muss wiederum im Internet nachfragen. Frage wäre hier: Wen fragt er? Fragt er DNS-Server, welche er vom Provider zugewiesen bekommen hat? Fragt er z.B. Google-DNS-Server, oder fragt er ganz woanders nach?

Check das o.g. einfach mal komplett durch, Du wirst der Sache schon sicherlich auf die Spur kommen

 

[Gemelon]

DNS-Server Adressen vom Rechner verweisen alle auf die Fritzbox, da ist nichts fremdes dabei.
DNS-Server in der Fritzbox habe ich selbst festgelegt auf digitalcourage.de und dns.digitale-gesellschaft.ch mit verschlüsselter Namensauflösung. Fallback auf unverschlüsselte Namensauflösung hab ich deaktiviert. Leider gehört dns-leak.com zu den Seiten die ich nicht anzeigen kann und daher habe ich keine Ahnung wo die Anfrage wirklich hin geht.
Proxy habe ich keinen eingerichtet. VPN ist im Moment keiner aktiv.
Übrigens: dieses Verhalten haben alle Rechner und Tablets im Netzwerk. Sobald ich mit einem der Geräte in einem fremden Netzwerk, z.B. bei einem Freund bin ist alles normal.
Mir ist gerade aufgefallen dass die IPv6 davon noch nicht betroffen sind. Das Gerät dass ich mit der 192.168.178.78 nicht erreichen kann ist per [2003:d2:3f2d:4700:d227:24ff:fe01:6840] zu erreichen. NOCH

 

[Barungar]

Ich möchte erst einmal nur anmerken, dass 192.168.x.x "private IPs" sind, die dürften gar nicht im Internet geroutet werden.
Allein da ist schon was faul. Die Frage, die ich mir hier stelle, die FritzBox müsste es schon verhindern und wenn nicht die, dann das erste Gateway beim Provider!

 

[Gemelon]

Ja, das habe ich auch gedacht, aber tatsächlich versucht es der Rechner erst mal im Internet. Bisher dachte ich das geht gar nicht und das macht der Rechner mit allen Privaten IPs. Es werden wild durcheinander alle möglichen IPs und URLs angefunkt.
Das sieht dann so aus:

  1    20 ms    15 ms    16 ms  ip-164-90-213-136.lazerpenguin.com [164.90.213.136]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3    17 ms    15 ms    16 ms  10.68.131.27
  4    18 ms    28 ms    19 ms  138.197.249.52
  5    26 ms    15 ms    16 ms  143.244.192.106
  6    17 ms    18 ms    17 ms  143.244.224.116
  7     *        *        *     Zeitüberschreitung der Anforderung.
  8     *        *        *     Zeitüberschreitung der Anforderung.
  9     *        *        *     Zeitüberschreitung der Anforderung.
 10     *        *        *     Zeitüberschreitung der Anforderung.
 11     *        *        *     Zeitüberschreitung der Anforderung.
 12     *        *        *     Zeitüberschreitung der Anforderung.
 13     *        *        *     Zeitüberschreitung der Anforderung.
 14     *        *        *     Zeitüberschreitung der Anforderung.
 15     *        *        *     Zeitüberschreitung der Anforderung.

Das ist die Antwort auf "tracert 192.168.178.78"
Sollte eigentlich gar nicht möglich sein.

 

[blurrrr]

Der erste Hop sollte Dein lokaler Router sein und nicht irgendein vServer bei DigitalOcean. Insofern kannst Du mal getrost davon ausgehen, dass irgendeine (lokal installierte) Software Deine Pakete durch einen Tunnel direkt woanders hinschickt.

EDIT: Es taucht immer wieder mal "tunnelbear" als Software auf in Bezug auf die Domain.

 

[Barungar]

Bei welchem Provider bist Du?! Dein erster Hop ist Digital Ocean, LLC in USA??

Edit: @blurrrr war einen Moment schneller.

 

[Gemelon]

Provider ist Telekom.
Die Frage ist, wie finde ich den Ausgangspunkt dieser Geschichte. Das Problem ist ja an allen Rechnern im Netzwerk und zwar sofort. Sobald ich mit einem neu installierten Windows den Browser starte ist es schon vorbei. Der Rechner muss sich scheinbar im super Blitz verfahren die Schadsoftware ziehen und ausführen. Allerdings habe ich bisher das Problem noch nicht in einem fremden Netzwerk beobachtet. Das bedeutet, der Teufel sitzt irgendwo in meinem Netzwerk. Da ich das schon ganz früh vermutet hatte, habe ich schon mehrere mal meine Fritzbox Komplet auf werkszustand zurück gesetzt. Ich habe auch schon zwei unterschiedliche andere Fritzboxen angeschlossen, darunter auch eine sehr alte. Der Fehler ist sofort da. Ohne irgendeine Verzögerung. Ich hatte die Fritzbox auch schon ca. 12 Stunden ausgeschaltet und den DSL Stecker abgezogen. Ich habe keine Ahnung wie ich den Verursacher finden kann.

 

[blurrrr]

Hast Du denn nach der Neuinstallation von Windows irgendwas an Software nachinstalliert? Handelt es sich bei dem Windows-Installationsdatenträger um ein originales Windows-Medium (oder auf diesem Wege selbst erstellt)?

 

[Barungar]

Zur Schadsoftware-Theorie passt aber in meinen Augen nicht, dass Tablets (Android oder iOS) und Windows-Systeme betroffen sind...
Ich kenne jetzt so spontan keine Schadsoftware, die so direkt auf allen läuft bzw. sich über alle verbreitet.

In meinem gedanklichen Szenario ist eher ein "böses" Gerät im Netzwerk, dass sich mittels ARP-Poisoning allen IPv4-Datenverkehr schnappt und durch einen VPN-Tunnel zu dem 1. Hop-Server leitet.

Was hast Du denn alles so an Geräten im Netzwerk?

Du könntest mal versuchen ALLE Geräte vom Netz der FritzBox zu trennen und nur ein Gerät - dem Du am meisten vertraust - mit der FritzBox zu verbinden. Wenn sich das Gerät dann normal verhält, nimmst Du sukzessive andere Geräte wieder ins Netz. Und prüfst wieder auf dem ersten Gerät, ob noch alles geht.

Wenn es dann "kippt"; muss das letzte "neue" Gerät der Bösewicht sein.

P.S.: Ich würde mit Wireshark dem ARP-Verkehr nachgehen als erstes, aber ich kenne Deinen Skill nicht, daher dachte ich das Netzwerk (LAN+WLAN) auf die FritzBox und ein Gerät zu reduzieren, ist am praktikabelsten.

 

[blurrrr]

Zur Schadsoftware-Theorie passt aber in meinen Augen nicht, dass Tablets (Android oder iOS) und Windows-Systeme betroffen sind...

Übrigens: dieses Verhalten haben alle Rechner und Tablets im Netzwerk. Sobald ich mit einem der Geräte in einem fremden Netzwerk, z.B. bei einem Freund bin ist alles normal.

Simma wieder bei "Wer lesen kann, ist klar im Vorteil...", danke für den Hinweis...

 

[Barungar]

Ahja, und wenn Du bei einem Freund bist ist alles normal... auch das sagt mir, dass Deine Clients eher nicht verseucht sind... sondern irgendwas in Deinem Netzwerk krummläuft. Da Du die FritzBox schon mehrfach Werksresettet hast, halte ich die Stelle auch für weniger verdächtig.

Ich habe versucht mir zu überlegen, in welchem Szenario kann ich Deine Symptome erzeugen. Wir haben heterogene Geräte, die bei IPv4 als ersten Hop einen Server in USA haben. IPv6 ist nicht betroffen. Da der erste Hop ein Server in USA ist, muss es eine Tunnellösung sein. Das Phänomen besteht aber nur bei Dir, nicht wenn Du in fremden Netzen bist. Wenn also der Datenverkehr, inklusive des eigentlich lokalen Verkehrs, über einen Tunnel läuft, der nicht auf dem Client selbst ist, fällt mir ARP-Poisoning ein. Der einfachte Weg für eine "lokale Man-in-the-middle" Attacke.

 

[blurrrr]

Zähl mal bitte Deine vorhandenen Gerätschaften auf, u.a. mit besonderem Augenmerk auf das, was direkt von aussen erreichbar ist (ohne VPN-Einwahl ins heimische Netzwerk).

 

[Gemelon]

Jetzt habe ich eine weile nicht geantwortet da ich durch die Bemerkungen von blurrrr und Barungar, eine neue Idee gehabt habe, die ich sofort ausprobiert habe.
Es stellte sich heraus das ich tatsächlich ein "bad device" in meinem Netzwerk habe.
Ich habe zunächst alle Geräte die man ausschalten kann, ausgeschaltet. Ich habe Wlan abgeschaltet und das Lankabel aus der Fritzbox rausgezogen. Dann habe ich nach und nach die Geräte wieder verbunden. Zunächst ein Laptop direkt mit der Fritzbox via Lan verbunden und da ging es noch. Dann habe ich das Laptop über den Switch verbunden und da ging es auch noch. Nach dem ich alle Lan Geräte wieder am Switch angeschlossen hatte ging auch noch alles. Dann habe ich WLan wider eingeschaltet und sofort ging es nicht mehr. Leider habe ich ein paar Sachen an die schwer ran zu kommen war nicht ausgeschaltet. Jetzt musste ich mich doch hinter den Kühlschrank Quälen und dies ausschalten und siehe da, das Netzwerk funktioniert wieder. Leider habe ich dabei 2 Geräte gleichzeitig ausgeschaltet und somit weiß ich jetzt nicht welches von beiden der Übeltäter war. Nach dem ich beides wider eingesteckt hatte ging alles ganz normal. Ich bin aber noch nicht hundert Prozent sicher ob das jetzt dauerhaft ist. Das werde ich beobachten müssen.
Jetz weiß ich aber in welcher Gegend ich beim nächsten mal suchen muss.
Wir haben den Verursacher zumindest schon mal sehr eng eingekreist.
Das zeigt, dass es möglich ist in ein netzwerk einen Man-in-the-middle einzuschleusen der sich nicht zwangsläufig auf einem PC befinden, was ich eigentlich am ehesten erwartet hätte.
Die beiden Geräte die noch in frage kommen sind einmal ein Amazon Fire-Stick und einmal ein tp-link TL-WA850RE range extender.
Danke für die Hilfe!

 

[Helmut-H]

Hi,

"tp-link TL-WA850RE range extender"
Schau mal nach ob da nicht ein DHCP-Server aktiv ist.

 

[Gemelon]

DHCP war auf Automatik, habe ich jetzt auf aus.