Neues Verhalten der Telekom DNS Server

[shodan]

Nabend,

mir ist eben aufgefallen der die DNS Server der Telekom alle nicht existierenden Domains auf eine T-Online seite umleiteitet werden.

bei einem nslookup ist das auch sichtbar.
Ich hab dann folgendes probiert.

C:\>nslookup

> www.golllem.de
Server:  www.routerlogin.com
Address:  192.168.1.5

Nicht-autorisierende Antwort:
Name:    www.golllem.de
Addresses:  80.156.86.78
          62.157.140.133

wenn ich den als DNS Server den dns1.arcor-ip.de nehme bekomme ich normal die Antwort das es dafür keinen Eintrag gibt.

Meine Frage ist ob jemand anderes dieses verhalten bestätigen kann.

Wobei ich mir die Frage stelle warum die das machen und warum gerade jetzt und nicht schon vor Jahren?

mfg

 

[lookshe]

Bestätigen können das einige Leute im Heise-Forum:
http://www.heise.de/newsticker/foren/S-Mahnwache-gegen-Internet-Sperren/forum-157233/list/hs-32/
Einfach mal auf der letzten Seite nach den grünen Beiträgen schauen. Teilweise gibts da auch Erklärungen, warum dies eingeführt werden könnte.

 

[xeno]

ich nutz seit jahren:

145.253.2.11
145.253.2.75

sind server von arcor glaub ich, die sind wunderbar.

 

[Knoxx]

Da muss man nichts vermuten. Die Lösung steht überall (wo ma sie nicht findet *g*).

| From: T-Home-Team
| Newsgroups: t-online.info.aktuell,t-online.sonstiges,t-online.zugang.modem,t-online.zug ang.isdn,t-online.zugang.adsl,t-online.zugang.sonstiges
| Subject: Neues Leistungsmerkmal 'Navigationshilfe'
| Date: Thu, 09 Apr 2009 13:27:26 +0200
| Message-ID: <49e7db93.11899...@t-home-team.dialin.t-online.de>
|
| Sehr geehrte Kunden, liebe Teilnehmer,
|
| am 6. April ist für Nutzer unserer Zugangsplattform die sogenannte
| "Navigationshilfe" aktiviert worden. Diese führt dazu, dass bei
| eigentlich nicht auflösbaren DNS-Requests eine IP-Adresse zurückge-
| liefert wird, die einen Browser (und nur einen Browser) dazu bringt,
| anstatt die sonst fällige Fehlermeldung anzuzeigen, eine Hilfeseite
| abzurufen, die neben einem Hinweis auf die fehlerhafte Eingabe eine
| Übersicht der (zu vermutenden) relevanten Suchergebnisse und zusätzlich
| eine Suchfunktion enthält, falls die gewünschte Seite doch nicht unter
| den Verweisen zu finden ist.
|
| Der Dienst ist kostenlos und wird automatisch für alle Nutzer aktiviert.
| Sollten Sie diesen Dienst nicht wünschen, so kann er jederzeit über das
| Kundencenter deaktiviert (und später auch wieder aktiviert) werden.
|
| Die entsprechende Option findet sich im Kundencenter unter
| "Kundendaten / Navigationshilfe"; direkter Link:
|
| https://kundencenter.telekom.de/kundencenter/kundendaten/navigationshilfe
|
| Technischer Hintergrund: Bei der Einwahl ins Internet übermittelt Ihr
| Rechner bzw. Ihr Router Ihre Zugangsdaten. Diese werden von unserem
| RADIUS-Server (*) geprüft. Wenn die Prüfung erfolgreich verläuft,
| übermittelt der RADIUS-Server u.a. auch die IP-Adressen der zu
| verwendenden DNS-Server. Ist die Navigationshilfe aktiviert, werden
| DNS-Server zugewiesen, die dieses Leistungsmerkmal unterstützen; ist sie
| deaktiviert, werden herkömmliche DNS-Server zugewiesen.
[...]
| Weitere Fragen und Antworten zur Funktionsweise der Navigationshilfe
| finden Sie unter:
|
| http://navigationshilfe.t-online.de/hilfe

http://groups.google.de/group/de.co...9ab9d/80bc7fb39964d8a3?tvc=1#80bc7fb39964d8a3

//EDIT
(Link im Quote repariert)

 

[LX]

"Navigationshilfe"... auch ein schöner Euphemismus für eine Werbeschalte. Domaingrabber müssen sich immerhin noch Domains dafür registrieren... aber als ISP hat man da natürlich andere Möglichkeiten

 

[Biervampir]

Ist bei Kabel Deutschland auch.
Beim ersten mal als ich falsche Seite angegeben habe dachte ich es wäre Spyware ^^
mfg
Biervampir

 

[Chromatin]

Ob das ein Zufall ist?
http://www.heise.de/newsticker/Fuen...rtrag-zu-Kinderporno-Sperren--/meldung/136327

Vermutlich eine prima Trockenuebung.

 

[Knoxx]

Ja auf Leute, eigene DNS-Server betreiben... is schnell eingerichtet, verbraucht net viele Ressourcen und macht auch später nicht viel Arbeit...

Alternativ kann man auch freie DNS-Server verwenden, z.B.:
http://www.opendns.com/
208.67.222.222
208.67.220.220

oder

http://www.dnsadvantage.com/
156.154.70.1
156.154.71.1


Es gibt, aber noch viele weitere offene DNS-Server, die nicht zensieren und teilweise auch garnicht hier in Deutschland stehen. Einfach mal googlen.

 

[t3rr0r.bYt3]

1. Hab ich mal gelesen, dass openDNS genau den gleichen Quatsch macht (der Laden ist alles andere als "open", zudem kommerziell ausgelegt).
2. Irgendeinen foo machen sie wirklich:

dig @208.67.222.222 www.golllem.de
;; ANSWER SECTION:
www.golllem.de. 0 IN A 67.215.65.132

/edit: Die ganz harten kontern jetzt damit, dass sie ihr Routing so umbiegen, dass sie nicht mehr auf den Telekom-Werbeseiten landen

 

[Chromatin]

Ja auf Leute, eigene DNS-Server betreiben... is schnell eingerichtet, verbraucht net viele Ressourcen und macht auch später nicht viel Arbeit... Zunge raus

Was soll das bringen?

Entweder arbeitet dein DNS Server als reiner Cache, dh er holt sich alles, wofuer er keine eigenen Masterzonen hat von den Masterservern (zb Tcom).
Oder willst du komplette Zonentransfers machen und millionen Masterzonen selbst hosten und umschreiben?
Nette Idee, nur leider erlauben viele grosse TK Anbieter keine Zonentransfers von "irgendwem".
Abgesehen davon wuerdest du dadurch auch nur die "zensierten" Masterzonen erhalten.

Es gibt, aber noch viele weitere offene DNS-Server, die nicht zensieren und teilweise auch garnicht hier in Deutschland stehen.

Leider muss man sich die ziemlich aufwaendige Muehe machen, herauszubekommen wohin die zensierten Inhalte mal urspruenglich lagen. Wenn eine zensierte Site ihre DNS Masterzonen bei zb Tcom hostet, kommst du nicht sehr weit.

Alles sehr heikel, aber man sollte hoffen dasz sich mehr Leute dazu durchringen ihr DNS bei wirklich freien DNS Providern unterzubringen.

 

[Knoxx]

Naja, wenn jmd seine Domain bspw. bei Provider T. oder A. hostet, wird er wohl schnell merken, wenn seine Seite nicht mehr erreichbar ist und dann wohl auch wechseln. ^^

Somit sehe ich das Problem viel eher auf Besucherseite. Und das könnte man sehr wohl mit eigenen Domainservern umgehen. Denn man muss ja nicht einen Tcom-Server als forwarder eintragen. Ein Caching-Only-Server kann zumindest bei BIND auch so betrieben werden, dass er seine ersten Antworten direkt von den Root-Servern holt und somit erstmal garnichts mit irgendwelchen Provider-DNS-Server zu tun hat.

Und je mehr eigene Domainserver betrieben werden, desto schwerer wird das ganze zu kontrollieren und um so mehr Leute können ein unzensiertes Internet genießen.

Ich für meinen Teil werde in Zukunft einen eigenen DNS-Server betreiben und diesen auch Freunden, Bekannten, usw zur Verfügung stellen.

 

[t3rr0r.bYt3]

Ein Caching-Only-Server kann zumindest bei BIND auch so betrieben werden, dass er seine ersten Antworten direkt von den Root-Servern holt und somit erstmal garnichts mit irgendwelchen Provider-DNS-Server zu tun hat.

Womit du den 13 Root-Servern ziemlich ans Bein pisst. Was meinst du, was da los ist, wenn zuviele Leute die *direkt* diese Server benutzen?

Und je mehr eigene Domainserver betrieben werden, desto schwerer wird das ganze zu kontrollieren und um so mehr Leute können ein unzensiertes Internet genießen.

Anders gesagt: DNS ist hierarchisch aufgebaut, du darfst deinen Cache halt nur nicht unterher eines ISPs-DNS positionieren..

 

[Knoxx]

Es ist klar, dass das Domain-System hierarchisch aufgebaut ist und es somit an mindestens einer Stelle einen zentralen Knotenpunkt gibt. Aber die ISP-DNS stehen nun mal auch nicht ganz oben... *g*

Womit du den 13 Root-Servern ziemlich ans Bein pisst. Was meinst du, was da los ist, wenn zuviele Leute die *direkt* diese Server benutzen?

Naja, das ist eigentlich ein normaler Vorgang. Wenn ein Nameserver eine Domain nicht auflösen kann, frägt er in der Regel einen Root-Nameserver an, wer für diese Zone zuständig ist. Daher cachen ja auch oft Master- oder Slave-Nameserver Anfragen, damit sich diese Informationen etwas verteilen und die Root-Server entlastet werden.

 

[bivg]

Original von Chromatin
[...] man sollte hoffen dasz sich mehr Leute dazu durchringen ihr DNS bei wirklich freien DNS Providern unterzubringen.

Gibt's Vorschläge für wirklich freie DNS-Provider bzw. noch besser -Server?
Ich meine, es wird relativ schwer zu überprüfen sein, ob ein DNS-Server nicht doch irgendwo mehr "anpasst" als er eigentlich sollte, oder?

---
Edit 1: Kommasetzung berichtigt

 

[Knoxx]

Das ist ja das Problem. Letzendlich wirst du nur merken, ob dein DNS-Server zensiert, wenn du bspw. mal auf ner Seite mit diesem tollen Stoppschild landest.
Ich wüsste auf Anhieb nicht wie man so etwas kontrollieren will. Daher auch mein Aufruf, selbst DNS-Server zu betreiben oder evtl. welche zu verwenden, bei denen man davon ausgehen kann, dass sie nicht zensieren (z.B. vom CCC, FoeBuD oder auch von der GPF).
Zu OpenDNS kann ich nur sagen, dass sie zwar nicht open im Sinne von Opensource sind, aber es ist kostenlos und wird halt u.a. durch solche Werbung finanziert (wie bei der Telekom). Aber im Gegensatz zu unserem Branchenriesen scheinen sie nicht zu zensieren.

Letzen Endes ist das aber auch nicht die Lösung für alle Zensur-Probleme im Netz, sondern mehr ein Notbehelf...

 

[Chromatin]

Und das könnte man sehr wohl mit eigenen Domainservern umgehen. Denn man muss ja nicht einen Tcom-Server als forwarder eintragen. Ein Caching-Only-Server kann zumindest bei BIND auch so betrieben werden, dass er seine ersten Antworten direkt von den Root-Servern holt und somit erstmal garnichts mit irgendwelchen Provider-DNS-Server zu tun hat.

Also erstmal bekommst du von einem Root-DNS keine IP zurueckgeliefert. Der sagt dir lediglich
wer fuer die TLD zustaendig ist. Und die RootDNS sind als EINZIGE dazu authorisiert. Dh der Root sagt dir wen Du fragen musst. Dann bekommst du einen anderen Nameserver und der wiederrum sagt dir wen du fragen musst etc. Dein client fragt sich durch, bis er den nameserver gefunden hat, der die Masterzone verwaltet (bei de domains, der, den die Denic mit auflistet) und der steht eben moeglicherweise bei 1&1/arcor/tcom/woauchimmer

Ich für meinen Teil werde in Zukunft einen eigenen DNS-Server betreiben und diesen auch Freunden, Bekannten, usw zur Verfügung stellen.

Es kann nicht jeder Hans und Franz zuhause seinen eigenen DNS Server mit Masterzonen betreiben.
Dafuer gibt es bestimmte Vorgaben. Wenn Du diese Vorgaben nicht erfuellst, kannst du dich nicht als authorisierter Master fuer eine Zone eintragen lassen.

Mir scheint, die fehlt das grundsaetzliche Verstaendnis zu DNS.

Und je mehr eigene Domainserver betrieben werden, desto schwerer wird das ganze zu kontrollieren und um so mehr Leute können ein unzensiertes Internet genießen.

Das ist im Prinzip richtig. Und hier zeigen uns auch wieder mal die Hacker wie es geht (Botnetze, flux und fast flux networks, p2p Netze etc..)
Es gibt unmengen von kleinen Providern, besonders in grossen Staedten, da hat man praktisch freie Auswahl. Fuer seine eigenen Domains kann man ebenso sein DNS bei kleineren Providern machen lassen.

Man kann sich zb ueber internetX.de seine Domains mieten und als DNS Server eintragen was man will.
Inwieweit man sich da Gesetzeskonform verhaelt ist eine andere Sache, aber wer heutzutage auf seiner Freiheit in diesen Dingen besteht, MUSS sich zwangsweise darueber hinwegsetzen.

Insofern ist das mein Aufruf zum zivilen Ungehorsam

Im uebrigen gibt es viele interessante Projekte in Richtung Darknets und, gestern im Habo gesehen, zB: http://dn42.net/trac/.

Es gibt Moeglichkeiten, man muss sich nur beteiligen und nicht nur drueber labern.

 

[Knoxx]

@Chromatin:

Du hast mich scheinbar falsch verstanden. Ich habe nicht gemeint, dass jeder zuhause einen Master-DNS-Server betreiben sollte, sondern eher einen Caching-Only-Nameserver mit einer festen IP. Wieviele haben denn privat einen Root-Server gemietet, auf dem noch ein paar Ressourcen frei wären? Evtl. können sich auch verschiedene Leute zusammenschließen und einen kleinen vServer mieten, usw...

Einfach BIND installieren, die named.conf anpassen:

options { 
   directory "/var/named";
};

zone "." {
   tyep hint;
   file "named.ca";
};

zone "0.0.127.in-addr.arpa" {
    type master;
    file "named.local";
};

Nun kann man noch die named.ca vom FTP von InterNIC beziehen und die Zonendatei für localhost erstellen.
Am Schluß den named-Prozess neu laden und schon sollte man einen funktionsfähigen Caching-Nameserver haben (zumindest theoretisch, habs das so nun net getestet *g*).

Mit dieser Config werden erstmal alle Anfragen an die Root-Server weitergeleitet und dann hangelt er sich, wie du sagst, durch zum authoritativen Nameserver für die jeweilige Domain. Somit ist auf dieser Seite die Zensur durch die Provider umgangen.

Und mal ehrlich, wenn du deine Domain bei Arcor, Telekom, 1&1, whatever hosten würdest und sie auf einmal nicht mehr erreichbar wäre... was würdest du machen? Sie doch wohl zu einem anderen Provider mit anderen Nameservern transferieren. Und damit wären die Provider-DNS auch wieder aus dem Spiel.

Oder denkst du, dass andere Anbieter (bspw Hetzner, Strato, S4Y, usw) ihre Nameserver so konfiguriert haben, dass sie Anfragen an die Nameserver der ISPs weiterleiten? Ich weiß es zwar nicht, aber es würde mich doch schon etwas wundern.

Solange also die Zensur nur bei den Providern ansetzt, lässt sie sich doch recht einfach umgehen. Wenn sie bei den TLD-Nameservern der DENIC ansetzen, müssen wir halt andere Wege beschreiten.

Und nein, ich glaub, ich hab begriffen wie das DNS aufgebaut ist und auch funktioniert.^^

Gruß Knoxx

 

[enkore]

Dann müssen wir nunmal zusammenlegen für ein eigenes Rechenzentrum, dass dann .ge (GErmany) verwaltet^^

 

[Chromatin]

Du hast mich scheinbar falsch verstanden.

Ja, scheint so.

Mit dieser Config werden erstmal alle Anfragen an die Root-Server weitergeleitet und dann hangelt er sich, wie du sagst, durch zum authoritativen Nameserver für die jeweilige Domain. Somit ist auf dieser Seite die Zensur durch die Provider umgangen.

Damit loest Du das Problem nicht wenn eine nicht gewollte Seite bei einem DNS Provider liegt, der diesen Unfug mitmacht. Und wenn DER am DNS fummelt, dann muesstest du wissen wo der urspruengliche Eintrag hinzeigte, das meinte ich

Sofern beispielsweise das Tcom DNS ebenfalls als Cache arbeiten (fuer eine bestimmte Domain), hast du natuerlich Recht.

Problematisch koennte u.U. noch das abfragen von DNS Master werden, wenn man eigene Benutzt und die nur Anfragen aus bestimmten (eigenen) Netzen zulassen.