Unitymedia KBW fängt DNS-Request zu den GoogleDNS ab

[Slm0n87]

Hallo Zusammen,

Es gab hier ja schon einige Forenbeiträge in denen die KBW-DNSServer angesprochen wurden. Dabei wurde oft geraten alternative DNS-Server in die FB einzutragen. Als Beispiel wurden oft die Google-Server 8.8.8.8 und 8.8.4.4 genannt.
Ich habe gerade durch Zufall etwas sehr interessantes herausgefunden.

~$ dig http://www.google.de @8.8.8.8

; <<>> DiG 9.7.3 <<>> http://www.google.de @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34683
;; flags: qr rd ra; QUERY: 1, ANSWER: 16, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.google.de. IN A

;; ANSWER SECTION:
http://www.google.de. 300 IN A 109.193.193.45
http://www.google.de. 300 IN A 109.193.193.35
http://www.google.de. 300 IN A 109.193.193.59
http://www.google.de. 300 IN A 109.193.193.24
http://www.google.de. 300 IN A 109.193.193.30
http://www.google.de. 300 IN A 109.193.193.40
http://www.google.de. 300 IN A 109.193.193.54
http://www.google.de. 300 IN A 109.193.193.39
http://www.google.de. 300 IN A 109.193.193.49
http://www.google.de. 300 IN A 109.193.193.29
http://www.google.de. 300 IN A 109.193.193.50
http://www.google.de. 300 IN A 109.193.193.44
http://www.google.de. 300 IN A 109.193.193.55
http://www.google.de. 300 IN A 109.193.193.34
http://www.google.de. 300 IN A 109.193.193.25
http://www.google.de. 300 IN A 109.193.193.20

;; Query time: 18 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Aug 22 22:09:20 2013
;; MSG SIZE rcvd: 287

RIPE-DB:
inetnum: 109.193.0.0 - 109.193.255.255
netname: KABELBW-09
descr: Kabel Baden-Wuerttemburg GmbH & Co. KG
country: DE

In Worten: Wenn ich über meinen KBW-Anschluss an den Google-DNS eine DNS-Anfrage für google.de sende, werden mir A-Records von KBW-IPs zurückgeliefert. Ruft man diese IPs direkt im Browser auf, erscheint dann auch die Startseite von Google.
Dabei könnte es sich lediglich um einen Proxy bei KBW handeln - macht aus Sicht von KBW erstmal Sinn - immerhin dürfte Google wohl die Startseite der meisten Browser sein.

Ich habe das ganze dann etwas genauer analysiert:

- trifft scheinbar nur bei IPv4 zu
- o.g. IPs werden nur bei Requests auf eine google-Adresse aufgelöst (google.de,google.com,google.us , ohne und mit www. ...)
- o.g. IPs werden nur bei Requests zu einem Google-DNS (8.8.8.8 od. 8.8.4.4) aufgelöst
- über einen nicht-KBW-Anschluss liefern die Google-Server Google-IPs zurück (173.194.112.x)
- um einen "hänger" des DNS-Caches in meinem FB auszuschließen habe ich den Request & Response mit einem Capture auf der WAN-Seite der FB überprüft
- habe das ganze mal bei einem 2. KBW-Anschluss (ein Geschäftskunden-Anschluss) getestet - hier enthielt der Response wieder nur Google-IPs 173.194.112.x


Ich muss dazu sagen, dass ich seit einigen Wochen selbst die 8.8.8.8, 8.8.4.4 sowie die IPv6-Google DNS in der FB manuell eingetragen hatte.
Ich kann mir das ganze wirklich nur so erklären, dass KBW die Requests an die Google-DNS explizit abfangen muss, um diese auf die 109.193.193.x-Adressen umzuleiten.
Könnt Ihr das ganze an eurem Anschluss bestätigen?

 

[Slm0n87]

Es wäre noch denkbar, dass Google in Kooperation mit KBW wirklich Server bzw. eine Art von Proxy anbietet und der Google-DNS abhängig von der Source-Adresse des Requests eben diese IPs in das Reply packt. Das fände ich allerdings schon richtig heftig


Hier noch ein Beispiel:

~$ dig www.google.de @ns1.google.com

; <<>> DiG 9.7.3 <<>> www.google.de @ns1.google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28887
;; flags: qr aa rd; QUERY: 1, ANSWER: 16, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.google.de. IN A

;; ANSWER SECTION:
www.google.de. 300 IN A 129.143.66.37
www.google.de. 300 IN A 129.143.66.35
www.google.de. 300 IN A 129.143.66.16
www.google.de. 300 IN A 129.143.66.20
www.google.de. 300 IN A 129.143.66.38
www.google.de. 300 IN A 129.143.66.53
www.google.de. 300 IN A 129.143.66.59
www.google.de. 300 IN A 129.143.66.27
www.google.de. 300 IN A 129.143.66.31
www.google.de. 300 IN A 129.143.66.48
www.google.de. 300 IN A 129.143.66.46
www.google.de. 300 IN A 129.143.66.57
www.google.de. 300 IN A 129.143.66.26
www.google.de. 300 IN A 129.143.66.42
www.google.de. 300 IN A 129.143.66.49
www.google.de. 300 IN A 129.143.66.24

;; Query time: 29 msec
;; SERVER: 216.239.32.10#53(216.239.32.10)
;; WHEN: Thu Aug 22 23:10:40 2013
;; MSG SIZE rcvd: 287

inetnum: 129.143.0.0 - 129.143.255.255
netname: BELWUE
descr: Landeshochschulnetz Baden-Wuerttemberg (BelWue)
descr: Academic Network of the
descr: Federal State of Baden-Wuerttemberg
descr: Stuttgart, Germany
country: DE

Dieser IP-Range gehört laut Ripe-DB der Universitaet Stuttgart :kratz:

 

[sefix]

Also erstere Aussage kann ich für meinen Privatanschluss in Heidelberg bestätigen:

dig http://www.google.de @8.8.8.8

; <<>> DiG 9.9.2-P1 <<>> http://www.google.de @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39803
;; flags: qr rd ra; QUERY: 1, ANSWER: 16, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.google.de. IN A

;; ANSWER SECTION:
http://www.google.de. 282 IN A 109.193.193.25
http://www.google.de. 282 IN A 109.193.193.20
http://www.google.de. 282 IN A 109.193.193.35
http://www.google.de. 282 IN A 109.193.193.50
http://www.google.de. 282 IN A 109.193.193.49
http://www.google.de. 282 IN A 109.193.193.59
http://www.google.de. 282 IN A 109.193.193.30
http://www.google.de. 282 IN A 109.193.193.24
http://www.google.de. 282 IN A 109.193.193.54
http://www.google.de. 282 IN A 109.193.193.44
http://www.google.de. 282 IN A 109.193.193.45
http://www.google.de. 282 IN A 109.193.193.39
http://www.google.de. 282 IN A 109.193.193.34
http://www.google.de. 282 IN A 109.193.193.40
http://www.google.de. 282 IN A 109.193.193.55
http://www.google.de. 282 IN A 109.193.193.29

;; Query time: 90 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Mon Aug 26 21:32:30 2013
;; MSG SIZE rcvd: 298

Zweite Aussage dagegen nicht:

dig http://www.google.de @ns1.google.com

; <<>> DiG 9.9.2-P1 <<>> http://www.google.de @ns1.google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2432
;; flags: qr aa rd; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.google.de. IN A

;; ANSWER SECTION:
http://www.google.de. 300 IN A 173.194.44.24
http://www.google.de. 300 IN A 173.194.44.31
http://www.google.de. 300 IN A 173.194.44.23

;; Query time: 35 msec
;; SERVER: 216.239.32.10#53(216.239.32.10)
;; WHEN: Mon Aug 26 21:35:30 2013
;; MSG SIZE rcvd: 79

Ich finde es auch extrem seltsam, dass bei dir eine IP Adresse aus dem BelWue Netz zurück gegeben wird?! Das kann und darf doch echt nicht sein.
Kann das noch jemand, der nicht aus dem Umkreis von Heidelberg kommt bestätigen?

 

[NoGi]

[quote="Slm0n87"
In Worten: Wenn ich über meinen KBW-Anschluss an den Google-DNS eine DNS-Anfrage für google.de sende, werden mir A-Records von KBW-IPs zurückgeliefert. Ruft man diese IPs direkt im Browser auf, erscheint dann auch die Startseite von Google.
Dabei könnte es sich lediglich um einen Proxy bei KBW handeln - macht aus Sicht von KBW erstmal Sinn - immerhin dürfte Google wohl die Startseite der meisten Browser sein.

[/quote]


Gurgel einfach mal nach "google global cache"

-NoGi