Unitymedia Schreibt Unitymedia DNS Antworten um? Unitymedia Proxy?

[illumi241]

Hallo zusammen,

ich habe heute durch Zufall entdeckt, dass DNS Abfragen für Google.com bei IPv4 komplett auf KabelBW IPs zeigen.
Mit dem UM eigenen DNS wäre so etwas theoretisch ja einfach umsetzbar, das merkwürdige daran ist aber, ich habe bei mir die Google DNS Server eingetragen.

Zur Bestätigung habe ich einen Freund, welcher ebenfalls beim ehemaligen KabelBW ist, darum gebeten, auch den Google DNS zu befragen, die gleichen IPs. Auch bei OpenDNS und beim KabelBW DNS kommt das gleiche Ergebnis raus. Die Route zu den ausgegebenen IPs geht zudem über eine IP aus einem anderen Netz, welche ebenfalls zu KabelBW gehört, damit sollte theoretisch auch unwarscheinlicher sein, dass Google die IPs evtl gerade abgekauft hätte.

Gibt man die IPs direkt in den Browser ein, wird man auf google.com weitergeleitet, das Verhalten ist bei Google ja schonmal normal. Bei meinen Servern und auch bei nicht KabelBW / UM Kunden kommt allerdings immer eine IP Liste aus einem anderen IP Netz heraus.

Dazu zu sagen ist evtl noch, ich haben KEIN DualStack Lite, ich habe eine "echte" IPv4 mit echtem Dual Stack.

Hier einmal google.de (von meinem Router aus, RDNS direkt dahinter):

Server: 8.8.8.8
Address 1: 8.8.8.8 google-public-dns-a.google.com
Name: google.de
Address 1: 2a00:1450:400a:807::1018 zrh04s08-in-x18.1e100.net // <--- Hier ist die einzige IP, welche auf einen offiziellen Google Server zu zeigen scheint, allerdings v6
Address 2: 109.193.193.89 HSI-KBW-109-193-193-089.hsi7.kabel-badenwuerttemberg.de //auf einmal nur noch KabelBW Server?
Address 3: 109.193.193.103 HSI-KBW-109-193-193-103.hsi7.kabel-badenwuerttemberg.de
Address 4: 109.193.193.99 HSI-KBW-109-193-193-099.hsi7.kabel-badenwuerttemberg.de
Address 5: 109.193.193.88 HSI-KBW-109-193-193-088.hsi7.kabel-badenwuerttemberg.de
Address 6: 109.193.193.109 HSI-KBW-109-193-193-109.hsi7.kabel-badenwuerttemberg.de
Address 7: 109.193.193.84 HSI-KBW-109-193-193-084.hsi7.kabel-badenwuerttemberg.de
Address 8: 109.193.193.93 HSI-KBW-109-193-193-093.hsi7.kabel-badenwuerttemberg.de
Address 9: 109.193.193.118 HSI-KBW-109-193-193-118.hsi7.kabel-badenwuerttemberg.de
Address 10: 109.193.193.94 HSI-KBW-109-193-193-094.hsi7.kabel-badenwuerttemberg.de
Address 11: 109.193.193.119 HSI-KBW-109-193-193-119.hsi7.kabel-badenwuerttemberg.de
Address 12: 109.193.193.104 HSI-KBW-109-193-193-104.hsi7.kabel-badenwuerttemberg.de
Address 13: 109.193.193.123 HSI-KBW-109-193-193-123.hsi7.kabel-badenwuerttemberg.de
Address 14: 109.193.193.113 HSI-KBW-109-193-193-113.hsi7.kabel-badenwuerttemberg.de
Address 15: 109.193.193.108 HSI-KBW-109-193-193-108.hsi7.kabel-badenwuerttemberg.de
Address 16: 109.193.193.114 HSI-KBW-109-193-193-114.hsi7.kabel-badenwuerttemberg.de
Address 17: 109.193.193.98 HSI-KBW-109-193-193-098.hsi7.kabel-badenwuerttemberg.de

google.de von einem Server:

dig google.de
; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> google.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50338
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.de. IN A
;; ANSWER SECTION:
google.de. 300 IN A 173.194.113.79
google.de. 300 IN A 173.194.113.88
google.de. 300 IN A 173.194.113.87
google.de. 300 IN A 173.194.113.95

anderer Server:

dig google.de
; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> google.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60528
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;google.de. IN A
;; ANSWER SECTION:
google.de. 300 IN A 173.194.113.56
google.de. 300 IN A 173.194.113.55
google.de. 300 IN A 173.194.113.47
google.de. 300 IN A 173.194.113.63
;; Query time: 19 msec
;; SERVER: 10.255.255.3#53(10.255.255.3)
;; WHEN: Wed Nov 04 23:31:57 CET 2015
;; MSG SIZE rcvd: 91

Der RDNS einer IP lautet:

host 173.194.113.56
56.113.194.173.in-addr.arpa domain name pointer fra02s20-in-f24.1e100.net. //1e100.net ist normal für Google

Ein Traceroute zu einem der IPs, welche angeblich von 8.8.8.8 geliefert werden:

traceroute -T 109.193.193.89 //-T da normales Traceroute nur zu 95.208.210.201 durchkommt und danach geblockt wird
traceroute to 109.193.193.89 (109.193.193.89), 30 hops max, 60 byte packets 1 172.29.200.24 (172.29.200.24) 0.078 ms 0.030 ms 0.027 ms 2 vl-1995.gw-distp-a.bap.rhr.de.oneandone.net (195.20.247.34) 0.528 ms 0.731 ms 0.956 ms 3 ae-0-0.bb-a.bap.rhr.de.oneandone.net (212.227.121.164) 0.262 ms 0.478 ms 0.469 ms 4 ae-2-0.bb-a.tp.kae.de.oneandone.net (212.227.120.44) 0.753 ms 0.965 ms 0.940 ms 5 xe-1-0-1.bb-a.fra3.fra.de.oneandone.net (212.227.120.174) 3.097 ms 3.095 ms 3.071 ms 6 de-fra03a-ri1-ae-1.aorta.net (80.81.193.111) 3.348 ms 3.170 ms 3.334 ms 7 de-fra04a-rc1-ae6-0.aorta.net (84.116.133.98) 4.374 ms 4.357 ms 3.910 ms 8 de-fra04a-ri1-ae11-0.aorta.net (84.116.132.170) 3.470 ms de-fra04a-ri1-ae12-0.aorta.net (84.116.132.162) 3.431 ms de-fra04a-ri1-ae11-0.aorta.net (84.116.132.170) 3.585 ms 9 84.116.191.5 (84.116.191.5) 5.645 ms 84.116.191.1 (84.116.191.1) 5.797 ms 5.754 ms
10 HSI-KBW-095-208-210-201.hsi5.kabel-badenwuerttemberg.de (95.208.210.201) 6.381 ms 6.625 ms 6.288 ms //KabelBW Server/Router aus einem anderen IP Netz
11 HSI-KBW-109-193-193-089.hsi7.kabel-badenwuerttemberg.de (109.193.193.89) 6.958 ms 7.076 ms 6.937 ms

Traceroute von anderem Server aus:

traceroute to 109.193.193.98 (109.193.193.98), 30 hops max, 60 byte packets 1 xxxxx.clients.your-server.de (X:X:X:X) 4.441 ms 4.443 ms 4.499 ms 2 hos-tr3.juniper2.rz16.hetzner.de (213.239.223.193) 0.275 ms hos-tr4.juniper2.rz16.hetzner.de (213.239.223.225) 0.317 ms hos-tr3.juniper2.rz16.hetzner.de (213.239.223.193) 0.290 ms 3 core22.hetzner.de (213.239.245.133) 0.292 ms core21.hetzner.de (213.239.245.93) 0.305 ms 0.302 ms 4 core1.hetzner.de (213.239.245.218) 4.905 ms core1.hetzner.de (213.239.245.177) 4.914 ms 4.906 ms 5 et-4-1-0.fra28.ip4.gtt.net (77.67.76.141) 5.006 ms 5.003 ms 5.003 ms 6 xe-1-3-0.fra23.ip4.gtt.net (89.149.183.74) 4.985 ms xe-10-3-0.fra23.ip4.gtt.net (89.149.181.161) 4.988 ms xe-9-0-1.fra23.ip4.gtt.net (89.149.181.205) 16.650 ms 7 as6830.fra23.ip4.gtt.net (141.136.102.82) 5.523 ms 5.520 ms 5.562 ms 8 84.116.190.5 (84.116.190.5) 8.562 ms 8.568 ms 8.542 ms 9 de-kae01a-rd2-ae1.kae.unity-media.net (78.42.40.6) 8.396 ms 8.686 ms 8.648 ms
10 HSI-KBW-095-208-210-203.hsi5.kabel-badenwuerttemberg.de (95.208.210.203) 9.272 ms 9.437 ms 10.437 ms
11 HSI-KBW-109-193-193-098.hsi7.kabel-badenwuerttemberg.de (109.193.193.98) 9.520 ms 9.487 ms 9.554 ms

Auch die Route über Aorta sowie beim anderen Server über unity-media.net am Ende sehen stark nach Unitymedia Routing aus.

Wenn die wirklich schon anfangen, DNS Antworten zu manipulieren, wer weiß, was die sich sonst noch trauen...
Wie sieht das ganze denn bei euch aus? Macht Unitymedia hier deep package inspection und leitet/schreibt die Anfragen an google.com/de über eigene Server um? Ich finde das ganze schon leicht verdächtig...

 

[rv112]

UM betreibt einige Cacheserver. Vor allem für Youtube. In wie weit da auch Google direkt verstrickt ist weiß ich nicht. Teste doch mal andere Seiten, die nichts mit Google zu tun haben.

 

[tq1199]

... andere Seiten, die nichts mit Google zu tun haben.

Solche Seiten die mit google nichts zu tun haben, gibt es auch. Z. B.:

<i>
</i>:~$ nslookup media0.faz.net 82.212.62.62
Server:	82.212.62.62
Address:	82.212.62.62#53
Non-authoritative answer:
media0.faz.net	canonical name = media0.faz.net.akamaized.net.
media0.faz.net.akamaized.net	canonical name = a1247.g1.akamai.net.
Name:	a1247.g1.akamai.net
Address: 109.193.192.193
Name:	a1247.g1.akamai.net
Address: 109.193.192.203

<i>
</i>:~$ nslookup www.swr.de 82.212.62.62
Server:	82.212.62.62
Address:	82.212.62.62#53
Non-authoritative answer:
www.swr.de	canonical name = www.swr.de.edgesuite.net.
www.swr.de.edgesuite.net	canonical name = a1847.g.akamai.net.
Name:	a1847.g.akamai.net
Address: 109.193.192.202
Name:	a1847.g.akamai.net
Address: 109.193.192.194

<i>
</i>:~$ nslookup streams.br.de 82.212.62.62
Server:	82.212.62.62
Address:	82.212.62.62#53
Non-authoritative answer:
streams.br.de	canonical name = streams.br-online.de.edgesuite.net.
streams.br-online.de.edgesuite.net	canonical name = a1824.g.akamai.net.
Name:	a1824.g.akamai.net
Address: 109.193.192.216
Name:	a1824.g.akamai.net
Address: 109.193.192.138

<i>
</i>:~$ whois 109.193.192.216 | grep -i role
role: KabelBW IP Engineering

Das ist nichts Neues und es gibt schon Beiträge in diesem Forum in denen die Nutzung der KabelBW-DNS-Server versus andere DNS-Server (auch von UM), unter diesem Aspekt thematisiert worden ist.

Mit dem UM-DNS-Server (nicht KabelBW):

<i>
</i>:~$ nslookup streams.br.de 80.69.100.198
Server:	80.69.100.198
Address:	80.69.100.198#53
Non-authoritative answer:
streams.br.de	canonical name = streams.br-online.de.edgesuite.net.
streams.br-online.de.edgesuite.net	canonical name = a1824.g.akamai.net.
Name:	a1824.g.akamai.net
Address: 88.221.117.218
Name:	a1824.g.akamai.net
Address: 88.221.117.216

Mit dem Telekom-DNS-Server:

<i>
</i># nslookup streams.br.de
Server: 217.0.43.145
Address 1: 217.0.43.145 ul-nxr-a01.isp.t-ipnet.de
Name: streams.br.de
Address 1: 95.101.82.64 a95-101-82-64.deploy.akamaitechnologies.com
Address 2: 95.101.82.81 a95-101-82-81.deploy.akamaitechnologies.com

 

[illumi241]

Das war mir bisher nicht bekannt. Theoretisch ist ja nichts gegen Cache Proxies einzuwenden, solange sie wirklich nur Cachen, allerdings stört es mich, wenn Antworten von Unitymedia fremden DNS Servern umgeschrieben werden...
Außerdem ist es so natürlich leichter Daten abzufangen, mitzulesen oder umzuschreiben, wie sie es mit den dns Servern bereits machen.
Muss man hier für die DNS Server schon ein vpn verwenden, um an die richtigen IPs zu gelangen?
Alleine schon, dass sie überhaupt Pakete analysieren und umschreiben...
Bei ihrem eigenen dns können Sie das ja einfach umsetzen, bei fremden wie eben dem Google dns müssen sie die Pakete erst einmal anschauen und selbst umschreiben. Ich dachte bisher, dass so etwas nicht erlaubt wäre, aber evtl wurde das auch durch den Beschluss bezüglich der Netzneutralität gerade aufgehoben, weiß da jemand was genaueres?

Das ssl Zertifikat auf Google.de / com ist weiterhin von der Google CA, solange Unitymedia das nicht fälscht würde der Cache doch theoretisch nicht viel bringen oder?

Bei dem Telekom dns scheint ja eine nicht unitymedia Adresse gesendet zu werden, muss ich auch mal testen, bekomme bei jedem dns bisher nur UM Adressen für Google zumindest.

 

[tq1199]

Muss man hier für die DNS Server schon ein vpn verwenden, um an die richtigen IPs zu gelangen?

Ja. BTW: Man kann die "richtigen" IPs, auch mit einem eigenen dns-Resolver (z. B. dnsmasq mit eigener hosts-Datei) oder mit der hosts-Datei oder mit dnsspoof (eigenem MITM) nutzen.

..., aber evtl wurde das auch durch den Beschluss bezüglich der Netzneutralität gerade aufgehoben, weiß da jemand was genaueres?

Nein, denn das war schon "immer" so bei KabelBW und nicht erst seit "gerade".

Bei dem Telekom dns scheint ja eine nicht unitymedia Adresse gesendet zu werden, ...

Nein. Den Telekom-DNS-Server habe ich durch ein VPN (... zu einem Telekom-DSL-Anschluss) genutzt.

 

[illumi241]

Ok ich meine ich hätte vorher die richtigen Google Server erhalten beim Pingen von Google, benutze aber auch eigentlich immer Google DNS, die sind meist am schnellsten

 

[johnripper]

Einfach auf einem raspberry einen DNS Server aufsetzen und fertig.