Unitymedia Vodafone DNS Server leak?

[rv112]

Seit Tagen beobachte ich im Sekundentakt geblockte Anfrage auf mein WAN Interface mit Source IP 2a02:908:2:b::1. Ziel sind Adressen in meinem Prefix, die es allerdings nicht gibt. Wie es scheint muss es sich dabei um einen DNS Server von Vodafone/Unitymedia handeln. UDP Port 53 passt ebenfalls dazu.
Nicht nur dass es nervt, frage ich mich ob hier nicht etwas völlig im Argen ist?

Zur Info: ich nutze einen eigenen Resolver und überhaupt keine public DNS Server.

 

[tq1199]

... im Sekundentakt geblockte Anfrage auf mein WAN Interface mit Source IP 2a02:908:2:b::1. Ziel sind Adressen in meinem Prefix, ...

Sind das Anfragen oder doch nur Antworten (vom DNS-Server mit der IP-Adresse 2a02:908:2:b::1), generiert durch Anfrage(n) aus dem Internet mit gespoofter IP-Adresse?

 

[rv112]

Das sind Antworten. Irgendwer nutzt jedenfalls sehr gerne iTunes und Microsoft Azure. Ich bin mir aber nicht sicher ob er die IP gespooft hat. Eher scheint im LGI Netz etwas falsch zu sein. Besagte Person scheint aus Polen zu kommen.

 

[tq1199]

Das sind Antworten. ... Ich bin mir aber nicht sicher ob er die IP gespooft hat. ... Besagte Person scheint aus Polen zu kommen.

Wenn es Antworten an deinen Prefix sind, dann muss die IP gespooft sein. Wenn das nicht der Fall wäre, müsste die Antwort ja an die (nicht gespoofte) IP gehen, die die Anfrage generiert/initiiert hat.
BTW: Wie hast Du festgestellt, dass die Person aus Polen kommt?

EDIT:

Wie blockt deine FW diese unerwünschten Antworten? Werden diese verworfen oder wird der Initiator/Veranlasser informiert?

 

[addicted]

Wie lange hast Du das Präfix schon?

 

[rv112]

Puh das Prefix habe ich schon ewig. Bestimmt ein Jahr.
Die Anfragen werden gedroppt. Ich habe die IP gegoogled und bin auf ein polnisches Forum gestoßen wo jemand diese IP nutzt. Kann sich inzwischen natürlich auch geändert haben, klar.

 

[tq1199]

Ich habe die IP gegoogled ...

Welche IP meinst Du bzw. wie/wo hast Du diese IP ermittelt?

 

[rv112]

Die Ziel IP die jedoch nicht in meinem Netzwerk liegt. Ebenfalls zur DNS Server IP findet man etwas im Netz.

 

[tq1199]

Die Ziel IP die jedoch nicht in meinem Netzwerk liegt.

Das verstehe ich jetzt nicht. Wenn die Ziel IP nicht in deinem "Netzwerk" liegt, wie konnten die Datenpakete dann deine Firewall erreichen?

EDIT:

Oder meinst Du die Interface-ID dieser IPv6-Adresse? Die ist in diesem Fall aber nur "Schall und Rauch", denn das Präfix der IPv6-Adresse ist hier ausschlaggebend, so dass deine Firewall erreicht werden kann.

 

[rv112]

Das Prefix ist gleich und schlägt daher auf meinem WAN auf. Hier wird es dann verworfen weil es von dieser Adresse keine Anfrage gibt. Es ist ja nicht nur DNS, auch TCP. Diese sind dann mit SA und SAE geflagt.
Es muss also jemanden mit meinem Prefix geben.

 

[__QT__]

Puh das Prefix habe ich schon ewig. Bestimmt ein Jahr.

Ist das in BW anders als zB in Hessen? Mein Präfix hier in Hessen wechselt gefühlt irgendwie oft bzw. öfter.

 

[rv112]

Kann ich nicht sagen. So lange die DUID gleich bleibt, bleibt der Prefix. Ändere ich sie für einige Tage erhalte ich einen Andere. Ändere ich sie wieder zurück, erhalte ich wieder den Alten.

 

[tq1199]

Es muss also jemanden mit meinem Prefix geben.

Ja, es wird jemand geben, der deinen Prefix für die (seine) source-IPv6-Adresse benutzt (spooft).

 

[rv112]

Vielleicht auch ein Konfigurationsfehler?

 

[tq1199]

... ein Konfigurationsfehler?

Kann sein, ... nur dass man einen Konfigurationsfehler, durch den der die Konfiguration durchgeführt hat, auch ziemlich bald erkennen sollte.

 

[addicted]

Das Gerät würde mit den gespooften Adressen ja nicht funktionieren.

Hast Du mal in die DNS-Antworten reingeschaut?

 

[rv112]

Ja, es werden ganz normal Hosts aufgelöst, die ich aber nicht kenne.

 

[sch4kal]

Ja, es wird jemand geben, der deinen Prefix für die (seine) source-IPv6-Adresse benutzt (spooft).

Er muss die Adressen noch nichtmal spoofen, kann ja sein das der Kunde in Polen das Präfix vor rv112 hatte und es irgendwo statisch eingetragen hat, weil er sich dachte "ach, das ändert sich sowieso nie". Ich weiß nicht, ob die DHCP-Server von UM/LGI DHCP-Snooping/IP Source Guard einsetzen, um genau sowas zu verhindern.

 

[addicted]

Schon der Router darf keine Pakete annehmen, die nicht sein können.