Vor einigen Wochen berichtete ich, dass es Probleme für Nutzer einer AVM-FRITZ!Box, die versuchen, aus dem Heimnetzwerk auf die Verwaltungsoberfläche des Routers zuzugreifen, Probleme gibt. Die Werte bei Eingabe der URL fritz.box auf eine externe Webseite umgeleitet. Damals war es nur eine harmlose Webseite – jetzt hat mich ein Leser informiert, dass es wohl Stress gebe.
Anzeige
Der alte Fall
Nutzer einer AVM-FRITZ!Box, die versuchen, aus dem Heimnetzwerk auf die Verwaltungsoberfläche des Routers zuzugreifen, landen bei Eingabe der URL fritz.box nicht auf der Anmeldeseite der FRITZ!Box, sondern werden auf eine externe Webseite umgeleitet. Zwei Nutzer hatten mich auf das Problem hingewiesen, wobei ein Nutzer einen Hack vermutete. Ursache ist eine Verkettung zweier Sachverhalte, die dieses Verhalten provozieren. Jemand hat eine Domain fritz.box registriert und DNS-Server von Google lösen dann auf diese Seite auf. Abhilfe schafft die Eingabe der IP-Adresse der FRITZ!Box oder die Verwendung eines anderen DNS-Servers. Ich hatte dies im Blog-Beitrag FRITZ!Box-Problem: Eingabe der URL fritz.box leitet plötzlich auf externe Seite um aufgegriffen.
Gibt es nun Stress?
Gerade hat mich Blog-Leser Christian per Mail kontaktiert und schreibt, dass das Thema seit dem 5. März 2024 aus seiner Sicht brisant geworden sei. Denn die Fritzbox als DNS löst nun selbst die vermutlich häufiger genutzte Subdomain server.fritz.box eines lokal betriebenen Servers mit dem Namen 'server' im Internet auf und gibt die IP Adresse 54.39.222.96 zurück.
PCs, die sich via SMB mit diesem Server verbinden wollen, senden ihren Anmelde-Hash nun zu dieser IP. Zum einen können Sie damit nicht mehr auf den lokalen Server zugreifen. Zum anderen übertragen Sie evtl. einen NTLM Hash an einen bösen, externen Angreifer.
Anzeige
Das Thema wird inzwischen auch auf reddit.com diskutiert. Christian schreibt in einem Nachtrag: "Problem ist hier, dass das eben in 'Standardeinstellung' passiert. Hierfür wird ein PC + ein Server an eine Fritzbox geklemmt. Den Server benannt man 'server' und erstellt eine Freigabe. Mit dem PC greift man auf \\server zu."
Dann läuft das in Standardkonfiguration nicht mehr auf die lokale IP im Netz 192.168.178.XX, sondern zur besagten IP-Adresse. Das Thema dürfte daher heute nach dem Hochfahren diverser PCs sehr häufig auftreten. PCs, die sich via SMB mit diesem Server verbinden wollen, senden ihren Anmelde-Hash nun zu dieser IP. Zum einen können Sie damit nicht mehr auf den lokalen Server zugreifen. Zum anderen übertragen Sie evtl. einen NTLM Hash an einen bösen, externen Angreifer.
Bin bin gleich für einige Tage offline und nur sporadisch im Internet. Zumindest ist die Info hier schon mal verfügbar.
Ähnliche Artikel:
Fritz.box: Domain fällt an AVM zurück, Probleme mit Windows Update?
Anzeige
lässt sich doch problemlos mit nem Eintrag in die Hostdatei lösen und das Problem ist doch schon seit Jahren bekannt, wer damals also reagiert hat, hat heute keine Probleme.
Dazu braucht es keinerlei Klimmzüge.
War halt ne unglückliche Wahl von AVM.
Eine Fritzbox steht in Millionen von Haushalten und ich vermute mal ins Blaue, dass 95 % der dort lebenden Menschen noch niemals von einer Hostsdatei gehört haben. AVM hätte das Problem in den letzten Wochen schon längst mit einem Update benuzerfreundlich lösen sollen.
@jack68
Richtig, Fritz ist die Box der Wahl, aber wer keine Ahnung hat, was eine Host-Datei ist und was man damit macht (die 95%), der betreibt auch keinen Server.
Und wenn doch, lernt er jetzt was.
Ist doch auch gut…….
tja wie machst du das mit der Hosts Datei auf deinem Smart Phone?
Das geht mit der "Blokada"-App auch ohne root.
@jack68 und @wolfgang
Die Idee mit dem Update ist auch so eine Sache.. immerhin verweist obiger reddit link auf die 7360 die schon völlig veraltet ist und keine Updates erhält. Ich will nicht wissen, in wievielen Haushalten noch so ein altes Ding steht, weil sie halt einfach noch "funktioniert"…
Diejenigen oder zumindest der Großteil dürften auch mit Host-Dateien und ähnlichen Dingen nichts anfangen können.
Hinzu kommt das diverse Programme darunter auch Browser gerne in der Default Einstellung am System DNS vorbei gehen und da meine ich noch nicht mal DOH oder sowas. (Ist jetzt für das NTLM Hash Beispiel nicht so wichtig aber ein ungutes Gefühl bleibt da schon.)
naja die 95% betreiben auch keinen Server, werden wahrscheinlich auch nie in ihrem Leben auf fritz.box zugreifen die haben sich das einmal einstellen lassen und das wars, da wird die Fritte nie mehr angerührt außer sie ist kaputt!
Nicht nur Google, sondern auch Quad9 (9.9.9.9) und CLoudflare (1.1.1.1) lösen "server.fritz.box" mit 2607:5300:60:408a::96 bzw. 54.39.222.96 (OVH) auf.
SMB ins Internet sollte die Fritzbox per default unterdrücken.
Ping wird ausgeführt für fritz.box [54.39.222.96] mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
das Gleiche für server.fritz.box
Server: nas01.glr.local
Address: 10.42.1.5
Nicht autorisierende Antwort:
Name: fritz.box
Addresses: 2607:5300:60:408a::96
54.39.222.96
Das einfachste wäre, AVM ändert die DNS-Einstellungen der Fritz!Box so, dass defaultmäßig alles mit "fritz.box" nicht mehr extern aufgelöst wird, es sei denn, man hat
[X] fritz.box extern auflösen
in den Einstellungen seiner Fritz!Box aktiviert
Dafür müsste es halt ein Update für ALLE Boxen geben, auch welche die seit vielen Jahren aus dem Support gefallen sind und dann müssen es auch ALLE einspielen (können). Das wird nicht passieren.
Warum AVM sich damals nicht eine Domäne genommen hat worauf sie selbst Zugriff hätten verstehe ich bis heute nicht.
AVM hat sich damals eine nicht existierende TLD ausgedacht. Andere Routerhersteller (z.B. speedbox.ip) fühlten sich damit ebenfalls auf der sicheren Seite. Auch Microsoft hat für seine SBS seinerzeit *.local. vorgegeben. Als vor einigen Jahren *.box. offizielle TLD wurde, hat AVM allerdings gepennt. Da hätten sie fritz.box. sofort kaufen müssen.
AVM wurde damals von Dritten darüber zeitnah informiert, das die Domain von einem Bekannten Domain grabber registriert worden ist.
AVM hat geantwortet, dass man sich kümmern würde.
Sie hätten die Domain für kleines Geld auf Aufwandsentschädigung von dem Grabberg kaufen können. Der will ja Geschäfte machen und nicht unnötig Domains sammeln.
Warum AVM die Belohnung nicht gezahlt hat ?
server.fritz.box ist nichts neues.
Das ist der Hosts Name für den Server,der sich bei fritz.box meldet.
manchmal Frage ich mich, wo das mit unsere Jugend noch führen soll :-)
> Da hätten sie fritz.box. sofort kaufen müssen.
Da hätten sie aber fritz.box nicht kaufen können, weil Registrierungen von .box-Domains erst ab Mite Januar 2024 möglich sind. (Obwohl die TLD .box schon 2016 oder 2017 eingeführt wurde)
Stimmt, Das war ein Gerangel darüber wer die Gelddruckerei betreiben darf
Aber man konnte solche TLDs sperren lassen, wenn ich das richtig sehe.
AVM hat ja schon damals gesagt, das sie sich kümmern…
Generell kann man dem Rat folgen:
Nur Domains benutzen, die einem gehören, oder TLDs die tatsächlich frei gehalten werden.
(aber das kann sich auch ändern. Da ist die eigene Domain wirklich besser, zumal heute jedes Unternehmen eine haben dürfte.
Vermutlich weil das Marketing das so wollte, denn bei einer FritzBox ist die URL Fritz.Box halt einfach "cool".
Ist halt wie immer wenn Hilfsabteilungen mehr zu sagen haben als die eigentlich Produktive Entwicklung und die zweite Hilfsabteilung namens Finanzen hat es sicherlich abgelehnt, das die Produktivabteilung Entwicklung Ressourcen in das Betriebssystem steckt um dann Probleme wie oben auzuschließen. Wer konnte auch ahnen das Anwender selbst an den DNS Einstellungen "rumpfuschen" und dort Google oder sonstwas eintragen oder das es sich gar Browser Entwickler (Firefox) herausnehmen und gleich mal im Browser selbst per Default einfach "bessere" DNS Server benutzen.
Hier ist gleich alles falsch:
– AVM hätte bei der Methode "Voreingestellte IP" bleiben sollen
– Google soll Suchmaschinen betreiben und keine öffentlichen DNS Server – das macht der bereits der eigene Provider und zur Not die Root-Server
– Mozilla soll gefälligst das nehmen was das Betriebssystem sagt und nichts anderes. Und schon gar nicht DNS über HTTPS tunneln. Wird schon seinen Grund haben, wenn Clients grundsätzlich nicht per DNS raus ins Internet dürfen sondern nur die internen DNS-Server erreichen können.
Kranke Welt, aber so isses halt.
Eine Schnittstelle zur großen, weiten Welt der bits und bytes, bei der ich nicht selbst bestimmen kann, welcher Maschine ich die Auflösung eines Namens in die dazugehörige IP-Adresse ich anvertrauen will, schafft sich selbst ab. Staatliche Regulierung findet statt; sogar in einem Land wie Deutschland. Wenn mich der Hersteller einer Hardware per Definition zwingt, mich der Zensur (ungeachtet der Rechtslage) des Staates zu beugen, in dem ich mich befinde, dann hat dieser Hersteller mich als Kunden prompt verloren. Klingt komisch, ist aber so.
Das sollte doch schon immer so sein? Ich könnte mir vorstellen, dass der Hinweisgeber nicht die Fritzbox als DNS nimmt.
Bei mir kommt beim Versuch server.fritz.box zu pingen nur die Meldung:
"Ping-Anforderung konnte Host "server.fritz.box" nicht finden"
Kann ich so auf unserer 7590 FW 7.57 an einem Vodafone DSL nicht nachvollziehen. Als DNS ist primär 1.1.1.1 und sekundär 8.8.8.8 auf der FB eingetragen. Ein Ping auf ein Gerät in der Domain .fritz.box wird sauber aufgelöst und liefert die erwartet Adresse. Der Lokale PC hat als DNS die Adresse der FB eingetragen.
Damit das Szenario aus dem Artikel passiert muss noch irgend etwas anderes konfiguriert sein. Bei mir ist soweit alles Standard bis auf die DNS Server Einstellung, die nicht zu den Vodafone DNS zeig.
Diese Beobachtung kann ich bestätigen.
DNS Einstellung in der FB:
IPv4 1.1.1.1 und 1.0.0.1
IPv6 2606:4700:4700::1111 und 2606:4700:4700::1001
DOT ist aktiv mit:
one.one.one.one
1dot1dot1dot1.cloudflare-dns.com
Auf den Clients im Netzwerk ist die FB der DNS Server.
Keine Probleme mit dieser Konfiguration.
Die beschriebene DNS Auflösung auf dem Client bringt die Meldung:
*** fritz.box can't find server.fritz.box: Non-existent domain
FB 7530AX FW 7.8
Die beschriebene DNS Auflösung auf dem Client bringt die Meldung:
*** fritz.box can't find server.fritz.box: Non-existent domain
FB 7530AX FW 7.8
vielleicht sucht die Fritzbox in dieser Version schon nicht mehr bei andere. DNS.
Auch muss man aufpassen:
"fritz.box" löst Windows per LAN Broadcast auf.
"server.fritz.box" geht nur per DNS.
> Damit das Szenario aus dem Artikel passiert muss noch irgend etwas anderes konfiguriert sein
Dein DNS ist im Gegensatz zu 99.9% der sonstigen FritzBox Nutzer manuell vom Standard abweichend verstellt.
Was könnte es jetzt nur sein, das bei den sonstigen FritzBox Nutzern anders konfiguriert ist? Komme nicht drauf.
Da liegst Du falsch. Ich habe lediglich den vom Provider zugewiesenen DNS durch einen eigenen innerhalb der FritzBox geändert. Das ist völlig egal.
Nach lesen einiger Artikel kann es in dem oben beschrieben Fall nur so sein, das der User auf seinem Client PC den DNS nicht vie DHCP von der FB bezieht oder ihn manell auf die IP der Box eingestellt hat. Er wird am Client selber einen anderen DNS eingetragen haben und umgeht so die Auflösung von .fritz.box durch die FB. Er befragt also das Internet direkt und bekommt dann natürlich die für ihn falsche Antwort. Nur so macht das Sinn.
Solange man als unbedarfter Nutzer seinen PC per DHCP an die FB hängt sollte rein gar nichts passieren. Hier agiert die FB als DNS Proxy und antwortet selber auf alles was .fritz.box heißt.
Wer das Internet direkt befragt hat allerdings das eingangs beschriebene Problem. Allerdings frage ich mich warum man in kleinen Heimnetzen solche Verrenkungen macht. Hier schadet der Spieltrieb als er nutzt. Wer seine Provider DNS nicht nutzen will (z.B. wegen verordneter Sperren) kann den gewünschten DNS in die FB eintragen und muss am Client überhaupt nichts ändern.
Das, was Du schreibst, ist auch mein Verständnis bzw. der Punkt, den ich an der Diskussion hier nicht verstehe.
Wenn ich "fritz.box" in meinen Browser eingebe, lande ich nach wie vor auf der Fritzbox. Und sollte ich den Fritzbox-DNS-Proxy umgehen und "fritz.box" eingeben, würde ich erwarten, nicht auf die Fritzbox zu kommen, sondern eben auf eine externe Webseite, die sich fritz.box nennt. Logisch.
Also was wird hier eigentlich diskutiert?
Genauso so.
ich habe auf meinem Handy auch einen "Alternativen DNS" eingetragen.
Und so fragt es nicht bei der Fritzbox nach, sondern bei 8.8.8.8 oder 9.9.9.9.
Und die können nichts anderes liefern als die 54.
Wenn im DNS cache von Windows nichts für server.fritz.box steht, dann Versucht Windows natürlich nicht zuerst den DNS sondern wirft eine Anfrage ins lokale Netz.
Und das funktioniert dann wie erwartet.
Vermutlich deshalb sah AVM keine Notwendigkeit sich die Domain zu registrieren.
(oben im Beispiel wird der Ping aber gegen die 54 gemacht. Das liegt daran, das der Wert bereits im DNS cache des benutzten System vorhanden war.
Der Broadcast ist übrigens auch der normale Weg für das LAN Protokoll SMB einen Server zu finden.
Man kann das aber in der Registry abstellen.
Also past das horror scenario nicht, dass man seinen NTLM Cache einem fremden Rechner vorwirft.
Auch ist der SMB port 445 auf allen Firewalls geblockt.
Weil SMB ein LAN Protokoll ist, es nicht im WAN performt und leicht angreifbar ist.
Ich hab nochmal weiter recherchiert.
Es sieht so aus, als sei das doch zumindest nicht in Standard-Einstellung der Fall, aber immer dann, wenn
– eine Fritzbox eingesetzt wird
– der DNS nicht auf die Fritzbox zeigt, sondern auf einen beliebigen, anderen DNS (z.B. 1.1.1.1 oder 8.8.8.8)
Der Anbieter scheint das auch bösartig zu machen, denn nicht nur server.fritz.box wird aufgelöst, sondern auch z.B. nuc.fritz.box oder nas.fritz.box
Das dürfte dennoch recht viele Personen betreffen
Non-authoritative answer:
Name: NenntSichWildcard.fritz.box
Addresses: 2607:5300:60:408a::96
54.39.222.96
Das ist erstmal nicht bösartig, sondern gang und gebe und wird von vielen Domainanbietern auch per default so konfiguriert. Wenn sich jemand mit OVH auskennt kann er ja mal dazu schreiben ob die per default eine Wildcard setzen.
"gang und gäbe" bitte. Danke.
Das heißt, der Angreifer hat alle im Sack, die ihrem eigenen Internetprovider bei der DNS-Auflösung nicht vertrauen. Lieber Google seine Surfgewohnheiten sammeln lassen, als sie einem deutschen Provider (DSGVO!) machen zu lassen. Prima.
AVM müsste ein Takedown oder Übernahme für fritz.box angehen, um das im Brunnen liegende Kind zu heben.
Die Welt ist nicht unterteilt in Google und nicht Google.
Natürlich lasse ich meinen Provider nicht meine DNS Auflösung machen?!
Aber d.h. nicht das ich dann magisch gezwungen bin Googles DNS zu nehmen.. es gibt genug andere.
Wieso eigentlich "Angreifer"?
Da hat einfach Jemand die Domain "fritz.box" registriert und eine Wildcard geschalten. Das ist so ziemlich bei jedem 0815 Hosting Anbieter gängige Praxis, wenn man dort eine Domain registriert, die dann auf einen Dummy Webserver zeigt. Häufig kommt dann so eine "under construction" Webpage zurück.
Wildcard deswegen, weil du kannst einen Random String vor .fritz.box schalten und bekommst immer die selbe IP zurück.
Mit "Vertrauen" zum Internet Provider hat das nix zu tun. Das betrifft ALLE! DNS Resolver im Netz. Egal ob Google, ISP oder direkt über die Root Server.
Das einzige was aktuell wohl etwas hilft ist, den FB internen DNS zu nutzen, da dieser fritz.box nicht nach extern weiter leitet. Was man tunlichst vermeiden sollte ist im DHCP dem Client direkt einen alternativen DNS mitzugeben. Sobald die FB aber zwischen hängt, ist das erstmal halbwegs sicher.
DOH oder ähnliches über den Browser bleibt aber ein Problem.
nein,nein nein.
Es wurde doch schon mehrfach gesagt, das es ausreichend ist, wenn der Client, z.B. dem Handy ein alternativer DNS mitgeteilt wurde.
Da im Router umzudrehen ist zwar auch mögliche Ursache,aber viel wahrscheinlicher ist, das der Cleint unabhängig davon einen andern DNS nutzt.
Z.B. weil der Provider z.B. Vodafone heiß und schon öfters durch voreilige Sperren von Domains negativ aufgefallen ist.
Das hat nix mit "vertrauen" zu tun.
Was auch nur die halbe Wahrheit ist – da die Domain fritz.box offiziell registriert wurde wird jeder DNS-Server der entweder selbst die Root-DNS-Server abfragt oder einen anderen DNS-Server wie die o.g. abfragt die ihrerseits die Root-DNS-Server abfragen wird immer die IP zurückgeliefert bekommen. Man müßte schon explizit einen DNS-Server so konfigurieren das er sich selbst für "fritz.box" zuständig fühlt um dem zu entkommen. Natürlich gibt es solche Anbieter allerdings wäre ich da dann doch etwas vorsichtig denn welche IP liefern die zurück wenn ich "nas.fritz.box" eingebe? Vermutlich nicht die die mein lokales NAS hat. Wenn jemand so mit DNS umgeht wie AVM sollte man auch deren DNS-Server , also die FritzBox, nutzen wenn einem das eigene Netzwerk nicht um die Ohren fliegen soll.
Die DSGVO interessiert mich einen Dreck, wenn es darum geht, trotz staatlicher Restriktionen in diesem angeblich demokratischsten aller Länder _jeden_ Namen auch aufgelöst zu bekommen zu einer Zieladresse.
Was AVM müsste und was sie tatsächlich tun, sind leider zwei völlig verschiedene Dinge.
Und: ja, da ist ein catchall auf fritz.box eingerichtet. _Jeder_ 3rd Level wird auf ursf1.viagenie.ca aufgelöst bzw. die IP-Adresse (v4 und v6) dahinter.
Ich persönlich unterstelle hier übrigens durchaus böse Absichten. Es deutet einfach zu viel darauf hin.
ja, genau. Ich hoffe es wird so langsam von allen begriffen. Wobei hier eigentlich nicht der Platz für "Grundlagen der Netzwerk Technik" ist.
Die Absicht ist nicht bose.
Der Domain grabber hat die Domain als "verwaist" gefunden und vor dem Zugriff durch böse Dritte geschützt! Er ist ja einer von den guten.
Ein Böser hätte auch den MX auf seinen Server gestellt und wäre so an jede Menge gültiger Absender gekommen.
Der Domain Grabber möchte natürlich für seinen Aufwand bezahlt werden.
Der hängt natürlich davon ab, wie sehr die Domain gebraucht wird. Und das sieht er ja an den Anfragen an seinen Webserver.
Ist das jetzt wirklich böse so Geld zu verdienen?
Hätte er vorher bei AVM fragen sollen, und rh die Antworten hätte ein Böser 4. die Domain registriert?
Und vor allem, wie hätte er denn AVM erreichen können? Google Recherche? Und wer hätte ihm das bezahlt?
Nein.
Alle, die den alternativen DNS nicht in der Fritzbox eintragen, sondern im Clientrecher bzw. der Clientanwendung.
Denn dann wird durch den Client der DNS der Fritzbox umgangen.
Trägt man den alternativen DNS in der Fritzbox ein, dann läuft das so:
Alle Anfragen laufen erst einmal zum DNS der Fritzbox.
Kann der DNS der Fritzbox eine Adresse nicht auflösen, leitet er die Anfrage nach extern weiter, also entweder an den in der Fritzbox eingetragen alternativen DNS oder falls da nichts eingetragen ist, an den Provider-DNS.
Das ist ja logisch. Wenn nicht die Fritzbox als DNS genommen wird, dann kann AVM die Anfrage nach fritz.box auch nicht abfangen.
Trägt man auf der Fritzbox einen alternativen DNS (also nicht der vom Provider zugewiesene ein), kann die Fritzbox die Anfrage trotzdem abfangen.
Ich vermute der Hinweisgeber nutzt seinen Server als DNS oder er hat auf dem Client einen anderen DNS fest eingetragen.
@Günther: Hier wäre eine Richtigstellung im Artikel nützlich.
Es lässt sich möglicherweise noch mehr damit machen. Geräte suchen standardmäßig nach einer Proxy Konfiguration. Im Falle eines Fritz Box Netzes unter wpad.fritz.box.
Aktuell liefert diese Adresse nichts zurück. Theoretisch würde sich aber der Traffic über einen Proxy umleiten lassen.
In dem alten Fall hier hat AVM doch schon verlautbaren lassen, das die sich drum kümmern wollen, um die URL zu übernehmen.
Aber das hängt auch vom Registrar ab, ob der dem jetzigen Eigentümer die URL wegnimmt.
Die genannte IP 54.39.222.96 ist übrigens auf den Hoster OVH Hosting in Kanada registriert.
Windows macht bei "ping" einen Broadcast und fragt im LAN "Ist hier ein fritz.box?" dann meldet sich natürlich die Fritzbox mit ihrer IP.
Das ist Admin Grundlagen wissen.
Nimm ein Unix System oder den Befehl "nslookup"
Sorry, aber das ist Unsinn. "ping fritz.box" oder "ping irgendwas.fritz.box" erzeugt keinen Broadcast, sondern erst eine DNS Anfrage an den/die im Windows hinterlegten DNS Server (sofern der Eintrag nicht gecacht ist) und bei Antwort dann einen Ping an die IP, welche dabei zurück geliefert wird.
Was du vielleicht meist ist ggf. ein ARP Request, wenn die DNS Antwort eine IP aus dem im selben Subnetz zurück liefert wie der Windows Host. Dann wird im Netz gefragt, welche MAC die IP hat um das Paket lokal hinzuleiten. Sobald aber die Fritzbox DNS/Gateway oder DHCP im Netz ist, wird das lokale Windows sehr sicher die MAC aber schon im lokalen ARP Cache haben, bevor man den Ping absetzt. Den ARP Request wird man wahrscheinlich damit also nicht (mehr) sehen.
Zum x-ten male:
DNS Abfragen sind kostbar und sollten vermieden werden.
Das normale Windows versucht immer erst eine Auflösung per Broadcast.
Es ist ja auch logisch.
Mein Wireshark zeigt mit eine ICMP mit dem Text :
"Who has fritz.box".
Darauf hin meldet sich die Fritzbox
IP ist 192.168.77.1
Dann gibt es den Arp requests für die IP
um die MAC-Adresse zu bestimmen,da ja klar ist, das kein Routing nötig ist.
Jetzt sagst du natürlich:
Oben geht der Ping aber gegen die 54.
Woher willst Du wissen, das Windows kein ICMP
"who has Server.fritz.box" broadcast gemacht hat, und halt keine Antwort bekommen hat, weil der Rechner ja nicht in diesem LAN steckt?
Dann fragt Windows die DNS die es eingetragen hat.
Der DNS der Fritzbox kennt immer noch kein Antwort auf die Frage nach server.fritz.box und fragt den Provider DNS, der weiss es auch ni6und fragt root. Gleichzeitig kommt schon längst die Antwort des auf dem Client eingestellten alternativen DNS, die 54er IP.
Ich hoffe diese Nachhilfe in "Grundlagen der Netzwerktechnik" reicht zum Begreifen, was da passiert?
Wenn nicht frage ruhig.
Da hat sich ein kleiner Fehler eingeschlichen. Das Betriebssystem (Windows ist nicht alles, weißt Du?) schaut nach dem Brotkasten _immer_ zuerst in die hosts Datei. Immer. Und erst, wenn dort nichts steht, dann wird dem in den Netzwerkeinstellungen fest oder dynamisch eingetragenen DNS in die Seite geboxt und ein freundliches "He! Gebe er mir die Adresse zu diesem Namen!" ins Ohr gebrüllt.
Ansonsten ist Deiner Nachhilfestunde absolut nichts hinzuzufügen.
ja, das stimmt. aber es hilft ja nichts, weil die Hosts kein Grund für den Fehler ist, sondern nur als work around benutzt werden kann.
Vielleicht solltet ihr eure Konfig dann mal auf aktuelle best practice überprüfen?
Die Aussagen von Pau1 sind mehrfach unsinn:
"Das normale Windows versucht immer erst eine Auflösung per Broadcast."
-> das ist Unsinn, Broadcast ist kein Protokoll oder irgendwas zur Namensauflösung. Was er wahrscheinlich meint ist NetBios, Wins oder LLMNR. Alles Assbach Legacy Kram. Der in manchen Situationen in der Tat noch genutzt wird. u.A. wenn kein DNS konfiguriert ist. Oder wenn man irgendwie SMBv1 noch aktiv hat. Oder über irgendwelche dirty hacks versucht den Netzwerkbrowser zu laufen zu bekommen -> das geht dann über NetBios. Sollte man als mündiger Anwender eines Systems wissen. Betonung liegt auf sollte! Vor allem wenn man über Hobby 10% Admins her zieht und dann inhaltlich solche Fehler raus lässt.
Mein Wireshark zeigt mit eine ICMP mit dem Text :
"Who has fritz.box".
-> was soll das sein?
ICMP ist ein ganz anderes Protokoll und hat mit der Namensauflösung gar nix am Hut. Was er wahrscheinlich meint ist IGMP – mit G und nicht C. Jaja, bestimmt ein Schreibfehler. Aber ändert nix, dass die Aussage inhaltlich Blödsinn ist, weil es nix mit Namensauflösung zu tun hat. -> IGMP ist für Multicast Streaming u.A. – die FB kann IGMP Proxy spielen und spammt da auch alle Nase lang Zeug ins lokale Netz für das sie eben IGMP Proxy spielen möchte.
"Who has" sind in aller Regel ARP Requests – nix mit fritz.box. Was vielleicht sein kann, dass ein Wireshark IPs auf Basis von Reverse DNS Einträgen in Namen übersetzt – zur einfachen Lesbarkeit. Aber das hat nichts mit der drunter liegenden Technik zu tun. MEIN Wireshark macht das übrigens nicht. Selbst mit dem Haken zur Namensauflösung nutzt ein Standard Win10 oder 11 den im Adapter hinterlegten DNS – in dem Testfall die eine Fritzbox. Neben dem Spam von IGMP Meldungen initiiert durch die FB!! findet sich eine DNS Auflösung für fritz.box vor dem Ping. (ICMP). Der ARP Request findet vorher statt, vor allem wenn Windows im Vorfeld schon rum telefoniert, ist die MAC des default Gateways (FB) und der DNS (ebenso FB) dem Client lange bekannt. -> direkt in der Bootphase schon.
"Darauf hin meldet sich die Fritzbox
IP ist 192.168.77.1"
-> auch Käse. Wie soll sich die Fritzbox melden? Vor allem VOR dem ARP Request für diese IP? wie da geschrieben wird? -> das ist alles abenteuerliches Halbwissen…
Leider braucht man dich da nicht fragen, weil du einfach von der Technik keine Ahnung zu haben scheinst. Nicht böse gemeint – aber siehe meinen anderen Kommentar – das ist alles Halbwissen gepaart mit so einigen falschen Interpretationen.
Du verwendest wild irgendwelche Begriffe und schmeißt diese in einen Zusammenhang, der im Zweifel gar nicht existiert.
Auflösung per LAN Broadcast bspw. ist völliger Nonsens. Technisch betrachtet.
Es wird das sogenannte NetBios Name Service Protokoll verwendet. Was am Ende Broadcast Meldungen ins Netz schickt. Aber es ist dabei wichtig zu verstehen, dass es NetBios ist. Es geht dabei nicht um Schlagwörter. Sondern die korrekte Nennung dessen was es ist.
Weiterhin ist ein Verständnis Problem deinerseits, dass du offenbar zwingend davon ausgehst, dass die NetBios Scope ID richtig gesetzt ist.
-> server.fritz.box erzeugt einen DNS Request, genau so wie fritz.box diesen erzeugt.
Nix mit NBNS oder LLMNR lokal im Netz. NBNS würde funktionieren, wenn die Scope ID auf box gesetzt ist. Theoretisch. Nur ist der ganze NetBios Scope Kram seit Windows 2000 deprecated. Seit ca. als 25 Jahren!!
Deine Behauptung, ein Windows würde fritz.box lokal im Netz per Broadcast auflösen, ist und bleibt Unsinn. WENN überhaupt würde ein Windows "FRITZ" (in Upper case) lokal per NBNS versuchen aufzulösen. Sobald aber ein DNS Suffix gesetzt ist (kommt bei der FB per default vom DHCP), wird bei "ping fritz" aber schon der Suffix angehangen. Und bei "ping server" kommt dann eine Anfrage am DNS für "server.fritz.box" an.
Sobald das lokake FW Profil auf privat steht und dort Netzwerk Discover aktiviert ist, wird Windows von sich aus lokale NBNS Anfragen ins IP Subnetz schicken um Geräte zu identifizieren. Die Problematik, dass der Punkt reserviert für die Scope ID ist, bleibt weiterhin unverändert. Nix mit Broadcast Auflösung… Sorry.
"Ich hoffe diese Nachhilfe in "Grundlagen der Netzwerktechnik" reicht zum Begreifen, was da passiert?
Wenn nicht frage ruhig."
-> bitte, gern geschehen…
Dieses Verhalten zeigt nur Windows und ist zum Teil sehr verwirrend für 10%-Halbwissende Admins, die sich die Arbeit sparen wollen, die Host Namen der per DHCP zugewiesen Rechner in den DNS zubringen, auch wenn das für die User schneller und für das gesamte System sicherer ist.
"Es funktioniert doch!".
Es funktioniert nur solange, bis irgend ein Tool aus der Unix-Welt installiert wird, das nicht den Windows Resolver nutzt sondern ohne Broadcast nur den DNS und den Partner nicht finden kann.
Der "Superschlaufe" 10% klicki bunti Hikfsadmin kommt nun auf die tolle Idee, den Host Namen manuell in den DNS einzutragen.
"Funktioniert doch" "und warum soll ich 200 Rechner in den DNS eintragen und aktuell halten, wenn es nur ein paar tun.
ja, gute Konter. Ein Böser im Netz wird sehr schnell feststellen, das es 2 Klassen von Rechnern gibt.
Und sich erstmal auf die mit dem DNS eintrag stürzen…das sind d6von den Chefs mit der Speziellen Software für das Probemanagement oder was auch immer.
Broadcast erlaubt auch Bösen diese mit ihrer IP zu beantworten. Wenn sie schnell sind, oder der Rechner vom Chef aus, haben sie den Traffic…
Klar kann man das feststellen. Also noch mal Geld ausgeben für eine zusätzliche Überwachung… man hat es ja. anstatt gleich ordentlich zu arbeiten
Man kann Windows diese Broadcasterei auch komplett angewöhnen. Muss dann aber den/die DNS warten.
Wenn man Pihole benutzt, ist eines der ersten Dinge die man macht, in den DNS Settings unter "Use Conditional Forwarding" das lokale Netzwerk und die IP anzugeben wohin fritz.box geroutet werden soll.
Dann ist das Problem wie in diesen Artikel beschrieben gar nicht erst vorhanden.
Es geht nicht um Nischenkonfigurationen, wie zum Beispiel Du sie verwendest. Es geht im Grunde um Oma Erna, Onkel Karl und den sehr einfach gestrickten Vater von Klara mit einer Standard Fritz!Box. Da die großen unabhängigen DNS die registrierte Domain richtig auflösen, steht zu erwarten, dass auch die DNS der Provider das nicht anders handhaben werden. Sofern der Computer Bild lesende Nachbarsjunge es also gut gemeint hat und bei einem der genannten Kandidaten im Wintendo Rechner eine feste IP-Adresse samt DNS und Co hinterlegt hat, damit auch nach einem halben Jahr der Fernseher noch die Bilder von der letzten Geburtstagsfeier vom Rechner anzeigt, dann hast Du genau das, was Du brauchst, damit "fritz.box" im Browser daneben geht.
Das Problem tritt eben bei Oma Erna, Onkel Karl etc. NICHT auf, weil die die Standardkonfiguration der Fritzbox nutzen und da zuerst der DNS in der Fritzbox greift und erst, wenn der DNS in der Fritzbox die URL nicht auflösen kann, leitet er die Anfrage nach Extern an den Provider-DNS weiter.
Definiert man allerdings manuell einen DNS-Server z.B. im Browser, wird der DNS der Fritzbox umgangen und man hat das Problem.
nochmal:
Für den Fehler reicht es, wenn die Vorfahren auf ihren Handy dnsforge.org eingestellt haben.
Da muss niemand an der Fritzbox drehen.
Auch gab es schon malware die den DNS Eintrag auf dem Client geändert haben. BTST.
Ich stecke nicht tief genug in der Materie drin.
Aber ich habe sowohl bei meinem Windows PC als auch bei meinem Android Handy einen anderen DNS Resolver eingestellt, z.B. Dnsforge.
Egal von welcher Seite, ich lande immer auf der Fritz Box. Auf beiden Geräten.
Du hast meinen Absatz ab "Sofern der Computer Bild lesende […]" föllich™ außer Acht gelassen. Den darfst Du bei dem Szenario nicht außen vor lassen, der ist unersetzbarer Bestandteil des Schauspiels.
Ehrlicherweise verstehe ich das "Problem" nicht so ganz.
Ich mein, es war doch bekannt, dass seit ".box" TLDs registrierbar sind und AVM diese Domain nicht besitzt, das ganze Konstrukt höchst anfällig ist?
Das geht von potentiellen Proxy-Umleitungen auf wpad.fritz.box über public Proxy Server bis hin zu abgreifen von NTLM Hashes über falsche Rückantworten lokaler IPs bzw. vorgaukeln einer "echten" FB Oberfläche, wo der User dann sein PW einhämmert und womit der potentielle Angreifer dann bei aktiver externer Konfig Option an die Fritzbox mit dem richtigen PW ran kommt…
Es ist so selten dämlich fritz.box zu nutzen von AVM, wo man keine Kontroller über diese Domain hat…
Jein.
Als AVM das mit fritz.box eingeführt hat, gab es im Internet die TLD .box noch gar nicht.
Erst seit 2012 wurde das TLD-System erweitert.
Seit dem kann man bei der ICANN Vorschläge für neue TLDs einreichen.
Die TLD .box gibt es erst seit 11.11.2016.
https://newgtlds.icann.org/en/program-status/delegated-strings
dann hätte AVM aber noch direkt im Jahr 2016 die subdomain fritz.box registrieren sollen.
AVM wurde in 2016 von Sehenden informiert.
Angeblich hat AVM darauf geantwortet, man werde sich kümmern.
Es wäre 50 Euro und eine Email gewesen und das Problem wäre gelöst.
Frag mich bitte nicht, welcher Belzbub AVM geritten hat, sich diese Domain nicht zu reservieren oder generell beim ICAN sperren zu lassen.
Es ist nicht nachvollziehbar.
"Fritz.box: Domain aus dem Verkehr gezogen"
heise NewsTicker 12:20 Uhr
news/Fritz-box-Domain-aus-dem-Verkehr-gezogen-9647776.html
Alternative:
c:\\Windows\\System32\\drivers\\etc\\hosts
ergänzen:
# Fritzbox
192.168.178.1 fritz.box
192.168.178.1 server.fritz.box
192.168.178.1 nuc.fritz.box
192.168.178.1 nas.fritz.box
https://www.heise.de/news/Fritz-box-Domain-aus-dem-Verkehr-gezogen-9647776.html
Wie mache ich das auf meinem iPhone?
Und wie macht das mein Vater mit 75 Lenzen und fünf "Toolbars" im Edgeploder?
Heise sagt das da evtl. ein Urheberrecht-Verfahren läuft, das diese Domain gesperrt wird, weiß aber auch nix genaues.
Jedenfalls sollte man erstmal alle Basteleien im DNS lassen.
Entweder nimmt die App, oder die unveränderliche Default IP 192.168.178.1 im seine Box zu kommen.
Derzeit wird zwar noch die 54er IP angezeigt,aber das kann sich jetzt ändern.
https://www.heise.de/news/Fritz-box-Domain-aus-dem-Verkehr-gezogen-9647776.html
Das ist heise Halbwissen.
Alle die in ihrem Handy eine alternativen DNS eingetragen haben hilft das nichts.
Außerdem haben sie keine Möglichkeit ihre etc/Hosts zu ändern, weil sie i.d.R. kein Riot haben..Reiner Schwachfug.
News bei Heise "Es ist wahrscheinlich (…), aber gegenwärtig noch unbestätigt, dass AVM gegen die Domain vorgegangen ist.
heise.de/news/Fritz-box-Domain-aus-dem-Verkehr-gezogen-9647776.html
This Site is Suspended
The Domain Name you have entered is not available. It has been taken down as a result of dispute resolution proceedings pursuant to the Uniform Rapid Suspension System (URS).
For more information relating to the URS, please visit: http://newgtlds.icann.org/en/applicants/urs
Und seit 2012 hätte AVM den Domain-Namen konfigurierbar machen und mit einer zufälligen Domain in einer der in RFC6726, Appendix G definierten privaten Top-Level-Domains, .home wäre z.B. eine gute Idee gewesen.
https://imgflip.com/i/8i7vzi
> "Fritz.box: Domain aus dem Verkehr gezogen"
> heise NewsTicker 12:20 Uhr
> news/Fritz-box-Domain-aus-dem-Verkehr-gezogen-9647776.html
Einige DNS-Server verweisen aber noch auf 54.39.222.96 (1.1.1.1, 8.8.8.8, 9.9.9.9, 5.1.66.255 ), während 176.9.1.117 auf 192.168.178.1 verweist, was ja nicht immer stimmen muss.
Es weisen ALLE DNS auf 54.29.222.96.
Weil das die korrekte IP für *.fritz.box ist.
vielleicht bekommt Günther ja eine Antwort von AVM warum sie diesen unschönen Weg gehen.
Mei,es passiert nichts, außer das der AVM Kunde nicht mehr per Name auf seine Box kommt.
Der Domain Grabber ist nett und hat alles auf seinen Host gelenkt. wpad.fritz.box kann nicht mehr missbraucht werden, außer vom Grabber selbst.
Der wird das sicher nicht machen.
und spielt keine Rolle eine nicht verkonfigurierte Fritte blockt das und öffnet die Einstellungsseite der Fritzbox und wenn du an deine Router vorbei konfigurierst, dann weist du was du tust und bist selbst verantwortlich!
Ich kann bis zum WE nicht reagieren, war eh ein Post zwischen Tür und Angel. Ich kann vermutlich max. Kommentare freigegeben.
Das jetzt für Server.fritz.box eine IP geliefert wird dürfte an dem URS Verfahren liegen, in Folge dessen jemand ein wildcard *.fritz.box eingetragen hat der die 54. liefert.
Das ist für AVM Kunden noch schlechter, da Namen wie nas.fritz.box jetzt plötzlich von externen DNS aufgelöst werden können…
Ist aber keine böse Absicht.
Interessant bleibt die Frage, warum AVM das hat so weit kommen lassen.
Mal sehen was Heise da als Antwort von AVM bekommen wird.
Nochmals:
Wohl praktisch jeder Provider blockt all es auf 445.
Das mit dem SMB NTLM hash zu dem externen ist Unfug.
Woher ich das weiß?
Weil ich mal mit 445 über das Internet experimentieren wollte, und es nicht funktionierte, außer zu den MS-SMB-Testservern.
Und weil es manche Firewall gibt, die auf Port 445 das Fernwartungs Portal habrn., das aber nicht erreichbar ist.
Bin vor Jahren auf ein tolles Tool dafür gestoßen:
http://portquiz.net
Einfach den zu testenden Port angeben z.B: und schon weiß man was Sache ist. Geht natürlich nur für TCP, aber wir wissen ja wie üblicherwiese gefiltert wird.
Vielleicht ein Workaround?
In der Fritzbox unter Heimnetz -> Netzwerk -> IPv4-Adressen -> Lokaler DNS-Server die IP von einem (zuvor konfigurierten) Pihole eingeben; In Pihole -> Local DNS -> Local DNS Records Eintrag für "fritz.box" auf IP von der Fritzbox erstellen.
Funktioniert perfekt, danke.
Bitte :-)
@Günter warum "gekaperte Domain"?
da wurde nichts gekapert.Es wurde nichts gekapert, sondern es war nur jemand schneller beim Domain reservieren. Aber mit kapern hat das nichts zu tun.
ja. Die Domain wurde davon bewahrt missbraucht zu werden!
Ich hatte nun auch das Problem, dass die Namensaufösung unter Windows nicht richtig funktionierte und Brave (der Browser) beim Start 10sec Bedenkzeit für die erste URL-Auflösung benötigte….
Das Zurückstellen des DNS auf die Fritzbox hat dann alles gelöst, bzw. das löschen manuelle DNS-Einträge hat es gelöst… Dass die Fritzbox das DNS-Suffix setzt verträgt sich nicht mit der Tatsache, dass der DNS-Server 1.1.1.1 oder 8.8.8.8 fitz.box auch noch kennt.
Der Telekom DNS wurde es wohl schon ausgetrieben :-)
Das Setzen des DNS-Suffix passiert auch, wenn man einen Firmen-Laptop im Homeoffice (mit Fritz-Box) hatte und dann wieder zurück in die Firma kommt. Windows merkt sich wohl den DNS-Suffix "fritz.box" und benutzt den dann auch intern.
Passiert übrigens mit allem was zu Hause so als gesetzten DNS-Suffix gesetzt wird.
Fritz.box domain
This Site is Suspended
The Domain Name you have entered is not available. It has been taken down as a result of dispute resolution proceedings pursuant to the Uniform Rapid Suspension System (URS).
For more information relating to the URS, please visit: http://newgtlds.icann.org/en/applicants/urs
Die Diskussion hier ist bizzar. Solange die Fritzbox der DNS-Server im Netz ist, wird fritz.box immer von der Box aufgelöst. Deshalb war die ganze Diskussion um den Domain-Grabber nur für die relevant, die die nicht die Fritzbox als DNS-Server nutzen. Aber in diesem Fall sollte einem schon klar sein, dass die Auflösung von fritz.box nicht funktionieren kann.
Der Hinweisgeber hat demnach einen anderen DNS-Server laufen oder auf dem Client händisch einen alternativen Server eingetragen. Natürlich kann die Fritzbox nicht verhindern, dass bei der Verwendung eines anderen DNS-Servers eine andere Namensauflösung statt findet. Auch das scheint mir völlig logisch.
Die ganzen Diskussionen hier sind daher für mich nicht nachvollziehbar. Einen Ping anzuwerfen kostet keine Zeit. Oder man könnte kurz selbst recherchieren?
Bizarr ist eher, dass sich AVM auf Biegen und Brechen nicht an die Grundlagen der Technik (RFC) halten will.
Es geht doch gar nicht darum, ob die Namensauflösung von fritz.box nicht funktioniert, sondern dass sie plötzlich sehr wohl funktioniert, obwohl sie es nicht sollte (also technisch schon, aber organisatorisch halt nicht).
"Die Diskussion hier ist bizzar. Solange die Fritzbox der DNS-Server im Netz ist, wird fritz.box immer von der Box aufgelöst."
das trifft bei mir leider nicht zu.
Die Fritzbox ist bei mir der lokale DNS – Server (wird per DHCP an die Clients bereit gestellt). Auf den Clients (Mobilgeräte, Notebooks, Desktop) sind keine speziellen DNS-Server eingetragen.
Im hauseigenen Netzwerk laufen einige VMs (z.B. server.fritz.box).
Seit einigen Tagen werden die Namen der internen Server nicht mehr korrekt in IP – Adressen aufgelöst.
Bis sich von AVM eine Lösung ankündigt werde ich wohl (wie vor 30 Jahren) IP – Adressen verwenden müssen.
Grundsätzlich sollte ich als Owner eines Netzwerks dafür Sorge tragen, dass alle Clients den von mir im Netz bereitgestellten/gesteuerten/verwalteten, lokalen DNS-Server/DNS-Forwarder verwenden. Bei Einsatz einer "richtigen" Firewall sperren wir DNS-Anfragen der Clients nach außen. Als Admin bin ich für diese Hygiene zuständigt. Und ich bestimme, welchen DNS-Servern ich unsere/meine Anfragen anvertraue. Daher auch im lokalen Netz mit der Fritz!Box alle Clients DNS über die Fritte beziehen lassen und dort DNS ordentlich (soweit möglich) und sicher konfigurieren. Wer sich auf Endgeräten z.B. 8.8.8.8 einträgt und damit die "Regulierung" des lokalen Netzwerkbetreibers zu umgehen versucht, handelt gegenüber dem Admin/Verantwortlichen und allen anderen Anwendern im gleichen Netz grob fahrlässig. Meine Meinung…
hello world :)
wierd>
Info:
größeres Lokales Netz > keine AVM Geräte > einige kleine Server > viele Clients (auch mal im Homeoffice)
Beispiel (Windows):
Normalerweise > ping server1 > Antwort
Ping wird ausgeführt für server1 [xxx.xxx.xxx.xxx] mit 32 Bytes Daten:
Antwort von xxx.xxx.xxx.xxx: Bytes=32 Zeit=28ms TTL=53
Antwort von xxx.xxx.xxx.xxx: Bytes=32 Zeit=30ms TTL=53
Was jetzt bei Clients passiert > ping server1 > Antwort
Ping wird ausgeführt für server1.fritz.box [xxx.xxx.xxx.xxx] mit 32 Bytes Daten:
Antwort von xxx.xxx.xxx.xxx: Bytes=32 Zeit=28ms TTL=53
Antwort von xxx.xxx.xxx.xxx: Bytes=32 Zeit=30ms TTL=53
Sowohl bei im Lokalen Netz bleibende Desktops als auch bei Notebooks.
Warum lösen nach und nach einige Clients server1 mit server1.fritz.box auf ?
Hallo keineAhnung
für die Clients im Homeoffice wüsste ich eine Erklärung. Mal die DNS Suffixliste prüfen, bestimmt hat deren Homeoffice-Fritzbox-DHCP fritz.box da mit reingeschrieben. Das fällt natürlich erst jetzt auf, weil hinter fritz-box auf einmal jemand aus der echten Welt antwortet.
Warum die im lokalen Netz hängenden Desktops das auch machen? Gute Frage…
Das mit dem DNS SUffix ist nervig, weil der AVM DHCP den als globalen und nicht als verbindungsspezifischen Suffix verschickt…
Und ich habe mich die ganze Zeit gewundert, warum mein Windows-Server samt SMB-Shares streikt, wenn ich versuche, über \\Servernamen drauf zu gehen + warum bei jedem Ping mit dem Servernamen servername.fritz.box [random Public-IP] steht…
Ich als jemand, der gerne seinen eigenen DNS-Forwarder/Resolver (Adguard Home) nutzt, bin natürlich davon betroffen, habe aber relativ fix einen Fix dafür gefunden: In Adguard Home unter Filter => Benutzerdefinierte Filterregeln die folgenden Zeilen ohne die Anführungszeichen ergänzen: "||fritz.box^" & "||*.fritz.box^"
Diese 2 Zeilen bewirken nun, dass alle DNS-Requests im LAN an die fritz.box Domain geblockt werden und ich kann wieder ungestört meinen Tätigkeiten nachgehen.
Ich frage mich aber trotzdem: Wie viel Lack hat AVM gesoffen, dass die a) eine Domain zum einfachen Erreichen ihrer Router hernehmen, ohne die Möglichkeit ausgeschlossen zu haben, dass .box irgendwann eine TLD wird und warum haben sie b) sich seit 2016 bzw. Anfang 2024 nicht darum gekümmert, dass sie Herr dieser Domain werden? Ein ganzer Abend an Troubleshooting ist drauf gegangen, weil AVM zu leichtsinnig mit fritz.box umgegangen ist. Wenn ich eine Rechnung ausstellen könnte, würde ich das ohne mit der Wimper zu zucken auch tun.
Hallo,
kritischer scheint mir folgendes zu sein:
Die automatische Proxykonfiguration in Windows löst "wpad.fritz.box" gegen die öffentliche IP 45.76.93.104 auf und versucht die Proxykonfiguration "wpad.fritz.box/wpad.dat" abzurufen. Die Konfiguration scheint nicht vorhanden zu sein, dennoch versucht Windows den unter der IP 45.76.93.104 als Proxy zu nutzen und leitet z.B. DNS-Anfragen um. Potenziell kann der Besitzer der Domain damit Daten abfischen.
Wird der Internetzugang über eine FritzBox hergestellt, unterbindet der DNS-Rebind-Schutz den Zugriff. Wechselt das gleiche Gerät allerdings danach in das Mobilfunknetz / ein anderes Netzwerk ohne FritzBox als DNS wird der externe Server mit der IP 45.76.93.104 als Proxy kontaktiert.
Hallo,
kritischer scheint mir folgendes zu sein:
Die automatische Proxykonfiguration in Windows löst "wpad.fritz.box" gegen die öffentliche IP 45.76.93.104 auf und versucht die Proxykonfiguration "wpad.fritz.box/wpad.dat" abzurufen. Die Konfiguration scheint nicht vorhanden zu sein, dennoch versucht Windows den unter der IP 45.76.93.104 als Proxy zu nutzen und leitet z.B. DNS-Anfragen um. Potenziell kann der Besitzer der Domain damit Daten abfischen.
Wird der Internetzugang über eine FritzBox hergestellt, unterbindet der DNS-Rebind-Schutz den Zugriff. Wechselt das gleiche Gerät allerdings danach in das Mobilfunknetz / ein anderes Netzwerk ohne FritzBox als DNS wird der externe Server mit der IP 45.76.93.104 als Proxy kontaktiert.
Wer sich mit einem VPN verbindet, bekommt ggf. einen DNS Server mitgeteilt, welcher dann anstelle vom Default DNS deines Netzes verwendet wird.
Ab da wird dein Rechner brav alle DNS Anfragen an den neuen DNS Host schicken, so auch für alle deine NAS, NUC, SERVER, YXC Host deines fritz.box Netzes.
Danach gehen alle Anfragen an den neuen Rechner im Intenet – was blöd ist, wenn man dann seine Authentifizierungsanfragen an fremde Rechner schickt. No dööfer, wenn dabei nicht gehashte Daten dorthin übertragen werden. Dann können schnell mal deine Passwörter in einem Dictionary laden und sind damit dauerhaft kompromitiert.
Einzige Lösung ist, dass man sich auf seinem Rechner mit VPN – zum Beispiel in deine Firma – auch gleich eine /etc/hosts bzw. das Windows/Mac Equivalent mit hartkodierten IPs deine Server im fritz.box Netz erstellst.
Es geht wieder los – jemand hat nun wieder Wildcard DNS Einträge auf fritz.box gepackt.
Gestern abend kam ich mit xyz.fritz.box noch auf ein internes Gerät, heute löst *.fritz.box auf zu 45.76.93.104
Schiedsverfahren gewonnen: Domain "fritz.box" gehört nun AVM