{"id":278804,"date":"2023-03-17T11:57:50","date_gmt":"2023-03-17T10:57:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278804"},"modified":"2024-06-12T15:18:22","modified_gmt":"2024-06-12T13:18:22","slug":"ungewhnliche-dns-aktivitten-im-zusammenhang-mit-google-und-cloudflare","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/17\/ungewhnliche-dns-aktivitten-im-zusammenhang-mit-google-und-cloudflare\/","title":{"rendered":"Ungew&ouml;hnliche DNS Aktivit&auml;ten im Zusammenhang mit Google und Cloudflare"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Stop - Pixabay\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" alt=\"Stop - Pixabay\" width=\"164\" height=\"164\" align=\"left\" \/>Ein Blog-Leser hat mich gestern per Mail auf eine sehr ungew\u00f6hnliche Beobachtung aufmerksam gemacht, die ich hier zur Information mal im Blog einstelle. Die Administratoren haben, nach einer Meldung im Security Center von Microsoft, ein etwas seltsames Verhalten festgestellt. Es gibt pl\u00f6tzlich sehr ungew\u00f6hnliche Aktivit\u00e4ten von Clients, die Kontakt zu Domains und IP-Adressen, die zu Cloudflare geh\u00f6ren, aufnehmen wollen, ohne dass klar ist, was genau dahinter steckt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/fee212142bca44fb8b3252f8d36932a0\" alt=\"\" width=\"1\" height=\"1\" \/>Wenn Clients pl\u00f6tzlich aus einer Unternehmensumgebung zu ungewohnten IP-Adressen kommunizieren, sollte dies schon einen Alarm ausl\u00f6sen. Es k\u00f6nnte ja Schadsoftware im System eingenistet sein, die dort dann \u00fcber DNS-Anfragen oder direkt per IP-Adresse ihre C&amp;C-Server kontaktiert. Aber so richtig f\u00e4llt die folgende Beobachtung des Lesers nicht in diese Kategorie. Hier die Schilderung des Blog-Lesers, der mit schrieb \"aktuell bin ich etwas ratlos bei einem, f\u00fcr mich, seltsamen Verhaltens, welches sich wie folgt darstellt\":<\/p>\n<blockquote><p>Gestern hatten wir im Security Center von Microsoft eine Meldung (worum es hier genau ging, spielt so wie ich es mittlerweile einsch\u00e4tze, nur noch eine untergeordnete Rolle) die uns etwas Nervosit\u00e4t in die Adern trieb.<\/p>\n<p>Aus der Analyse wurde eine Ma\u00dfnahme, und zwar das Blocken von Domain und einer IP Adresse. Wie wir heute wissen, geh\u00f6rt die IP zu Cloudflare.<\/p>\n<p>Hieran ist grunds\u00e4tzlich nichts auszusetzen, wenn wir heute nicht das Problem gehabt h\u00e4tten, dass diverse Clientkommunikation mit dem Ziel der IP 188.114.96.0 blockiert wurden. Bei weiterer Betrachtung stellten wir fest, dass die Kommunikation von unterschiedlichen Clients, unterschiedlicher User mit unterschiedlichen Zieldomains stattfand. Auch wissen wir nun, das alle Zieldomains im DNS der Cloudflare gehostet sind.<\/p>\n<p>Alles eigentlich kein Problem. Allerdings stellt man sich dann irgendwann die Frage weshalb die Domains (Beispiele: <b>online-reservations.com, diecknet.de, <\/b>und viele andere mehr, per Ping auf immer die gleiche IP Adresse 188.114.96.0 aufl\u00f6sen. Bei einem nslookup auch alle als DNS die 188.114.96.0 und 188.114.97.0 zur\u00fcckgeben).<\/p><\/blockquote>\n<p>Nun widersprechen die Werte bei einer \u00dcberpr\u00fcfung per DNS Lookup allerdings den DNS Zonen der Domains. Also habt der Leser weiter gepr\u00fcft und musste nun feststellen, dass dieses Verhalten immer nur dann auftritt, wenn als DNS-Server die Google DNS Server (8.8.8.8 und 8.8.4.4) angegeben sind. So erhalte ich je nach Situation folgende Antworten:<\/p>\n<blockquote><p><b><i>nsloopup \u00fcber Provider DNS (in meinem Fall O2) <\/i><\/b><\/p>\n<p>Nicht autorisierende Antwort:<\/p>\n<p>Name: diecknet.de<\/p>\n<p>Addresses: 172.67.170.21<\/p>\n<p>104.21.39.84<\/p>\n<p>Diese Werte entsprechen auch der DNS Zone der Domain.<\/p>\n<p><b><i>nslookup \u00fcber google dns (8.8.8.8 und 8.8.4.4) <\/i><\/b><\/p>\n<p>Nicht autorisierende Antwort:<\/p>\n<p>Name: diecknet.de<\/p>\n<p>Addresses: 188.114.96.0<\/p>\n<p>188.114.97.0<\/p>\n<p>Jeglicher Traffic mit den Hosts erfolgt auch auf Proxy-Manier \u00fcber die zur\u00fcckgegebenen Adressen.<\/p>\n<p><b><i>nslookup \u00fcber cloudflare dns (1.1.1.1) <\/i><\/b><\/p>\n<p>Nicht autorisierende Antwort:<\/p>\n<p>Name: diecknet.de<\/p>\n<p>Addresses: 172.67.170.21<\/p>\n<p>104.21.39.84<\/p><\/blockquote>\n<p>Diese Werte entsprechen auch der DNS Zone der Domain.<\/p>\n<p>Nun bilde ich mir ein, dass ich in meiner bisherigen IT-Laufbahn immer ein gutes Verst\u00e4ndnis f\u00fcr DNS und IP Kommunikation hatte, aber hier bin ich aktuell echt ein bisschen \u00fcberrascht, beunruhigt und ratlos und frage mich ob ich in den letzten Monaten oder Jahren irgendwas nicht mitbekommen habe, meint der Leser.<\/p>\n<p>Aber das \u00c4ndern von Zonenwerten bei einer profanen DNS-Abfrage treibt mir etwas Angst in den Nacken. Vor allem, wenn dies durch Google passiert.<\/p>\n<blockquote><p>Oder haben Sie eine andere Erkl\u00e4rung f\u00fcr mich?<\/p><\/blockquote>\n<p><a href=\"https:\/\/i.imgur.com\/SqpPULg.png\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.imgur.com\/SqpPULg.png\" width=\"671\" height=\"347\" \/><\/a><br \/>\n<a href=\"https:\/\/i.imgur.com\/SqpPULg.png\" target=\"_blank\" rel=\"noopener\">Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n<p>Ich selbst habe da keine wirkliche Erkl\u00e4rung f\u00fcr &#8211; bin aber auch nicht wirklich im Thema drin &#8211; eine kurze Suche hat mir nichts wirklich brauchbares geliefert. Hat jemand aus der Leserschaft eine Erkl\u00e4rung?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein Blog-Leser hat mich gestern per Mail auf eine sehr ungew\u00f6hnliche Beobachtung aufmerksam gemacht, die ich hier zur Information mal im Blog einstelle. Die Administratoren haben, nach einer Meldung im Security Center von Microsoft, ein etwas seltsames Verhalten festgestellt. Es &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/03\/17\/ungewhnliche-dns-aktivitten-im-zusammenhang-mit-google-und-cloudflare\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-278804","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278804","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278804"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278804\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278804"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278804"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278804"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}