DNS hijacking door Telenet?

Heb je vragen of opmerkingen over deze provider via de kabel? Post dan je vragen hier.
Plaats reactie
f0ns
Starter
Starter
Berichten: 15
Lid geworden op: 23 apr 2018, 19:23

Ik gebruikte sinds lang OpenDNS.

Kwam ergens deze link tegen: https://www.routersecurity.org/testrouter.php
en uit curiositeit https://browserleaks.com/ip gecontroleerd.

Blijkt dat Telenet de DNS overneemt en afleidt naar eigen DNS.
Blijkt dat dit tegenwoordig de courante praktijk is van vele ISP's.

DNS leak test shows that my ISP swaps google DNS for its own

DNS hijacking by ISP's.
Apparently most of the ISPs have been implicated in doing this at one point or another, or still doing it. It looks like they hijack Port 53, create an invalid response, fallback to NXDOMAIN, then inject their own DNS into it. If what I gather is correct.
Edit: vraagteken geplaats in de titel. ;) Schijnt blijkbaar wél te werken... zie onder.
Laatst gewijzigd door f0ns 05 mei 2018, 01:16, in totaal 1 gewijzigd.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Is dit niet strafbaar? Telenet neemt kennis van de inhoud van communicatie die niet voor hen bedoeld is.

Maar is dit wel zo?

Ik gebruik 1.1.1.1 (Cloudflare) als DNS, volgens de extended test van https://dnsleaktest.com is Cloudflare mijn ISP.

Als ik 8.8.8.8 gebruik (google DNS) dan zegt de extended test ook google.
f0ns
Starter
Starter
Berichten: 15
Lid geworden op: 23 apr 2018, 19:23

Ik heb zo'n HGW gekregen en gebruik OpenDNS en bij mij werkt het niet. Geeft Telenet DNS servers.
Gebruikersavatar
WalterB1
Elite Poster
Elite Poster
Berichten: 2029
Lid geworden op: 22 jan 2010, 18:59
Uitgedeelde bedankjes: 177 keer
Bedankt: 143 keer
Recent bedankt: 1 keer

Orange, Esay Internet@home, doet het niet. Ik gebruik die nieuwe DNS van CloudFlare (1.1.1.1)

De meeste van die testen geven aan dat het die is die ik ook effectief gebruik.
https://www.dnsleaktest.com/
https://www.perfect-privacy.com/dns-leaktest/

Die geven CloudFlare op.

Maar volgens deze;
http://dnsleak.com/

zit ik achter google-proxy-66-249-81-175.google.com
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

f0ns schreef:Ik heb zo'n HGW gekregen en gebruik OpenDNS en bij mij werkt het niet. Geeft Telenet DNS servers.
Ik heb een DD-WRT router en dus geen last. Vermoedelijk onderschept telenet dus DNS op hun home gateway dan?
f0ns
Starter
Starter
Berichten: 15
Lid geworden op: 23 apr 2018, 19:23

ub4b schreef:
f0ns schreef:Ik heb zo'n HGW gekregen en gebruik OpenDNS en bij mij werkt het niet. Geeft Telenet DNS servers.
Ik heb een DD-WRT router en dus geen last. Vermoedelijk onderschept telenet dus DNS op hun home gateway dan?
Update:
Na ook het invullen van de IPv6 adressen schijnt het wel te werken.

(In de originele handleiding geen vermelding van IPv6.)

IPv4
208.67.222.222
208.67.220.220

208.67.220.222
208.67.222.220

IPv6
2620:0:ccc::2
2620:0:ccd::2

Oké, het is dus blijkbaar niet zo erg als ik gedacht had. ;)

Wat de veiligheid van die HGW betreft, de "Shields UP!" test van grc.com geeft wel een "FAILED" maar op zijn minst staan er geen poorten open.

Afbeelding
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

IPv6 heeft in de meeste configs (routers, nics) prioriteit op IPv4.
Let daar dus idd op dat de request niet via IPv6 is gebeurd.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

2 mogelijke scenario's

- Telenet onderschept upstream DNS requests voor externe providers en herleidt ze naar de eigen DNS servers. Lijkt me weinig waarschijnlijk. Ik kan dit niet reproduceren.
- Het instellen van externe DNS servers op de HGW heeft geen resultaat, je DNS requests worden nog steeds naar TN gestuurd.

Dat laatste heeft meer verduidelijking nodig
1) De DNS setting op de HGW, dient dat enkel voor de DNS requests die de HGW zelf doet, of is dat ook de DNS server die in de DHCP requests meegegeven moet worden. Is er mogelijks een aparte setting voor dat laatste?
2) Wat zijn de DNS servers die de HGW in het DHCP antwoord meegeeft?
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

De beste test is:
- Stel je toestel als static IP in, met een statische DNS verwijzing naar 8.8.8.8 en 8.8.4.4 .
- Ofwel disable je IPv6, ofwel stel je ook dat static in, met DNS op 2001:4860:4860::8888 en 2001:4860:4860::8844 (ik prefereer disablen, want IPv6 kan nukkig zijn vanwege het aanvaarden van multiple global IPs, maw je kan een static instellen en toch nog een automatisch toegewezen krijgen).

Kijk nu welke DNS je toestel raadpleegt.

Het gebeurt idd dat bepaalde routers je custom DNS settings negeren, of zoiezo de hunne erbij plakken (zeker bij het uitdelen van DHCP).
Zo ken ik Draytek Vigors die gegarandeerd hun WAN DHCP DNSen mee uitdelen *als je geen 2 DNSen opgeeft in de DHCP settings.
Dus geef je bv enkel 8.8.8.8 op, dan gaat ie zelf als 2e DNS een ISP DNS meegeven.
Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4276
Lid geworden op: 04 apr 2005, 23:18
Locatie: België
Uitgedeelde bedankjes: 49 keer
Bedankt: 97 keer

Ook net eens gechecked op een Orange verbinding met een MikroTik router in MAC-passthrough op een Compal modem-router.
En wat blijkt, krijg ik ook de Orange DNS servers te pakken terwijl Cloudfare of Google DNS servers staan ingesteld...
In de DHCP client options van de MikroTik dus maar 'Use peer DNS' uitgevinkt :o en NTP ook en 't is in orde nu.
Internet = Proximus Fiber 1000/500 & back-up Telenet 300/30 / Fixed & mobile phone = Dstny SmartMobile + Samsung S23 & OVH VoIP Entreprise TV = FTA IPTV + Netflix / Network = 100% MikroTik powered / / I'm using Atera RMM to run my IT business, Atera offers a 30-day free trial, learn more here.
f0ns
Starter
Starter
Berichten: 15
Lid geworden op: 23 apr 2018, 19:23

Update!

Mensen mensen, om verwarring te vermijden: werkt wel na invullen IPv6 adressen! (Zie ook m'n vorig bericht.)

Maar het is duidelijk dat je het gebruik van alternatieve DNS moet testen want er zijn blijkbaar wel meerdere redenen waarom het niet zou kunnen werken.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

't zal dan inderdaad zijn dat hij de Telenet DNS servers erbij zet als er niet "genoeg" ingevuld zijn door de gebruiker
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Is idd zo, en nog ns, IPv6 heeft traditioneel voorrang op IPv4 in vele implementaties.
Plaats reactie

Terug naar “Telenet (Chello, UPC)”