DNS hijacking door Telenet?

f0ns
Starter
Starter
Berichten: 15
Lid geworden op: 23 Apr 2018

DNS hijacking door Telenet?

Berichtdoor f0ns » 05 Mei 2018, 00:16

Ik gebruikte sinds lang OpenDNS.

Kwam ergens deze link tegen: https://www.routersecurity.org/testrouter.php
en uit curiositeit https://browserleaks.com/ip gecontroleerd.

Blijkt dat Telenet de DNS overneemt en afleidt naar eigen DNS.
Blijkt dat dit tegenwoordig de courante praktijk is van vele ISP's.

DNS leak test shows that my ISP swaps google DNS for its own

DNS hijacking by ISP's.
Apparently most of the ISPs have been implicated in doing this at one point or another, or still doing it. It looks like they hijack Port 53, create an invalid response, fallback to NXDOMAIN, then inject their own DNS into it. If what I gather is correct.


Edit: vraagteken geplaats in de titel. ;) Schijnt blijkbaar wél te werken... zie onder.
Laatst gewijzigd door f0ns op 05 Mei 2018, 01:16, 1 keer totaal gewijzigd.

ub4b
Elite Poster
Elite Poster
Berichten: 3474
Lid geworden op: 12 Jan 2006
Bedankt: 307 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 54 keer

Re: DNS hijacking door Telenet

Berichtdoor ub4b » 05 Mei 2018, 00:21

Is dit niet strafbaar? Telenet neemt kennis van de inhoud van communicatie die niet voor hen bedoeld is.

Maar is dit wel zo?

Ik gebruik 1.1.1.1 (Cloudflare) als DNS, volgens de extended test van https://dnsleaktest.com is Cloudflare mijn ISP.

Als ik 8.8.8.8 gebruik (google DNS) dan zegt de extended test ook google.

f0ns
Starter
Starter
Berichten: 15
Lid geworden op: 23 Apr 2018

Re: DNS hijacking door Telenet

Berichtdoor f0ns » 05 Mei 2018, 00:32

Ik heb zo'n HGW gekregen en gebruik OpenDNS en bij mij werkt het niet. Geeft Telenet DNS servers.

WalterB1
Elite Poster
Elite Poster
Berichten: 859
Lid geworden op: 22 Jan 2010
Bedankt: 70 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 70 keer

Re: DNS hijacking door Telenet

Berichtdoor WalterB1 » 05 Mei 2018, 00:42

Orange, Esay Internet@home, doet het niet. Ik gebruik die nieuwe DNS van CloudFlare (1.1.1.1)

De meeste van die testen geven aan dat het die is die ik ook effectief gebruik.
https://www.dnsleaktest.com/
https://www.perfect-privacy.com/dns-leaktest/

Die geven CloudFlare op.

Maar volgens deze;
http://dnsleak.com/

zit ik achter google-proxy-66-249-81-175.google.com

ub4b
Elite Poster
Elite Poster
Berichten: 3474
Lid geworden op: 12 Jan 2006
Bedankt: 307 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 54 keer

Re: DNS hijacking door Telenet

Berichtdoor ub4b » 05 Mei 2018, 01:03

f0ns schreef:Ik heb zo'n HGW gekregen en gebruik OpenDNS en bij mij werkt het niet. Geeft Telenet DNS servers.


Ik heb een DD-WRT router en dus geen last. Vermoedelijk onderschept telenet dus DNS op hun home gateway dan?

f0ns
Starter
Starter
Berichten: 15
Lid geworden op: 23 Apr 2018

Re: DNS hijacking door Telenet

Berichtdoor f0ns » 05 Mei 2018, 01:13

ub4b schreef:
f0ns schreef:Ik heb zo'n HGW gekregen en gebruik OpenDNS en bij mij werkt het niet. Geeft Telenet DNS servers.


Ik heb een DD-WRT router en dus geen last. Vermoedelijk onderschept telenet dus DNS op hun home gateway dan?


Update:
Na ook het invullen van de IPv6 adressen schijnt het wel te werken.

(In de originele handleiding geen vermelding van IPv6.)

IPv4
208.67.222.222
208.67.220.220

208.67.220.222
208.67.222.220

IPv6
2620:0:ccc::2
2620:0:ccd::2

Oké, het is dus blijkbaar niet zo erg als ik gedacht had. ;)

Wat de veiligheid van die HGW betreft, de "Shields UP!" test van grc.com geeft wel een "FAILED" maar op zijn minst staan er geen poorten open.

Afbeelding

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6694
Lid geworden op: 28 Jan 2012
Bedankt: 506 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 102 keer

Re: DNS hijacking door Telenet?

Berichtdoor ITnetadmin » 06 Mei 2018, 01:40

IPv6 heeft in de meeste configs (routers, nics) prioriteit op IPv4.
Let daar dus idd op dat de request niet via IPv6 is gebeurd.

CCatalyst
Elite Poster
Elite Poster
Berichten: 1509
Lid geworden op: 20 Jun 2016
Bedankt: 135 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 1 keer

Re: DNS hijacking door Telenet?

Berichtdoor CCatalyst » 06 Mei 2018, 13:11

2 mogelijke scenario's

- Telenet onderschept upstream DNS requests voor externe providers en herleidt ze naar de eigen DNS servers. Lijkt me weinig waarschijnlijk. Ik kan dit niet reproduceren.
- Het instellen van externe DNS servers op de HGW heeft geen resultaat, je DNS requests worden nog steeds naar TN gestuurd.

Dat laatste heeft meer verduidelijking nodig
1) De DNS setting op de HGW, dient dat enkel voor de DNS requests die de HGW zelf doet, of is dat ook de DNS server die in de DHCP requests meegegeven moet worden. Is er mogelijks een aparte setting voor dat laatste?
2) Wat zijn de DNS servers die de HGW in het DHCP antwoord meegeeft?

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6694
Lid geworden op: 28 Jan 2012
Bedankt: 506 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 102 keer

Re: DNS hijacking door Telenet?

Berichtdoor ITnetadmin » 06 Mei 2018, 16:26

De beste test is:
- Stel je toestel als static IP in, met een statische DNS verwijzing naar 8.8.8.8 en 8.8.4.4 .
- Ofwel disable je IPv6, ofwel stel je ook dat static in, met DNS op 2001:4860:4860::8888 en 2001:4860:4860::8844 (ik prefereer disablen, want IPv6 kan nukkig zijn vanwege het aanvaarden van multiple global IPs, maw je kan een static instellen en toch nog een automatisch toegewezen krijgen).

Kijk nu welke DNS je toestel raadpleegt.

Het gebeurt idd dat bepaalde routers je custom DNS settings negeren, of zoiezo de hunne erbij plakken (zeker bij het uitdelen van DHCP).
Zo ken ik Draytek Vigors die gegarandeerd hun WAN DHCP DNSen mee uitdelen *als je geen 2 DNSen opgeeft in de DHCP settings.
Dus geef je bv enkel 8.8.8.8 op, dan gaat ie zelf als 2e DNS een ISP DNS meegeven.

Gebruikersavatar
Ken
Elite Poster
Elite Poster
Berichten: 4094
Lid geworden op: 04 Apr 2005
Locatie: België
Bedankt: 78 keer
Uitgedeelde bedankjes: 47 keer

Re: DNS hijacking door Telenet?

Berichtdoor Ken » 07 Mei 2018, 03:18

Ook net eens gechecked op een Orange verbinding met een MikroTik router in MAC-passthrough op een Compal modem-router.
En wat blijkt, krijg ik ook de Orange DNS servers te pakken terwijl Cloudfare of Google DNS servers staan ingesteld...
In de DHCP client options van de MikroTik dus maar 'Use peer DNS' uitgevinkt :o en NTP ook en 't is in orde nu.

Internet = Orange Love 200/20Mbps + Orange Surf Extra Card LTE backup
Telefonie = OVH VoIP Entreprise
GSM = Orange Arend Pro + Huawei Honor9
TV = Orange
Netwerk = 100% MikroTik powered

f0ns
Starter
Starter
Berichten: 15
Lid geworden op: 23 Apr 2018

Re: DNS hijacking door Telenet?

Berichtdoor f0ns » 08 Mei 2018, 18:14

Update!

Mensen mensen, om verwarring te vermijden: werkt wel na invullen IPv6 adressen! (Zie ook m'n vorig bericht.)

Maar het is duidelijk dat je het gebruik van alternatieve DNS moet testen want er zijn blijkbaar wel meerdere redenen waarom het niet zou kunnen werken.

CCatalyst
Elite Poster
Elite Poster
Berichten: 1509
Lid geworden op: 20 Jun 2016
Bedankt: 135 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 1 keer

Re: DNS hijacking door Telenet?

Berichtdoor CCatalyst » 08 Mei 2018, 18:53

't zal dan inderdaad zijn dat hij de Telenet DNS servers erbij zet als er niet "genoeg" ingevuld zijn door de gebruiker

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6694
Lid geworden op: 28 Jan 2012
Bedankt: 506 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 102 keer

Re: DNS hijacking door Telenet?

Berichtdoor ITnetadmin » 08 Mei 2018, 20:03

Is idd zo, en nog ns, IPv6 heeft traditioneel voorrang op IPv4 in vele implementaties.


Terug naar “Telenet (Chello, UPC)”

Wie is er online

Gebruikers op dit forum: MaT en 2 gasten