DNS hijacking door Telenet?

f0ns · 05 mei 2018, 00:16

Ik gebruikte sinds lang OpenDNS.

Kwam ergens deze link tegen: https://www.routersecurity.org/testrouter.php
en uit curiositeit https://browserleaks.com/ip gecontroleerd.

Blijkt dat Telenet de DNS overneemt en afleidt naar eigen DNS.
Blijkt dat dit tegenwoordig de courante praktijk is van vele ISP's.

DNS leak test shows that my ISP swaps google DNS for its own

DNS hijacking by ISP's.

Apparently most of the ISPs have been implicated in doing this at one point or another, or still doing it. It looks like they hijack Port 53, create an invalid response, fallback to NXDOMAIN, then inject their own DNS into it. If what I gather is correct.

Edit: vraagteken geplaats in de titel.

Schijnt blijkbaar wél te werken... zie onder.

ubremoved_2964 · 05 mei 2018, 00:21

Is dit niet strafbaar? Telenet neemt kennis van de inhoud van communicatie die niet voor hen bedoeld is.

Maar is dit wel zo?

Ik gebruik 1.1.1.1 (Cloudflare) als DNS, volgens de extended test van https://dnsleaktest.com is Cloudflare mijn ISP.

Als ik 8.8.8.8 gebruik (google DNS) dan zegt de extended test ook google.

f0ns · 05 mei 2018, 00:32

Ik heb zo'n HGW gekregen en gebruik OpenDNS en bij mij werkt het niet. Geeft Telenet DNS servers.

WalterB1 · 05 mei 2018, 00:42

Orange, Esay Internet@home, doet het niet. Ik gebruik die nieuwe DNS van CloudFlare (1.1.1.1)

De meeste van die testen geven aan dat het die is die ik ook effectief gebruik.
https://www.dnsleaktest.com/
https://www.perfect-privacy.com/dns-leaktest/

Die geven CloudFlare op.

Maar volgens deze;
http://dnsleak.com/

zit ik achter google-proxy-66-249-81-175.google.com

ubremoved_2964 · 05 mei 2018, 01:03

f0ns schreef:Ik heb zo'n HGW gekregen en gebruik OpenDNS en bij mij werkt het niet. Geeft Telenet DNS servers.

Ik heb een DD-WRT router en dus geen last. Vermoedelijk onderschept telenet dus DNS op hun home gateway dan?

f0ns · 05 mei 2018, 01:13

ub4b schreef:
f0ns schreef:Ik heb zo'n HGW gekregen en gebruik OpenDNS en bij mij werkt het niet. Geeft Telenet DNS servers.
Ik heb een DD-WRT router en dus geen last. Vermoedelijk onderschept telenet dus DNS op hun home gateway dan?

Update:
Na ook het invullen van de IPv6 adressen schijnt het wel te werken.

(In de originele handleiding geen vermelding van IPv6.)

IPv4
208.67.222.222
208.67.220.220

208.67.220.222
208.67.222.220

IPv6
2620:0:ccc::2
2620:0:ccd::2

Oké, het is dus blijkbaar niet zo erg als ik gedacht had.

Wat de veiligheid van die HGW betreft, de "Shields UP!" test van grc.com geeft wel een "FAILED" maar op zijn minst staan er geen poorten open.

Afbeelding

06 mei 2018, 01:40

IPv6 heeft in de meeste configs (routers, nics) prioriteit op IPv4.
Let daar dus idd op dat de request niet via IPv6 is gebeurd.

CCatalyst · 06 mei 2018, 13:11

2 mogelijke scenario's

- Telenet onderschept upstream DNS requests voor externe providers en herleidt ze naar de eigen DNS servers. Lijkt me weinig waarschijnlijk. Ik kan dit niet reproduceren.
- Het instellen van externe DNS servers op de HGW heeft geen resultaat, je DNS requests worden nog steeds naar TN gestuurd.

Dat laatste heeft meer verduidelijking nodig
1) De DNS setting op de HGW, dient dat enkel voor de DNS requests die de HGW zelf doet, of is dat ook de DNS server die in de DHCP requests meegegeven moet worden. Is er mogelijks een aparte setting voor dat laatste?
2) Wat zijn de DNS servers die de HGW in het DHCP antwoord meegeeft?

06 mei 2018, 16:26

De beste test is:
- Stel je toestel als static IP in, met een statische DNS verwijzing naar 8.8.8.8 en 8.8.4.4 .
- Ofwel disable je IPv6, ofwel stel je ook dat static in, met DNS op 2001:4860:4860::8888 en 2001:4860:4860::8844 (ik prefereer disablen, want IPv6 kan nukkig zijn vanwege het aanvaarden van multiple global IPs, maw je kan een static instellen en toch nog een automatisch toegewezen krijgen).

Kijk nu welke DNS je toestel raadpleegt.

Het gebeurt idd dat bepaalde routers je custom DNS settings negeren, of zoiezo de hunne erbij plakken (zeker bij het uitdelen van DHCP).
Zo ken ik Draytek Vigors die gegarandeerd hun WAN DHCP DNSen mee uitdelen *als je geen 2 DNSen opgeeft in de DHCP settings.
Dus geef je bv enkel 8.8.8.8 op, dan gaat ie zelf als 2e DNS een ISP DNS meegeven.

Ken · 07 mei 2018, 03:18

Ook net eens gechecked op een Orange verbinding met een MikroTik router in MAC-passthrough op een Compal modem-router.
En wat blijkt, krijg ik ook de Orange DNS servers te pakken terwijl Cloudfare of Google DNS servers staan ingesteld...
In de DHCP client options van de MikroTik dus maar 'Use peer DNS' uitgevinkt :o en NTP ook en 't is in orde nu.

f0ns · 08 mei 2018, 18:14

Update!

Mensen mensen, om verwarring te vermijden: werkt wel na invullen IPv6 adressen! (Zie ook m'n vorig bericht.)

Maar het is duidelijk dat je het gebruik van alternatieve DNS moet testen want er zijn blijkbaar wel meerdere redenen waarom het niet zou kunnen werken.

CCatalyst · 08 mei 2018, 18:53

't zal dan inderdaad zijn dat hij de Telenet DNS servers erbij zet als er niet "genoeg" ingevuld zijn door de gebruiker

08 mei 2018, 20:03

Is idd zo, en nog ns, IPv6 heeft traditioneel voorrang op IPv4 in vele implementaties.