DNS-Spoofing bei justdelete.me

Zitronella

Ich las gerade diesen Artikel und rief darauf hin die Seite justdelete.me in Firefox auf.
Darauf hin bekam ich dieses PopUp [Blockierte Grafik: http://i.imgur.com/JbclcG6.png] von der Erweiterung WorldIP

Es handelt sich wohl um DNS-Spoofing. Weitere Infos sind dann:

Zitat

Die IP-Adresse stimmt nicht mit den Adressen von den externen DNS-Servern überein. Sehr wahrscheinlich, das ist eine DNS-Attacke!

[Blockierte Grafik: http://i.imgur.com/Jfi2ZdCs.png]

Natürlich habe ich diverse Artikeln zu DNS-Spoofing daraufhin durch gelesen, aber so richtig schlau wurde ich daraus nicht.

Kann mir hier jemand das leichter erörtern? Ist die Seite nun als gefährlich einzuordnen? Und wenn ja, warum und was könnte ich als Endbenutzer dagegen unternehmen?
Freue mich über Antworten.

Edit: Ich fand diesen Artikel und bekam ein klein wenig mehr Verständnis davon. Allerdings ist der Artikel wohl von 1997 :shock:
Edit2: Jetzt auch noch diesen Artikel gefunden. Der ist echt schockierend aber auch interessant und recht gut beschrieben.

Jetzt stellt sich mir natürlich noch die Frage, kann so eine Erweiterung wirklich zuverlässig DNS-Spoofing erkennen?

.Hermes

Zitat von Zitronella

Jetzt stellt sich mir natürlich noch die Frage, kann so eine Erweiterung wirklich zuverlässig DNS-Spoofing erkennen?

Nein, so etwas gehört in die Abteilung "Schlangenöl".

der_nachdenklicher

Für die Website http://justdelete.me/ erhalte ich kein PopUp "DNS-Spoofing" !

Was muss ich genau einstellen, das ich das gleiche Ergebnis wie dies von Zitronella erhalte?

Wert "vom Benutzer festgelegt" alle andere sind auf Standard eingestellt.

Code

user_pref("extensions.worldip.clickaction", "getall");
user_pref("extensions.worldip.pointstime", 15937);
user_pref("extensions.worldip.version", "3.0.5");

Gruß, der_nachdenklicher

Bernd.

Möglicherweise nutzt Zitronella einen anderen DNS-Server mit veralteten Datensätzen. Immerhin unterscheiden sich deine Angaben darin, auch whois sagt das aus: http://whois.domaintools.com/justdelete.me

Sollte insgesamt zu denken geben...

Zitronella

habe in neuen Firefox Profil jetzt mal auch WorldIP installiert. Gleiches Verhalten wie ich oben beschrieb.
Und alle Einträge auf default ausser:

Code

user_pref("extensions.worldip.pointstime", 15937);
user_pref("extensions.worldip.version", "3.0.5");

Zitat von Bernd.

Möglicherweise nutzt Zitronella einen anderen DNS-Server mit veralteten Datensätzen.

Aha, und nun? kann ich das irgendwie ändern mit den veralteten Datensätzen, oder ist das Sache meines Providers (Alice/O2)?
ipconfig /flushdns habe ich schon durchgeführt, hat aber nichts an o.g. Anzeige geändert.

madperson

du könntest es mit einem anderen dns-anbieter versuchen (opendns, google public dns,...)

Zitronella

habe jetzt mal auf opendns umgestellt

Code

208.67.222.222
    208.67.220.220

Jetzt ist es genauso wie bei der der_nachdenklicher und ohne dieses DNS-Spoofing PopUp. Danke

//Mal sehen welche Probleme mir dadurch entstehen, ich hatte nämlich vor paar Jahren schon einmal umgestellt gehabt und irgendwas funktionierte danach nicht mehr richtig :-?? weiß nur nicht mehr was das war...

der_nachdenklicher

Bernd und Zitronella,
euch beiden Danke ich recht herzlich für die Aufklärung meiner Frage. kein PopUp "DNS-Spoofing"

Gruß, der_nachdenklicher

Zitronella

wenn ich jetzt in der Adresszeile das Wort Test eingebe wird nicht mehr über meine eingestellte Suchmaschine gesucht sondern ich werde weiter geleitet nach http://www.website-unavailable.com/?wc=EWJnGBd6Bh5fBBV1GAg=&url=test :o

Sowie die Anzeige:
[Blockierte Grafik: http://i.imgur.com/lNTdYDHs.png]

Bernd.

Versuch es doch einfach ohne diesen Schrott, bitte :idea::roll:

Zitronella

mit Schrott meinst du doch nur WorldIP und ich könnte darin die Funktion von "DNS-Spoofing überprüfen" abschalten, ansonsten finde ich dies eine gute Erweiterung.
Hat aber alles nichts damit zu tun dass ich durch die Umstellung des DNS-Servers jetzt halt auf OpenDns Suche geleitet werde bei einem Suchbegriff in der Adresszeile.

Darklord666

Zitat von Zitronella

Hat aber alles nichts damit zu tun dass ich durch die Umstellung des DNS-Servers jetzt halt auf OpenDns Suche geleitet werde bei einem Suchbegriff in der Adresszeile.

Dann hat OpenDNS womöglich deine Startseite in Firefox geändert Oder ist das jetzt zu simpel gedacht ? :?

Bernd.

Zitat

und ich könnte darin die Funktion von "DNS-Spoofing überprüfen" abschalten,

Wobei du dann eigentliche die wichtigste Funktion verlierst. Alles andere ist doch nur pillepalle-Info ohne weiteren Nährwert
http://www.wipmania.com/en/plugins/

hurda

Zitat von Darklord666

Dann hat OpenDNS womöglich deine Startseite in Firefox geändert Oder ist das jetzt zu simpel gedacht ? :?

Eher ein Umbiegen des Browsers bei einer NXDOMAIN-Fehlermeldung: http://www.dvmag.de/typosquatting-durch-provider/

Wird bzw. wurde gerne von ISPs und anderen Services gemacht, um mit Werbeeinblendungen ein wenig Geld zu verdienen.
Ist aber eigentlich gegen den DNS-Standard, so eine Weiterleitung zu machen.

Zitronella

Zitat von Zitronella

kann so eine Erweiterung wirklich zuverlässig DNS-Spoofing erkennen?

Zitat von .Hermes

Nein, so etwas gehört in die Abteilung "Schlangenöl".

Zitat von Zitronella

ich könnte darin die Funktion von "DNS-Spoofing überprüfen" abschalten

Zitat von Bernd.

Wobei du dann eigentliche die wichtigste Funktion verlierst

Wer hat nun recht? :-??

WorldIP

Vielleicht soll ich antworten

Zitat von Zitronella

kann so eine Erweiterung wirklich zuverlässig DNS-Spoofing erkennen?

Ja, sie kann es wirklich.
Beim Verdacht auf Spoofing werden mehrere DNS-requests zu externen DNS-server geschickt (aus der Liste in Optionen, zum Google-Server, zu einem eigenen DNS-server von Domain, via UPD/TCP, Anfragen mit A und ANY requests)

Manchmal werden aber "False-Positive" Alarmen angezeigt. Das passiert am meisten nur mit CDN-Hosters, welche mehrere IPs haben und GeoDNS benutzen. Ich arbeite daran, die Erweiterung besser zu machen. In den nächsten Tagen kommt die neue Version, mit bekannten gefixten Bugs.

Zitat von Zitronella

ich könnte darin die Funktion von "DNS-Spoofing überprüfen" abschalten

Zitat von Bernd.

Wobei du dann eigentliche die wichtigste Funktion verlierst

Für mich persönlich ist diese Funktion auch die wichtigste, aber auch Rechenzentrum-Anzeige finde ich sinnvoll.
Die wurden implementiert nachdem wir viele Meldungen gefragt bekommen: "wieso zeigt WorldIP für Google.com NL-Land und ein komisches Rechenzentrum"...und dann kommt heraus, dass es Phishing-Virus war..

Was sehr wichtig für die Sicherheit ist, dass WorldIP sendet dank eigenen Prozeduren direkte DNS-Anfragen (DNS-Funktion von Firefox und resolver von Betriebsystem werden nicht benutzt!)

Ich kann hier weitere Fragen beantworten
Gruß, Alex Aster (WorldIP-Entwickler)

Zitronella

Danke für die Antwort. Und ist
http://justdelete.me false-positive und
http://www.website-unavailable.com auch false-positive?

WorldIP

Zitat von Zitronella

Danke für die Antwort. Und ist
http://justdelete.me false-positive und
http://www.website-unavailable.com auch false-positive?

Also, wie der Screenshot aussieht für
1. http://justdelete.me

entweder Spoofing, oder auch kann der Fall sein, dass Justdelete.me vor kurzem umgezogen ist, ohne alten Server zu löschen, was normal beim Umzug ist, und IP geändert (z.Z. 205.186.183.190). Das heißt, auf dem DNS-Server vom Provider waren noch alte Daten gespeichert. Deswegen beim DNS-Wechsel kein roter Alarm mehr, weil jetzt aktuelle IP hat.

Diese Situation kann man immer im Add-on überprüfen, indem man im Menu clickt "Alle Informationen erhalten und DNS prüfen", und dann nach dem neuen Wert schauen. Ich merke mir aber den Bug für die neue Version.
Das hilft allerdings nur, wenn DNS von Ihrem Provider DNS-Einträge nach dem Internet-Standart aktualisiert (d.h. er holt neue Daten nach dem Ablauf von TTL)

2. http://www.website-unavailable.com
Entweder benutzt diese seite Geo-Balancierung oder wechselt ständig eigene IP. Auf jeden Fall ich versuche das zu fixen.