Heiner.Hopi
07.10.09, 15:42
Durch einen Bekannten aufgefordert, sah ich seinen Beitrag im -Myspace- an,
dabei meldete NoScript unter Firefox 3.5 hier und auf einer weiteren Seite einen geblockten Hijackeversuch.
Darauf habe ich mir -Wireshark- installiert um zu sehen was so auf -eth0- läuft.
Hier wurden neben, für mich normalen Verkehr, mir unbekannte DNS benannt.
Hier ein Beispiel:
No. Time Source Destination Protocol Info
108 06:26:34.074358 192.168.2.101 192.168.2.1 DNS Standard query AAAA www.megabad.com
Frame 108 (75 bytes on wire, 75 bytes captured)
Ethernet II, Src: Elitegro_69:fc:56 (00:19:21:69:fc:56), Dst: Arcadyan_82:3a:91 (00:12:bf:82:3a:91)
Internet Protocol, Src: 192.168.2.101 (192.168.2.101), Dst: 192.168.2.1 (192.168.2.1)
User Datagram Protocol, Src Port: 38929 (38929), Dst Port: domain (53)
Domain Name System (query)
No. Time Source Destination Protocol Info
112 06:26:35.188848 192.168.2.101 192.168.2.1 DNS Standard query AAAA www.megabad.com.Speedport_W_700V
No. Time Source Destination Protocol Info
118 06:26:36.396935 192.168.2.101 192.168.2.1 DNS Standard query AAAA compr00t.co.funpic.de
Frame 118 (81 bytes on wire, 81 bytes captured)
Ethernet II, Src: Elitegro_69:fc:56 (00:19:21:69:fc:56), Dst: Arcadyan_82:3a:91 (00:12:bf:82:3a:91)
Internet Protocol, Src: 192.168.2.101 (192.168.2.101), Dst: 192.168.2.1 (192.168.2.1)
User Datagram Protocol, Src Port: 50098 (50098), Dst Port: domain (53)
Domain Name System (query)
No. Time Source Destination Protocol Info
119 06:26:36.474731 192.168.2.1 192.168.2.101 DNS Standard query response CNAME server3.funpic.de
Frame 119 (158 bytes on wire, 158 bytes captured)
Ethernet II, Src: Arcadyan_82:3a:91 (00:12:bf:82:3a:91), Dst: Elitegro_69:fc:56 (00:19:21:69:fc:56)
Internet Protocol, Src: 192.168.2.1 (192.168.2.1), Dst: 192.168.2.101 (192.168.2.101)
User Datagram Protocol, Src Port: domain (53), Dst Port: 50098 (50098)
Domain Name System (response)
No. Time Source Destination Protocol Info
120 06:26:36.474810 192.168.2.101 192.168.2.1 DNS Standard query A compr00t.co.funpic.de
Frame 120 (81 bytes on wire, 81 bytes captured)
Ethernet II, Src: Elitegro_69:fc:56 (00:19:21:69:fc:56), Dst: Arcadyan_82:3a:91 (00:12:bf:82:3a:91)
Internet Protocol, Src: 192.168.2.101 (192.168.2.101), Dst: 192.168.2.1 (192.168.2.1)
User Datagram Protocol, Src Port: 50451 (50451), Dst Port: domain (53)
Domain Name System (query)
No. Time Source Destination Protocol Info
121 06:26:36.543687 192.168.2.1 192.168.2.101 DNS Standard query response CNAME server3.funpic.de A 213.202.225.51
Frame 121 (119 bytes on wire, 119 bytes captured)
Ethernet II, Src: Arcadyan_82:3a:91 (00:12:bf:82:3a:91), Dst: Elitegro_69:fc:56 (00:19:21:69:fc:56)
Internet Protocol, Src: 192.168.2.1 (192.168.2.1), Dst: 192.168.2.101 (192.168.2.101)
User Datagram Protocol, Src Port: domain (53), Dst Port: 50451 (50451)
Domain Name System (response)
No. Time Source Destination Protocol Info
149 06:27:16.699335 192.168.2.101 192.168.2.1 DNS Standard query AAAA www.tutorials.de.Speedport_W_700V
Frame 149 (93 bytes on wire, 93 bytes captured)
Ethernet II, Src: Elitegro_69:fc:56 (00:19:21:69:fc:56), Dst: Arcadyan_82:3a:91 (00:12:bf:82:3a:91)
Internet Protocol, Src: 192.168.2.101 (192.168.2.101), Dst: 192.168.2.1 (192.168.2.1)
User Datagram Protocol, Src Port: 47344 (47344), Dst Port: domain (53)
Domain Name System (query)
Ist es überhaupt ein Problem?
Wie und wo kannt ich verhindern derartiges zu tun?
(Ich sitze hinter einem Telecom Router)
dabei meldete NoScript unter Firefox 3.5 hier und auf einer weiteren Seite einen geblockten Hijackeversuch.
Darauf habe ich mir -Wireshark- installiert um zu sehen was so auf -eth0- läuft.
Hier wurden neben, für mich normalen Verkehr, mir unbekannte DNS benannt.
Hier ein Beispiel:
No. Time Source Destination Protocol Info
108 06:26:34.074358 192.168.2.101 192.168.2.1 DNS Standard query AAAA www.megabad.com
Frame 108 (75 bytes on wire, 75 bytes captured)
Ethernet II, Src: Elitegro_69:fc:56 (00:19:21:69:fc:56), Dst: Arcadyan_82:3a:91 (00:12:bf:82:3a:91)
Internet Protocol, Src: 192.168.2.101 (192.168.2.101), Dst: 192.168.2.1 (192.168.2.1)
User Datagram Protocol, Src Port: 38929 (38929), Dst Port: domain (53)
Domain Name System (query)
No. Time Source Destination Protocol Info
112 06:26:35.188848 192.168.2.101 192.168.2.1 DNS Standard query AAAA www.megabad.com.Speedport_W_700V
No. Time Source Destination Protocol Info
118 06:26:36.396935 192.168.2.101 192.168.2.1 DNS Standard query AAAA compr00t.co.funpic.de
Frame 118 (81 bytes on wire, 81 bytes captured)
Ethernet II, Src: Elitegro_69:fc:56 (00:19:21:69:fc:56), Dst: Arcadyan_82:3a:91 (00:12:bf:82:3a:91)
Internet Protocol, Src: 192.168.2.101 (192.168.2.101), Dst: 192.168.2.1 (192.168.2.1)
User Datagram Protocol, Src Port: 50098 (50098), Dst Port: domain (53)
Domain Name System (query)
No. Time Source Destination Protocol Info
119 06:26:36.474731 192.168.2.1 192.168.2.101 DNS Standard query response CNAME server3.funpic.de
Frame 119 (158 bytes on wire, 158 bytes captured)
Ethernet II, Src: Arcadyan_82:3a:91 (00:12:bf:82:3a:91), Dst: Elitegro_69:fc:56 (00:19:21:69:fc:56)
Internet Protocol, Src: 192.168.2.1 (192.168.2.1), Dst: 192.168.2.101 (192.168.2.101)
User Datagram Protocol, Src Port: domain (53), Dst Port: 50098 (50098)
Domain Name System (response)
No. Time Source Destination Protocol Info
120 06:26:36.474810 192.168.2.101 192.168.2.1 DNS Standard query A compr00t.co.funpic.de
Frame 120 (81 bytes on wire, 81 bytes captured)
Ethernet II, Src: Elitegro_69:fc:56 (00:19:21:69:fc:56), Dst: Arcadyan_82:3a:91 (00:12:bf:82:3a:91)
Internet Protocol, Src: 192.168.2.101 (192.168.2.101), Dst: 192.168.2.1 (192.168.2.1)
User Datagram Protocol, Src Port: 50451 (50451), Dst Port: domain (53)
Domain Name System (query)
No. Time Source Destination Protocol Info
121 06:26:36.543687 192.168.2.1 192.168.2.101 DNS Standard query response CNAME server3.funpic.de A 213.202.225.51
Frame 121 (119 bytes on wire, 119 bytes captured)
Ethernet II, Src: Arcadyan_82:3a:91 (00:12:bf:82:3a:91), Dst: Elitegro_69:fc:56 (00:19:21:69:fc:56)
Internet Protocol, Src: 192.168.2.1 (192.168.2.1), Dst: 192.168.2.101 (192.168.2.101)
User Datagram Protocol, Src Port: domain (53), Dst Port: 50451 (50451)
Domain Name System (response)
No. Time Source Destination Protocol Info
149 06:27:16.699335 192.168.2.101 192.168.2.1 DNS Standard query AAAA www.tutorials.de.Speedport_W_700V
Frame 149 (93 bytes on wire, 93 bytes captured)
Ethernet II, Src: Elitegro_69:fc:56 (00:19:21:69:fc:56), Dst: Arcadyan_82:3a:91 (00:12:bf:82:3a:91)
Internet Protocol, Src: 192.168.2.101 (192.168.2.101), Dst: 192.168.2.1 (192.168.2.1)
User Datagram Protocol, Src Port: 47344 (47344), Dst Port: domain (53)
Domain Name System (query)
Ist es überhaupt ein Problem?
Wie und wo kannt ich verhindern derartiges zu tun?
(Ich sitze hinter einem Telecom Router)