11
Sporadisch falsche DNS-Auflösungen im Netzwerk
Hallo,
das Problem existiert schon seit einiger Zeit in unserem Netzwerk, aber bisher konnte uns niemand weiterhelfen.
Das Phänomen ist folgendes: Ohne erkennbare Ursache bekomt ein PC im Netzwerk beim Aufruf einer beliebigen URL (z.B. google.de) eine andere Seite angezeigt (beispielsweise den Inhalt von yahoo.de oder aber auch eine Fehlermeldung, weil z.b. auf ein CDN zugegriffen wird, oder auch eine Zertifikatswarnung, in dem das Zertifkat anmerkt, dass es nicht für diese Seite ausgestellt sei). Ich bin der Meinung, dass dies immer Domains/IPs sind, die im Netzwerk aufgerufen wurden (also Seiten, die zuvor von jemand anderes geladen wurden).
Ein Neuladen der Seite bringt nichts, auch nicht der Wechsel des Browsers (Chrome, Firefox, IE, Safari). Durch ein dns flush per Console sowie anschließendem Browser-Neustart oder alternativ einem Rechner-Neustart lässt sich der Fehler korrigieren.
Das ganze kann auf verschiedenen PCs im Netzwerk auftreten, scheinbar passiert dies aber gehäuft auf ein paar wenigen (kann aber auch auf die intensivere Internet-Nutzung zurückzuführen sein). Der Fehler tritt sowohl unter Windows 7,8 oder 10 auf als auch unter OS X.
Nach meinem Verständnis und der Tatsache, dass man das Problem per dns flush beheben kann, muss es also an einem Problem bei der DNS-Auflösung liegen. Dann verstehe ich allerdings nicht, warum andere PCs zum gleichen Zeitpunkt die korrekte Seite sehen, zumal alle den gleichen DNS-Server nutzen.
Unser Netzwerk besteht aus ca. 20-25 Endgeräten, hauptsächlich PCs, sowie mehrere Drucker und 2 IP-Cams). Die Drucker und Kameras haben statische IP-Adressen, die Rechner arbeiten per DHCP. Als Router/DNS-Server/DHCP haben wir einen Octopus F50 von der Telekom. Die meisten Geräte laufen über einen 16 Port Gigabit-Switch von TP-Link, zudem sind als noch ein paar weitere kleinere Gigabit-Switches im Einsatz.
- Es wurde auch bereits eine elektronische Messung aller Anschlüsse durchgeführt, sodass Störeinflüsse oder falsche Verdrahtungen ausgeschlossen wurden.
- Trägt man bei einem betroffenen PC testweise mal einen anderen DNS-Server in den Netzwerk-Einstellungen ein (z.B. Googles 8.8.8.8) tritt der Fehler trotzdem weiter auf.
- Die Telekom habe ich bereits 4-5 zu der Problematik kontaktiert, da wurde dann max. ein Firmware-Update des Routers durchgeführt oder die x. Kontrolle der DNS-Einstellungen im Router kontrolliert und ansonsten auf "andere Fehlerquellen im Netzwerk" verwiesen.
- Ruft man auf einem betroffenen Windows-PC ipconfig /displaydns auf, wenn der Fehler auftritt, steht dort auch wie zu erwarten ist, eine falsche IP-Adresse bei der betroffenen Domain. Die Ursache ist leider trotzdem für mich nicht erklärbar und auffindbar.
Falls jemand mir weiterhelfen könnte, wäre ich sehr dankbar!
das Problem existiert schon seit einiger Zeit in unserem Netzwerk, aber bisher konnte uns niemand weiterhelfen.
Das Phänomen ist folgendes: Ohne erkennbare Ursache bekomt ein PC im Netzwerk beim Aufruf einer beliebigen URL (z.B. google.de) eine andere Seite angezeigt (beispielsweise den Inhalt von yahoo.de oder aber auch eine Fehlermeldung, weil z.b. auf ein CDN zugegriffen wird, oder auch eine Zertifikatswarnung, in dem das Zertifkat anmerkt, dass es nicht für diese Seite ausgestellt sei). Ich bin der Meinung, dass dies immer Domains/IPs sind, die im Netzwerk aufgerufen wurden (also Seiten, die zuvor von jemand anderes geladen wurden).
Ein Neuladen der Seite bringt nichts, auch nicht der Wechsel des Browsers (Chrome, Firefox, IE, Safari). Durch ein dns flush per Console sowie anschließendem Browser-Neustart oder alternativ einem Rechner-Neustart lässt sich der Fehler korrigieren.
Das ganze kann auf verschiedenen PCs im Netzwerk auftreten, scheinbar passiert dies aber gehäuft auf ein paar wenigen (kann aber auch auf die intensivere Internet-Nutzung zurückzuführen sein). Der Fehler tritt sowohl unter Windows 7,8 oder 10 auf als auch unter OS X.
Nach meinem Verständnis und der Tatsache, dass man das Problem per dns flush beheben kann, muss es also an einem Problem bei der DNS-Auflösung liegen. Dann verstehe ich allerdings nicht, warum andere PCs zum gleichen Zeitpunkt die korrekte Seite sehen, zumal alle den gleichen DNS-Server nutzen.
Unser Netzwerk besteht aus ca. 20-25 Endgeräten, hauptsächlich PCs, sowie mehrere Drucker und 2 IP-Cams). Die Drucker und Kameras haben statische IP-Adressen, die Rechner arbeiten per DHCP. Als Router/DNS-Server/DHCP haben wir einen Octopus F50 von der Telekom. Die meisten Geräte laufen über einen 16 Port Gigabit-Switch von TP-Link, zudem sind als noch ein paar weitere kleinere Gigabit-Switches im Einsatz.
- Es wurde auch bereits eine elektronische Messung aller Anschlüsse durchgeführt, sodass Störeinflüsse oder falsche Verdrahtungen ausgeschlossen wurden.
- Trägt man bei einem betroffenen PC testweise mal einen anderen DNS-Server in den Netzwerk-Einstellungen ein (z.B. Googles 8.8.8.8) tritt der Fehler trotzdem weiter auf.
- Die Telekom habe ich bereits 4-5 zu der Problematik kontaktiert, da wurde dann max. ein Firmware-Update des Routers durchgeführt oder die x. Kontrolle der DNS-Einstellungen im Router kontrolliert und ansonsten auf "andere Fehlerquellen im Netzwerk" verwiesen.
- Ruft man auf einem betroffenen Windows-PC ipconfig /displaydns auf, wenn der Fehler auftritt, steht dort auch wie zu erwarten ist, eine falsche IP-Adresse bei der betroffenen Domain. Die Ursache ist leider trotzdem für mich nicht erklärbar und auffindbar.
Falls jemand mir weiterhelfen könnte, wäre ich sehr dankbar!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 295112
Url: https://administrator.de/contentid/295112
Printed on: April 18, 2024 at 15:04 o'clock
11 Comments
Latest comment
Moin,
kannst du sicher sein, dass deine Systeme nicht infiziert sind?
Wenn das Problem auftritt und du sogar schon den Google DNS eingetragen hast sollte es schonmal nicht an den DNS Einstellungen der Telekom liegen.
Passiert das auch bei Linux oder OSX Clients?
Kannst du das Problem reproduzieren und ggf. mit einem Live-Linux testen?
VG
Val
kannst du sicher sein, dass deine Systeme nicht infiziert sind?
Wenn das Problem auftritt und du sogar schon den Google DNS eingetragen hast sollte es schonmal nicht an den DNS Einstellungen der Telekom liegen.
Passiert das auch bei Linux oder OSX Clients?
Kannst du das Problem reproduzieren und ggf. mit einem Live-Linux testen?
VG
Val
Hi,
also alle Systeme verwenden aktuelle Virenscanner und werden auch gewissenhaft benutzt. Eine 100%ige Garantie, dass nicht vielleicht doch ein schwer zu erkennendes Rootkit oder ähnliches drauf vorhanden sein könnte, habe ich natürlich nicht. Kann ich mir zwar wirklich nur schwer vorstellen, dennoch werde ich das auch noch mal genauer prüfen. Danke für den Hinweis.
Es passiert auch bei OS X Clients, ja. Linux haben wir aktuell nicht im Betrieb.
Reproduzieren kann ich es nicht, da es ja nicht regelmäßig oder aus einem einem erkennbaren Grund auftritt. Das einzige, was ich max. bisher machen konnte, war halt auf dem betroffenem Gerät nachzugucken, welche DNS-Einträge im Cache stehen.
Mit einem Live-Linux zu testen würde bedeuten, dass ich oder jemand anderes ggf. mehrere Wochen an diesem System arbeiten müsste, um den Fehler eventuell zu bekommen.
Danke und Gruß
also alle Systeme verwenden aktuelle Virenscanner und werden auch gewissenhaft benutzt. Eine 100%ige Garantie, dass nicht vielleicht doch ein schwer zu erkennendes Rootkit oder ähnliches drauf vorhanden sein könnte, habe ich natürlich nicht. Kann ich mir zwar wirklich nur schwer vorstellen, dennoch werde ich das auch noch mal genauer prüfen. Danke für den Hinweis.
Es passiert auch bei OS X Clients, ja. Linux haben wir aktuell nicht im Betrieb.
Reproduzieren kann ich es nicht, da es ja nicht regelmäßig oder aus einem einem erkennbaren Grund auftritt. Das einzige, was ich max. bisher machen konnte, war halt auf dem betroffenem Gerät nachzugucken, welche DNS-Einträge im Cache stehen.
Mit einem Live-Linux zu testen würde bedeuten, dass ich oder jemand anderes ggf. mehrere Wochen an diesem System arbeiten müsste, um den Fehler eventuell zu bekommen.
Danke und Gruß
Wireshark an den Switch und dann mal protokollieren und prüfen. Nur dannw irst du sicherstellen können, von wo wie welche daten fließen
Hi Michael,
das habe ich auch schon mal gemacht, habe endlos Daten gesammelt aber wenn man nicht weiß, wonach und wie man in Wireshare welche Daten suchen soll, hilft einem das auch nicht wirklich weiter
Meine Idee war, den gesamten Datenverkehr mitzuloggen, bis der Fehler auftritt und dann im Log irgendwie nachvollziehen, ob vielleicht der Router falsche DNS-Angaben verschickt. Konnte dazu aber keine hilfreiche Anleitung finden und mit reinem Ausprobieren in Wireshark bin ich auch nicht weitergekommen und hab es daher wieder aufgegeben.
Für einen erneuten Versuch wäre ich gern bereit, falls du da Tipps hast
das habe ich auch schon mal gemacht, habe endlos Daten gesammelt aber wenn man nicht weiß, wonach und wie man in Wireshare welche Daten suchen soll, hilft einem das auch nicht wirklich weiter
Meine Idee war, den gesamten Datenverkehr mitzuloggen, bis der Fehler auftritt und dann im Log irgendwie nachvollziehen, ob vielleicht der Router falsche DNS-Angaben verschickt. Konnte dazu aber keine hilfreiche Anleitung finden und mit reinem Ausprobieren in Wireshark bin ich auch nicht weitergekommen und hab es daher wieder aufgegeben.
Für einen erneuten Versuch wäre ich gern bereit, falls du da Tipps hast
Vom Ansatz genau richtig
Am sinnigsten protokllierst du direkt den Switchport (stichworte: port mirror,geht aber nur bei managed switches) oder halt direkt auf dem PC.
Danach setzt Du einen Filter im Wireshark der sich nur auf DNS bezieht. Und dann kannst du analysieren. Eventuell zusätzliche Filter wie Domain oder IPs setzen. Anleitungen für solche einfachen Filter sollte es genug im Netz geben. Bitte beachten dass das Log sehr groß wird vom Wireshark.
Was mich nur wundert ist, dass das Problem auch auftritt wenn du einen Google-DNS Server wendest. Könnte auch Softwrae auf dem PC sein, die den DNS Cache manipuliert (wenn auch eher unabsichtlich)
Am sinnigsten protokllierst du direkt den Switchport (stichworte: port mirror,geht aber nur bei managed switches) oder halt direkt auf dem PC.
Danach setzt Du einen Filter im Wireshark der sich nur auf DNS bezieht. Und dann kannst du analysieren. Eventuell zusätzliche Filter wie Domain oder IPs setzen. Anleitungen für solche einfachen Filter sollte es genug im Netz geben
. Bitte beachten dass das Log sehr groß wird vom Wireshark.Was mich nur wundert ist, dass das Problem auch auftritt wenn du einen Google-DNS Server wendest. Könnte auch Softwrae auf dem PC sein, die den DNS Cache manipuliert (wenn auch eher unabsichtlich)
ok, dann werd ich mich noch mal mit Wireshark analysieren. das Filter ist eine gute Idee
Die Größe des Logs war auch einer der Gründe, warum ich beim letzten Mal nach einigen Tagen die Hoffnung nach einer sinnvollen Analyse aufgegeben hatte :D
Ja, das mit dem Google-DNS fand ich auch komisch, war mir auch vorher ziemlich sicher, dass die falschen Einträge bestimmt vom überlasteten Telekom-DNS kommen würden. Aber scheinbar läuft erst ab unserem Router etwas schief.
Software auf dem PC, die den Cache offiziell verändern könnte/müsste/dürfte, wüsste ich auch keine, die auf verschiedenen Windows- und OS X-Installationen bei uns im Einsatz wären. Wir hatten das Problem sogar auf einem frisch eingerichteten Windows 8 nach wenigen Stunden (und da wäre dann höchstens Windows die einzige Software, die auf dem PC in Frage kommen würde)
Die Größe des Logs war auch einer der Gründe, warum ich beim letzten Mal nach einigen Tagen die Hoffnung nach einer sinnvollen Analyse aufgegeben hatte :D
Ja, das mit dem Google-DNS fand ich auch komisch, war mir auch vorher ziemlich sicher, dass die falschen Einträge bestimmt vom überlasteten Telekom-DNS kommen würden. Aber scheinbar läuft erst ab unserem Router etwas schief.
Software auf dem PC, die den Cache offiziell verändern könnte/müsste/dürfte, wüsste ich auch keine, die auf verschiedenen Windows- und OS X-Installationen bei uns im Einsatz wären. Wir hatten das Problem sogar auf einem frisch eingerichteten Windows 8 nach wenigen Stunden (und da wäre dann höchstens Windows die einzige Software, die auf dem PC in Frage kommen würde
)
Hallo Caarl
Wenn ich das hier so lese, klingt es wie das Phänomen von DNS-Spoofing oder auch DNS-Poisoning.
wenn ich dich recht verstanden habe:
würde ich dann eher vermuten das der lokale DNS-Cache befallen wird.
A) Denn wenn du den Cache leerst, funktioniert es ja wieder, womit er sich ja den richtigen Eintrag erneut per DNS-Server-Abfrage zieht.
B) Die falschen IPs erhältst du auch dann wenn du den Google DNS 8.8.8.8 nutzt.
Gruß
Hajo
Wenn ich das hier so lese, klingt es wie das Phänomen von DNS-Spoofing oder auch DNS-Poisoning.
wenn ich dich recht verstanden habe:
würde ich dann eher vermuten das der lokale DNS-Cache befallen wird.
A) Denn wenn du den Cache leerst, funktioniert es ja wieder, womit er sich ja den richtigen Eintrag erneut per DNS-Server-Abfrage zieht.
B) Die falschen IPs erhältst du auch dann wenn du den Google DNS 8.8.8.8 nutzt.
Gruß
Hajo
Arbeitet der Router eventuell als transparenter DNS-Proxy? Das kann man testen, indem man auf einem Client über nslookup "whoami.akamai.net" auflöst und mal schaut, was da als A-Record zurückgeliefert wird. Dies ist dann der Nameserver, der die Anfrage an Akamai gestellt hat.
Wenn am Client ein Google-DNS eingetragen ist und eine IP der Telekom angezeigt wird, fängt euer Router alle DNS-Anfragen ab und leitet sie durch sich selbst (um z.B. blockierte Domains explizit nicht aufzulösen).
Bei Google-DNS wird nie die 8.8.8.8 angezeigt, sondern immer irgendeine andere IP, die dann aber dennoch zu Google gehört. Muss man dann halt mal über den WHOIS schauen
Wenn am Client ein Google-DNS eingetragen ist und eine IP der Telekom angezeigt wird, fängt euer Router alle DNS-Anfragen ab und leitet sie durch sich selbst (um z.B. blockierte Domains explizit nicht aufzulösen).
Bei Google-DNS wird nie die 8.8.8.8 angezeigt, sondern immer irgendeine andere IP, die dann aber dennoch zu Google gehört. Muss man dann halt mal über den WHOIS schauen
@hajowe
ja, sowas wurde ja schon mehrfach vermutet. Dass es Schadsoftware ist, finde ich aufgrund der Tatsache, dass es auf Windows 7/8/10 und OS X auftritt, unwahrscheinlich (aber natürlich nicht ausgeschlossen). Ein Scan mit Microsoft Security Essentials + Malwarebytes Anti-Malware bzw. Kaspersky + Malwarebytes Anti-Malware konnte auch nichts verdächtiges aufdecken.
@LordGurke
guter Hinweis, hab ich gleich mal geprüft. (leider) fängt der Router aber die DNS-Anfragen nicht ab, also beim nslookup mit eingeschaltetem Google DNS sehe ich auch tatsachlich eine Google IP statt eine von der Telekom.
Ich werde jetzt noch mal bei allen Endgeräten, bei denen der Fehler in letzter Zeit auftrat, den Google DNS eintragen und außerdem Wireshark anschmeißen und hoffentlich etwas aufschlussreiches mittracken können.
ja, sowas wurde ja schon mehrfach vermutet. Dass es Schadsoftware ist, finde ich aufgrund der Tatsache, dass es auf Windows 7/8/10 und OS X auftritt, unwahrscheinlich (aber natürlich nicht ausgeschlossen). Ein Scan mit Microsoft Security Essentials + Malwarebytes Anti-Malware bzw. Kaspersky + Malwarebytes Anti-Malware konnte auch nichts verdächtiges aufdecken.
@LordGurke
guter Hinweis, hab ich gleich mal geprüft. (leider) fängt der Router aber die DNS-Anfragen nicht ab, also beim nslookup mit eingeschaltetem Google DNS sehe ich auch tatsachlich eine Google IP statt eine von der Telekom.
Ich werde jetzt noch mal bei allen Endgeräten, bei denen der Fehler in letzter Zeit auftrat, den Google DNS eintragen und außerdem Wireshark anschmeißen und hoffentlich etwas aufschlussreiches mittracken können.
Hallo,
ich habe in meinem Netzwerk ein ähnliches Problem und gehe auch bald am Stock. Bei uns kam es Zeitgleich mit einer Umstallung beid er Telekom auf All-IP Telefonie. Ist das bei euch auch so gewesen?
Gruß Jakob
ich habe in meinem Netzwerk ein ähnliches Problem und gehe auch bald am Stock. Bei uns kam es Zeitgleich mit einer Umstallung beid er Telekom auf All-IP Telefonie. Ist das bei euch auch so gewesen?
Gruß Jakob
SInd auf den PCs statische oder dynamische IPs vergeben ? DNS Einstellungen kommen vom DHCP oder sind manuell eingetragen ?
Grüße, Henere
Grüße, Henere
