Vraag

zondag 23 oktober 2022 21:56

Acties:
  • 0 Henk 'm!
  • cj1
  • Registratie: Juli 2008
  • Niet online

cj1

2mm zonnepanelen 53% glasbreuk

Topicstarter
Sinds mei 2022 merk ik dat er iets vreemd gebeurt op mijn internet router. Ik merk dat er voor sommige DNS lookups (niet voor alle lookup) extra records worden toegevoegd bij
opvolgende identieke verzoeken (dus niet bij de eerste vraag en het eerste antwoord). Deze extra records worden vreemd genoeg niet in de DNS cache van de router getoond.

Een voorbeeld:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

[2611 /opt/home/admin] # nslookup www.schaijk.nl 192.168.32.254 
Server: 192.168.32.254 
Address 1: 192.168.32.254 
Name: www.schaijk.nl 
Address 1: 167.99.193.205 www.schaijk.nl 
Address 2: 109.235.74.225 www.schaijk.nl 
Address 3: 2a03:b0c0:1:e0::445:9001 ns2.yoursrs.com 
Address 4: 2a01:518:1:41:2::53 ns1.yoursrs.com 
[2611 /opt/home/admin] # nslookup www.schaijk.nl 192.168.32.254 
Server: 192.168.32.254 
Address 1: 192.168.32.254 
Name: www.schaijk.nl 
Address 1: 167.99.193.205 www.schaijk.nl 
Address 2: 109.235.74.225 www.schaijk.nl 
Address 3: 42.3.176.192 42-3-176-192.ptr.netvigator.com 
Address 4: 42.1.5.24 
Address 5: a763:c1cd:: 
Address 6: 6deb:4ae1:: 
Address 7: 2a03:b0c0:1:e0::445:9001 ns2.yoursrs.com 
Address 8: 2a01:518:1:41:2::53 ns1.yoursrs.com


Zou de router gehackt zijn of is het eerder een firmware/software bug, of eerder een routing issue?

[ Voor 198% gewijzigd door cj1 op 29-10-2022 13:42 . Reden: in afwachting van security advisory ]

Panasonic WH-MDC05F3E5, PAW-DHWM80ZNT, 3×Fronius IG Plus, Diehl Platinum 2100H, Mean Well TS-200, Studer AJ400-48, 18×Rept CB75, Tibber Epex/Greenchoice 3j

Beste antwoord (via cj1 op 24-10-2022 14:06)

zondag 23 oktober 2022 23:17

  • OnTracK
  • Registratie: Oktober 2002
  • Nu online

OnTracK

Een snelle gok op basis van de getallen: ipv4 adressen uit de cache worden geïnterpreteerd als ipv6 en omgekeerd. Ik heb het niet exact nagerekend maar volgens mij converteren de ipv4 adressen naar die korte ipv6 adressen (op de incorrecte manier) en omgekeerd denk ik ook dat hetzelfde aan de hand is: De eerste 4 bytes van het ipv6 adres wordt geïnterpreteerd als ipv4 adres.

[ Voor 11% gewijzigd door OnTracK op 23-10-2022 23:22 ]

Not everybody wins, and certainly not everybody wins all the time.
But once you get into your boat, push off and tie into your shoes.
Then you have indeed won far more than those who have never tried.

Alle reacties

zondag 23 oktober 2022 22:43

Acties:
  • 0 Henk 'm!
  • Ruben279
  • Registratie: Augustus 2018
  • Laatst online: 19:56

Ruben279

Dat netvigator een residentiële internetprovider in Hong Kong, dat is sowieso al vreemd.

Ik kom ook dit artikel tegen https://www.securityweek.com/attackers-change-dns-settings-draytek-routers:
“Shodan shows there are nearly 800,000 Draytek routers worldwide, so the vulnerability provides a big opportunity for malicious redirections which could result in people and businesses losing credentials, data and ultimately money,” Sion Lloyd, Researcher at Nominet, told SecurityWeek in an emailed comment.
Ik zou dan denken aan een 'gehackte' router, of iig eentje met een firmware die niet echt safe is. Helemaal omdat je bij een andere router geen problemen hebt.
En dan heeft een factory reset ook geen zin omdat je dan de oude firmware gewoon weer terugzet.

zondag 23 oktober 2022 22:47

Acties:
  • 0 Henk 'm!
  • Ruben279
  • Registratie: Augustus 2018
  • Laatst online: 19:56

Ruben279

Als ik een lookup doe op schaijk.nl, reporten alle nameservers (Google, Quad9, Cloudflare) keurig dezelfde adressen:

v4:
167.99.193.205
109.235.74.225

v6:
2a03:b0c0:1:e0:0:0:445:9001
2a01:518:1:41:2:0:0:53

[ Voor 8% gewijzigd door Ruben279 op 23-10-2022 22:48 ]

zondag 23 oktober 2022 23:17

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • OnTracK
  • Registratie: Oktober 2002
  • Nu online

OnTracK

Een snelle gok op basis van de getallen: ipv4 adressen uit de cache worden geïnterpreteerd als ipv6 en omgekeerd. Ik heb het niet exact nagerekend maar volgens mij converteren de ipv4 adressen naar die korte ipv6 adressen (op de incorrecte manier) en omgekeerd denk ik ook dat hetzelfde aan de hand is: De eerste 4 bytes van het ipv6 adres wordt geïnterpreteerd als ipv4 adres.

[ Voor 11% gewijzigd door OnTracK op 23-10-2022 23:22 ]

Not everybody wins, and certainly not everybody wins all the time.
But once you get into your boat, push off and tie into your shoes.
Then you have indeed won far more than those who have never tried.

maandag 24 oktober 2022 14:06

Acties:
  • +1 Henk 'm!
  • cj1
  • Registratie: Juli 2008
  • Niet online

cj1

2mm zonnepanelen 53% glasbreuk

Topicstarter
OnTracK schreef op zondag 23 oktober 2022 @ 23:17:
Ik heb het niet exact nagerekend maar volgens mij converteren de ipv4 adressen naar die korte ipv6 adressen (op de incorrecte manier) en omgekeerd denk ik ook dat hetzelfde aan de hand is: De eerste 4 bytes van het ipv6 adres wordt geïnterpreteerd als ipv4 adres.
Hier de narekening:

Address 3 (IPv6 van lookup #1)
2a = 42
03 = 3
:b0 = 176
c0 = 192
Oftewel: 42.3.176.192

Address 4
2a = 42
01 = 1
:5 = 5
18 = 24
Oftewel 42.1.5.24

Address 1: decimaal naar hexadecimaal:
167 = a7
.99 = 63
.193 = c1
.205 = cd
Oftewel: a763:c1cd::

Address 2: decimaal naar hexadecimaal:
109 = 6d
.235 = eb
.74 = 4a
.225 = e1
Oftewel: 6deb:4ae1::

Panasonic WH-MDC05F3E5, PAW-DHWM80ZNT, 3×Fronius IG Plus, Diehl Platinum 2100H, Mean Well TS-200, Studer AJ400-48, 18×Rept CB75, Tibber Epex/Greenchoice 3j

maandag 24 oktober 2022 14:18

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

cj1 schreef op zondag 23 oktober 2022 @ 21:56:
knip
Het wordt zo wel erg onbruikbaar voor anderen om van te leren of herkennen dat ze hetzelfde hebben. Zou je misschien de originele topicstart weer kunnen terugzetten (desgevraagd kan ik een backup aan je geven) minus info die je wilt anonimiseren? :)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 24 oktober 2022 14:20

Acties:
  • 0 Henk 'm!
  • cj1
  • Registratie: Juli 2008
  • Niet online

cj1

2mm zonnepanelen 53% glasbreuk

Topicstarter
F_J_K schreef op maandag 24 oktober 2022 @ 14:18:
[...]

Het wordt zo wel erg onbruikbaar voor anderen om van te leren of herkennen dat ze hetzelfde hebben. Zou je misschien de originele topicstart weer kunnen terugzetten (desgevraagd kan ik een backup aan je geven) minus info die je wilt anonimiseren? :)
In mijn beleving betreft dit een potentiële security exploit die Draytek eerst moet dichten.

Eerst afwachten wat Draytek's security afdeling antwoord.

Panasonic WH-MDC05F3E5, PAW-DHWM80ZNT, 3×Fronius IG Plus, Diehl Platinum 2100H, Mean Well TS-200, Studer AJ400-48, 18×Rept CB75, Tibber Epex/Greenchoice 3j

maandag 24 oktober 2022 14:29

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
Die zie ik niet: of specifiek jouw router was gehackt, of gezien bovenstaande is het een bug waarvan het bestaan amper is te misbruiken maar die wel erg vervelend is. Beide geen reden om anderen niet op het bestaan ervan te wijzen denk ik.
Maar goed, jij zult dat beter kunnen inschatten. Laat dit maar wegzakken tot meer info is te geven :)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 27 oktober 2022 17:02

Acties:
  • 0 Henk 'm!
  • Sjieppy
  • Registratie: December 2018
  • Laatst online: 29-12-2022

Sjieppy

cj1 schreef op maandag 24 oktober 2022 @ 14:20:
[...]


In mijn beleving betreft dit een potentiële security exploit die Draytek eerst moet dichten.

Eerst afwachten wat Draytek's security afdeling antwoord.
Een artikel van begin 2018... en je denkt dat DrayTek 4,5 jaar later dit nog niet heeft gefixt?
https://www.draytek.com/a...pdates-to-draytek-routers

zaterdag 29 oktober 2022 13:39

Acties:
  • 0 Henk 'm!
  • cj1
  • Registratie: Juli 2008
  • Niet online

cj1

2mm zonnepanelen 53% glasbreuk

Topicstarter
Sjieppy schreef op donderdag 27 oktober 2022 @ 17:02:
[...]


Een artikel van begin 2018... en je denkt dat DrayTek 4,5 jaar later dit nog niet heeft gefixt?
https://www.draytek.com/a...pdates-to-draytek-routers
Het artikel uit 2018 gaat over een ander gebrek in DrayTek routers.

Panasonic WH-MDC05F3E5, PAW-DHWM80ZNT, 3×Fronius IG Plus, Diehl Platinum 2100H, Mean Well TS-200, Studer AJ400-48, 18×Rept CB75, Tibber Epex/Greenchoice 3j

zaterdag 29 oktober 2022 13:51

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 22:07

DataGhost

iPL dev

cj1 schreef op maandag 24 oktober 2022 @ 14:20:
[...]


In mijn beleving betreft dit een potentiële security exploit die Draytek eerst moet dichten.

Eerst afwachten wat Draytek's security afdeling antwoord.
Ik zie niet hoe het verkeerd interpreteren van een adres als een expliciet security *exploit* te beschouwen valt. Aanvallers hebben geen controle over jouw router / DNS-resolver en om zowel de correcte als de foutieve informatie in jouw cache te krijgen heeft de aanvaller controle nodig over de DNS-records van een doel. Op het moment dat ze dat hebben, is heel de bug (voor zover die uberhaupt exploitable is) nutteloos want je kan dan direct al alle verkeer redirecten waar je maar wilt.

Andersom zal je controle moeten krijgen over een paar heel specifieke niet-zelf-te-kiezen IP's (incl routing) wat in zowel de IPv4 als IPv6-space niet doable is.

Maar goed in afwachting van een fix (of niet) zou ik gewoon (een) andere resolver(s) gebruiken.

Verplicht nummertje trouwens: heb je de Draytek al eens compleet naar fabrieksinstellingen gereset? Onwaarschijnlijk dat het helpt maar wie weet.

[ Voor 6% gewijzigd door DataGhost op 29-10-2022 13:52 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq