Security Professionals
- ipfw add deny all from eindgebruikers to any
Reacties (7)
Hallo Pe0mot,
Als je het IP opzoekt van vpntunnel.se:
b0xerz@testbox1:~$ dig vpntunnel.se
<knip>
;; ANSWER SECTION:
vpntunnel.se. 12670 IN A 80.67.14.14
</knip>
En vervolgens een whois op 't IP doet (80.67.14.14):
b0xerz@testbox1:~$ whois 80.67.14.14
<knip>
inetnum: 80.67.14.0 - 80.67.15.255
netname: VPNTUNNEL-NET
descr: VPNTUNNEL.se NETWORK
descr: ################################
descr: # Abuse to: abuse@vpntunnel.se #
descr: ################################
country: SE
admin-c: PN1967-RIPE
tech-c: PN1967-RIPE
status: ASSIGNED PA
mnt-by: MNT-PORTLANE
source: RIPE # Filtered
role: Portlane NOC
address: BOX 6322
address: 10235 Stockholm
address: Sweden
admin-c: PN1967-RIPE
tech-c: PN1967-RIPE
nic-hdl: PN1967-RIPE
mnt-by: MNT-PORTLANE
source: RIPE # Filtered
</knip>
Dan zie je dat de ISP van vpntunnel.se aangesloten zit op 't netwerk van (ISP) portlane.
Het is dus niet vreemd dat daar DNS verkeer heen gaat / vandaan komt.
Hoop dat dit 't antwoord is wat je zoekt.
B0xerz.
Als je het IP opzoekt van vpntunnel.se:
b0xerz@testbox1:~$ dig vpntunnel.se
<knip>
;; ANSWER SECTION:
vpntunnel.se. 12670 IN A 80.67.14.14
</knip>
En vervolgens een whois op 't IP doet (80.67.14.14):
b0xerz@testbox1:~$ whois 80.67.14.14
<knip>
inetnum: 80.67.14.0 - 80.67.15.255
netname: VPNTUNNEL-NET
descr: VPNTUNNEL.se NETWORK
descr: ################################
descr: # Abuse to: abuse@vpntunnel.se #
descr: ################################
country: SE
admin-c: PN1967-RIPE
tech-c: PN1967-RIPE
status: ASSIGNED PA
mnt-by: MNT-PORTLANE
source: RIPE # Filtered
role: Portlane NOC
address: BOX 6322
address: 10235 Stockholm
address: Sweden
admin-c: PN1967-RIPE
tech-c: PN1967-RIPE
nic-hdl: PN1967-RIPE
mnt-by: MNT-PORTLANE
source: RIPE # Filtered
</knip>
Dan zie je dat de ISP van vpntunnel.se aangesloten zit op 't netwerk van (ISP) portlane.
Het is dus niet vreemd dat daar DNS verkeer heen gaat / vandaan komt.
Hoop dat dit 't antwoord is wat je zoekt.
B0xerz.
18-09-2013, 11:12 door
[Account Verwijderd]
-
Bijgewerkt: 18-09-2013, 11:13
[Verwijderd]
Door pe0mot:
Thanks B0xerz, die koppeling is duidelijk.
Wat niet duidelijk is waarom een PC heel veel DNS calls doet naar dit IP nummer als de actieve netwerkinterface dit IP nummer niet als DNS heeft.
Een andere niet actieve VPN netwerkinterface heeft dit IP nummer wel als DNS.
Ondanks dat de netwerkinterface niet actief is, worden er wel queries naar het IP nummer gestuurd via de normale actieve netwerkinterface.
Oftewel, kijkt de VPN ISP mee met al mijn DNS queries (terwijl de VPN software uit staat), of is dit een "feature" van Windows om b.v. te zien of een netwerkinterface actief is?
Verwijderen VPN software lost dus het probleem op.
[/quote]Thanks B0xerz, die koppeling is duidelijk.
Wat niet duidelijk is waarom een PC heel veel DNS calls doet naar dit IP nummer als de actieve netwerkinterface dit IP nummer niet als DNS heeft.
Een andere niet actieve VPN netwerkinterface heeft dit IP nummer wel als DNS.
Ondanks dat de netwerkinterface niet actief is, worden er wel queries naar het IP nummer gestuurd via de normale actieve netwerkinterface.
Oftewel, kijkt de VPN ISP mee met al mijn DNS queries (terwijl de VPN software uit staat), of is dit een "feature" van Windows om b.v. te zien of een netwerkinterface actief is?
Verwijderen VPN software lost dus het probleem op.
Pe0mot,
Ik kan dat helaas niet met zekerheid zeggen omdat ik ten eerste niet weet hoe de VPN applicatie van vpntunnel.se werkt en ook niet voldonde informatie heb over wat er precies gebeurd, hoeveel etc.
Ik kan alleen uit eigen ervaring spreken (heb zelf een abbo bij proxy.sh - wat erg goed bevalt) dat mijn provider ook DNS queries doet naar bepaalde servers en IP's om te kijken of de box beschikbaar is, hoeveel latency er is vanaf mijn kant naar de VPN gateways toe en haalt ook informatie op over wat de load op dit moment op de VPN box is.
Ik kan me goed voorstellen dat het bovenstaande ook voor jouw VPN applicatie geldt.
Ik persoonlijk zou me niet te druk maken over de DNS queries, maar mocht jij dat wel doen dan denk ik dat 't verstandig is dat je het iets gedetailleerder uitlegt alvorens wij (de security.nl community) daar een 'eerlijk' oordeel over kunnen vellen.
Wellicht is het mogelijk dat je de queries post (wat word er opgevraagd) en dat iemand het kan vergelijken met zijn/haar vpntunnel.se ervaringen?
Hoop dat dit een beetje helpt.
B0xerz.
Volgens mij is er geen directe koppeling tussen netwerk interfaces en DNS servers.
Je geeft DNS servers op bij het configureren van een netwerk interface maar uiteindelijk komen ze allemaal in
een enkele lijst terecht en worden ze cyclisch gebruikt. Onafhankelijk van via welke netwerkinterface je werkt.
Soms is dat wel eens jammer ja.
Je geeft DNS servers op bij het configureren van een netwerk interface maar uiteindelijk komen ze allemaal in
een enkele lijst terecht en worden ze cyclisch gebruikt. Onafhankelijk van via welke netwerkinterface je werkt.
Soms is dat wel eens jammer ja.
18-09-2013, 14:03 door
[Account Verwijderd]
-
Bijgewerkt: 18-09-2013, 14:04
[Verwijderd]
Door pe0mot:
Nu nog de vraag: waar kan ik deze lijst vinden in een windows7 systeem?
Ik zie dat NSlookup de eerste entry gebruikt, maar dat Chrome de tweede uit de lijst gebruikt. Wat is hier de logica van Microsoft?
ipconfig /all geeft de actuele stand weer van beschikbare interfaces en ook DNS servers.Door Anoniem: Volgens mij is er geen directe koppeling tussen netwerk interfaces en DNS servers.
Je geeft DNS servers op bij het configureren van een netwerk interface maar uiteindelijk komen ze allemaal in
een enkele lijst terecht en worden ze cyclisch gebruikt. Onafhankelijk van via welke netwerkinterface je werkt.
Soms is dat wel eens jammer ja.
Klinkt goed, deze kan ik volgen. Dank voor de reactie.Je geeft DNS servers op bij het configureren van een netwerk interface maar uiteindelijk komen ze allemaal in
een enkele lijst terecht en worden ze cyclisch gebruikt. Onafhankelijk van via welke netwerkinterface je werkt.
Soms is dat wel eens jammer ja.
Nu nog de vraag: waar kan ik deze lijst vinden in een windows7 systeem?
Ik zie dat NSlookup de eerste entry gebruikt, maar dat Chrome de tweede uit de lijst gebruikt. Wat is hier de logica van Microsoft?
volgens mij wordt meestal de 1e entry gebruikt tot deze faalt en schakelt hij dan over naar de tweede etc.
Hoelang dat onthouden wordt weet ik niet, kan zijn dat dit vrij lang is en dat chrome bij de 2e is blijven hangen.
Op zich is dat al beter dan bij de standaard Unix resolver library want die onthoudt helemaal niks.
(geen wonder natuurlijk omdat dit ding in userspace draait)
Dus als je 1e DNS server down is dan worden alle DNS requests ineens heel traag omdat hij iedere keer die
kapotte server probeert voor hij naar de volgende door gaat.
19-09-2013, 10:30 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
