CloudFlare DNS-Service 1.1.1.1 von China gehackt … ?

Publiziert am 30. Mai 2018 von Günter Born

[English]Kurze Info für die regelmäßigen Leser meines Blogs, die den DNS-Dienst von CloudFlare verwenden. Der wurde (möglicherweise) von China gehackt. Hier einige Informationen samt Erklärung.

Anzeige

DNS-Dienst, wozu brauch ich den?

Für jede Aktion im Internet (z.B. abrufen einer Internetseite im Browser) wird in der Regel ein DNS-Dienst kontaktiert. Dieser DNS-Dienst übernimmt die Aufgabe, URLs der Form www.borncity.com in eine IP-Adresse umzusetzen. Erst diese IP-Adresse ermöglicht dem Browser, dem E-Mail-Client etc. die betreffenden Server im Internet zu kontaktieren.

Der DNS-Dienst ist quasi das Adressbuch des Internet, welches Straße und Ort (Adresse) zu einem Namen liefert. Wer den DNS-Dienst kontrolliert, kann natürlich bestimmen, wohin Internetanfragen umgeleitet werden.

Diverse DNS-Dienste im Einsatz

Als normaler Nutzer braucht man sich eigentlich nicht um das Thema DNS-Dienste zu kümmern. Die DSL-Router, Windows-Systeme und auch Mobilgeräte werden so eingerichtet, dass ein DNS-Server vorkonfiguriert ist. Die Internetanfragen werden über diesen DNS-Server aufgelöst.

In den meisten Fällen ist dort ein DNS-Dienst des Providers eingetragen. Aber immer, wenn dieser zu langsam ist, ausfällt oder wegen Zensur nicht genutzt werden kann, wird sich der Kenner einen alternativen DNS-Dienst im Router oder im Betriebssystem konfigurieren. Da gibt es den Google DNS-Dienst unter der IP-Adresse 8.8.8.8.

CloudFlare DNS-Dienst 1.1.1.1

Aber auch CloudFlare bietet seit kurzem einen DNS-Dienst unter der IP-Adresse 1.1.1.1 an. Argumentation für das Angebot waren u.a. Schnelligkeit und vor allem die Bereitstellung der Privatsphäre. CloudFlare sicherte zu, die Daten binnen 24 Stunden zu löschen, um Privatsphäre zu gewährleisten.

CloudFlare DNS 1.1.1.1(Cloudflare DNS-Adresse)

Ich hatte zum 1. April 2018 (kein April-Scherz) detailliert über diesen neu eingeführten Dienst im Blog-Beitrag Cloudflare startet DNS-Dienst mit der IP 1.1.1.1 berichtet.

DNS-Dienst 1.1.1.1 gehackt?

Mir liegen nicht viele Informationen vor. Jake Williams (@MalwareJake) hat den nachfolgenden Tweet abgesetzt. Ergänzung: Tweet wurde wohl wieder gelöscht, da es nicht Shanghai Telecom, sondern ein anderer Anbieter aus China war.

Anzeige

Der CloudFlare DNS-Dienst 1.1.1.1 wurde vermutlich durch einen BGP Hijack gekapert. Hier die Meldung:

Possible BGP hijack

Beginning at 2018-05-29 08:09:45 UTC, we detected a possible BGP hijack.

Prefix 1.1.1.0/24, is normally announced by AS13335 Cloudflare Inc.

But beginning at 2018-05-29 08:09:45, the same prefix (1.1.1.0/24) was also announced by ASN 58879.

This was detected by 14 BGPMon peers.

Expected

Start time: 2018-05-29 08:09:45 UTC

Expected prefix: 1.1.1.0/24

Expected ASN: 13335 (Cloudflare Inc)

Event Details

Detected advertisement: 1.1.1.0/24

Detected Origin ASN 58879 (Shanghai Anchang Network Security Technology Co.,Ltd.)

Detected AS Path 32764 11017 6939 58879

Detected by number of BGPMon peers: 14

In der Animation über die Zeitleiste (abrufbar über die Schaltflächen oberhalb der nachfolgend gezeigten Grafik) der Seite bgpstream.com sieht man sehr schön, wie kurze Zeit die DNS-Anfragen auf einen anderen Anbieter (vermutlich ein chinesischer Telekom-Anbieter) umgeleitet wurden.

CloudFlare DNS hijack CloudFlare DNS hijack

Das Ganze zeigt mal wieder: Der Teufel liegt oft im Detail. Es ist super, dass CloudFlare den DNS-Dienst anbietet, um mehr Privatsphäre zu gewährleisten. Wenn es aber einem chinesischen Anbieter gelingt, den Dienst zu kompromittieren, ist das alles Pustekuchen. Zumindest werden solche Versuche entdeckt. Was dahinter steckt, ist mir unklar. Möglicherweise war das wieder ein Test der Chinesen, um bestimmte Cyber-Angriffe im Krisenfall vorzubereiten.

Ergänzung: Cloudflare hatte Probleme

Auf den Artikel gab es Kommentare der Art: Kann es eine Fake News oder eine Art Load Balacing gewesen sein. Zum 1. Juni 2018 lese ich, dass der Cloudflare-DNS-Dienst wohl Ausfälle hatte. MS Power User zitiert Probleme mit IPv4-Verbindungen:

Investigating – Cloudflare is currently seeing query timeouts for our IPv4 addresses for our public DNS resolver (1.1.1.1 and 1.0.0.1). IPv6 addresses are currently not affected (2606:4700:4700::1111 and 2606:4700:4700::1001). We are investigating further and will provide updates as they become available.

Mal sehen, was da nach kommt. Mehr Details habe ich im Beitrag Cloudflare hatte Probleme beim DNS-Dienst veröffentlicht.

Ähnliche Artikel:
Cloudflare startet DNS-Dienst mit der IP 1.1.1.1
Datenschutz: Mozillas Opt-out Firefox DNS-Test
DNSMessenger-Trojaner nutzt DNS-Einträge für Befehle
Angriffe auf Heimrouter über DNSChanger-Variante
Details zum gestrigen DDoS-Angriff auf Dyn Managed DNS
Insides: DNSUnlocker-Malware nutzt Windows-Fehler

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu CloudFlare DNS-Service 1.1.1.1 von China gehackt … ?

  2. Cmd.Data sagt:
    30. Mai 2018 um 13:17 Uhr

    Leider hat Vodafone die 1.1.1.1 in allen Surfangeboten für das Web fest eingestellt.

    :-(

    Antworten
  3. Jan sagt:
    31. Mai 2018 um 14:33 Uhr

    Wenn man DNS over HTTPS benutzt (z.B. mit dem Resolver dnscrypt-proxy, verfügbar für Linux, Windows, Mac) fliegen solche Manipulationen auf. Android P unterstützt DNS over HTTPS nativ.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.