Hat jemand eine Idee, warum der Nameserver/Resolver der Firma Telefónica Germany so seltsame Nameserveranfragen generiert?
19-Oct-2011 15:12:25.248 client 62.53.231.235#37270: query: blOG.tETTI.de IN A -
19-Oct-2011 16:34:21.393 client 62.53.231.235#23650: query: WWw.tetTI.de IN A -
19-Oct-2011 18:21:37.364 client 62.53.231.237#36926: query: www.tETTi.de IN A -
19-Oct-2011 18:35:55.424 client 62.53.231.24#63080: query: WWW.TETtI.De IN A -
19-Oct-2011 18:46:09.963 client 62.53.231.239#55392: query: Www.TETTi.dE IN A -
19-Oct-2011 19:02:39.019 client 62.53.231.14#23971: query: wWw.tEttI.de IN A -
19-Oct-2011 19:03:03.215 client 62.53.231.235#47299: query: wwW.teTti.DE IN A -
19-Oct-2011 19:43:50.375 client 62.53.231.203#31866: query: blOG.TettI.de IN A -
19-Oct-2011 20:42:27.696 client 62.53.231.24#65371: query: blOG.teTtI.de IN A -
19-Oct-2011 21:32:22.039 client 62.53.231.239#31248: query: WWW.tEtTi.dE IN A -
19-Oct-2011 22:43:26.277 client 62.53.231.235#22203: query: WwW.tetTi.DE IN A -
20-Oct-2011 11:31:08.245 client 62.53.231.203#51796: query: wWW.TeTti.de IN A -
20-Oct-2011 12:48:34.531 client 62.53.231.205#16623: query: wWw.TettI.De IN AAAA -
20-Oct-2011 12:48:34.624 client 62.53.231.237#62620: query: WWW.TeTti.De IN A -
20-Oct-2011 16:14:04.261 client 62.53.231.14#38456: query: WWW.TeTtI.dE IN A -
Man achte auf die Groß- und Kleinschreibung der Domainnamen www.tetti.de bzw. blog.tetti.de. Kodieren die irgend welche Nachrichten in das Kleinschreibebit?
Kommentare
Bits per hour
Wenn das die einzigen Abfragen in 24 Stunden waren kommt da aber nicht viel Information bei rum.
nameserver
Hallo mein Freund,
da es im Hindi anscheinend keinen Unterschied zwischen Gemeinen und Versalien gibt, hat der absolut unterbezahlte Programmierer die entsprechende Javascriptzeile einfach nur unvollständig ausgefüllt - keine Sorge - beim Update wird das dann auffallen und zu 30 Prozent repariert. 2025 wird es dann nicht mehr vorkommen.
Gruss
Jens
Könnte sein, dass es gar
Könnte sein, dass es gar nicht der DNS Server der Telefonica ist, sondern ein client der mit nslookup (oder equivalentem) drauf zugreift? Der AAAA records vermutet IPv6, es könnte auch eine Attacke sein...
nslookup
Es könnte jedes Tool sein, welches meinen Nameserver um ein Antwort nachfragt. Jedenfalls sitzt die Quelle im Netz der Telefonica. Attacke? Ebenfalls möglich. Nur was oder wie?
mixed case
Ich habe gerade nicht die Zeit, das
http://courses.isi.jhu.edu/netsec/papers/increased_dns_resistance.pdf
zu lesen, aber vielleicht passt das zu deiner Beobachtung.
Dürfte die Antwort sein
Danke für den Hinweis!
Muss ich mir am Wochenende mal in Ruhe durchlesen.
Gruß
Michael
Kommentar hinzufügen