Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.
[Gelöst] Netflix kaputt (DNS / IPvX)
Moderator: Moderatoren
Re: Netflix kaputt (DNS / IPvX)
Dann schon mal zwischenzeitlich an alle Beteiligten: Bis hierhin vielen Dank!
Die Brut verwendet bis auf weiteres erst mal den Workaround im Firefox, damit ist der Druck aus dem Kessel.
Ich schaue mal, wie ich mit den bislang erarbeiteten Erkenntnissen weiter komme.
Die Brut verwendet bis auf weiteres erst mal den Workaround im Firefox, damit ist der Druck aus dem Kessel.
Ich schaue mal, wie ich mit den bislang erarbeiteten Erkenntnissen weiter komme.
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/
Join the fediverse: https://fediverse.party/en/fediverse/
Re: Netflix kaputt (DNS / IPvX)
Das ist OK. Der eine oder andere wird vielleicht verstehen, dass ich genau abwäge, wie viel meiner internen Netzwerk-Konfiguration ich öffentlich bekanntmache.
TNX
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/
Join the fediverse: https://fediverse.party/en/fediverse/
Re: Netflix kaputt (DNS / IPvX)
Natürlich ist es ausschließlich Deine Entscheidung, welche Informationen zu Deinen Systemen Du hier zur Verfügung stellst und es ist gut, dass Du sorgfältig darauf achtest, Deine Systeme nicht unnötig angreifbar zu machen.
Dir und alle Unbeteiligten, die diesem Beitrag bis hierhin gefolgt sind (oder noch folgen werden) möchte ich jedoch versichern:
Keine der sieben Informationen (mit ? gekennzeichnet), die ich hier https://linux-club.de/forum/viewtopic.p ... 70#p792770 nachgefragt habe, würde Dein System in irgendeiner Form angreifbarer machen, als es das bis dahin bereits war (oder nicht war).
Viele Grüße
susejunky
Re: Netflix kaputt (DNS / IPvX)
Im folgenden Dumps der Firewall für die 3 Varianten.
Firefox - network.dns.disableIPv6: true (funktioniert)
Firefox - network.dns.disableIPv6: false (funktioniert nicht)
curl: (funktioniert nicht)
Bemerkenswert bei den nicht funktionstüchtigen Varianten:
*TCP Retransmission
*Zusätzliche Standard query AAAA
Firefox - network.dns.disableIPv6: true (funktioniert)
Code: Alles auswählen
No. Time Source Destination Protocol Length Info
145 16:21:30,786468 172.16.14.26 172.16.14.1 DNS 75 Standard query 0x95fd A www.netflix.com
146 16:21:30,788269 172.16.14.1 172.16.14.26 DNS 522 Standard query response 0x95fd A www.netflix.com CNAME www.dradis.netflix.com CNAME www.eu-west-1.internal.dradis.netflix.com CNAME dualstack.wwwservice--frontend-san-vpc0-445693027.eu-west-1.elb.amazonaws.com A 54.77.30.215 A 34.249.134.132 A 52.51.208.13 A 34.251.209.123 A 52.19.164.15 A 34.247.250.51 A 52.48.239.108 A 52.48.8.150 NS ns-1053.awsdns-03.org NS ns-739.awsdns-28.net NS ns-2023.awsdns-60.co.uk NS ns-341.awsdns-42.com A 205.251.193.85 A 205.251.194.227
147 16:21:30,792772 172.16.14.26 54.77.30.215 TCP 74 34682 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=3354598005 TSecr=0 WS=128
148 16:21:30,821567 54.77.30.215 172.16.14.26 TCP 74 443 → 34682 [SYN, ACK] Seq=0 Ack=1 Win=26847 Len=0 MSS=1452 SACK_PERM=1 TSval=2736594951 TSecr=3354598005 WS=256
149 16:21:30,823177 172.16.14.26 54.77.30.215 TCP 66 34682 → 443 [ACK] Seq=1 Ack=1 Win=64256 Len=0 TSval=3354598036 TSecr=2736594951
150 16:21:30,836106 172.16.14.26 54.77.30.215 TLSv1.2 583 Client Hello
151 16:21:30,864658 54.77.30.215 172.16.14.26 TCP 66 443 → 34682 [ACK] Seq=1 Ack=518 Win=29952 Len=0 TSval=2736594999 TSecr=3354598042
152 16:21:30,865645 54.77.30.215 172.16.14.26 TLSv1.2 1494 Server Hello
153 16:21:30,865685 54.77.30.215 172.16.14.26 TCP 1494 443 → 34682 [ACK] Seq=1429 Ack=518 Win=29952 Len=1428 TSval=2736595000 TSecr=3354598042 [TCP segment of a reassembled PDU]
154 16:21:30,865720 54.77.30.215 172.16.14.26 TLSv1.2 853 Certificate, Server Key Exchange, Server Hello Done
155 16:21:30,877244 172.16.14.26 54.77.30.215 TCP 66 34682 → 443 [ACK] Seq=518 Ack=1429 Win=63104 Len=0 TSval=3354598080 TSecr=2736595000
156 16:21:30,877392 172.16.14.26 54.77.30.215 TCP 66 34682 → 443 [ACK] Seq=518 Ack=2857 Win=63104 Len=0 TSval=3354598081 TSecr=2736595000
157 16:21:30,880558 172.16.14.26 54.77.30.215 TCP 66 34682 → 443 [ACK] Seq=518 Ack=3644 Win=62336 Len=0 TSval=3354598081 TSecr=2736595000
158 16:21:30,881002 172.16.14.26 54.77.30.215 TLSv1.2 192 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
159 16:21:30,882322 172.16.14.26 54.77.30.215 TCP 1506 34682 → 443 [ACK] Seq=644 Ack=3644 Win=64128 Len=1440 TSval=3354598086 TSecr=2736595000 [TCP segment of a reassembled PDU]
160 16:21:30,882476 172.16.14.26 54.77.30.215 TLSv1.2 716 Application Data
161 16:21:30,909836 54.77.30.215 172.16.14.26 TLSv1.2 117 Change Cipher Spec, Encrypted Handshake Message
Code: Alles auswählen
No. Time Source Destination Protocol Length Info
956 17:52:35,794649 172.16.14.26 172.16.14.1 DNS 75 Standard query 0x9bd4 A www.netflix.com
957 17:52:35,794797 172.16.14.26 172.16.14.1 DNS 75 Standard query 0x92de AAAA www.netflix.com
958 17:52:35,796232 172.16.14.1 172.16.14.26 DNS 522 Standard query response 0x9bd4 A www.netflix.com CNAME www.dradis.netflix.com CNAME www.eu-west-1.internal.dradis.netflix.com CNAME dualstack.wwwservice--frontend-san-vpc0-445693027.eu-west-1.elb.amazonaws.com A 54.171.34.20 A 52.31.185.233 A 34.246.92.125 A 34.253.40.19 A 52.30.55.185 A 52.215.21.210 A 54.229.4.194 A 52.211.30.210 NS ns-341.awsdns-42.com NS ns-739.awsdns-28.net NS ns-2023.awsdns-60.co.uk NS ns-1053.awsdns-03.org A 205.251.194.227 A 205.251.193.85
959 17:52:35,796511 172.16.14.1 172.16.14.26 DNS 549 Standard query response 0x92de AAAA www.netflix.com CNAME www.dradis.netflix.com CNAME www.eu-west-1.internal.dradis.netflix.com CNAME dualstack.wwwservice--frontend-san-vpc0-445693027.eu-west-1.elb.amazonaws.com AAAA 2a01:578:3::364d:7378 AAAA 2a01:578:3::3430:ef6c AAAA 2a01:578:3::36ab:de23 AAAA 2a01:578:3::34d1:a49 AAAA 2a01:578:3::3411:a211 AAAA 2a01:578:3::34d3:970e AAAA 2a01:578:3::36f6:dd27 AAAA 2a01:578:3::3430:896 NS ns-341.awsdns-42.com NS ns-739.awsdns-28.net NS ns-1053.awsdns-03.org
960 17:52:35,799566 172.16.14.26 172.16.14.1 TCP 74 39408 → 53 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=174083565 TSecr=0 WS=128
971 17:52:36,810144 172.16.14.26 172.16.14.1 TCP 74 [TCP Retransmission] 39408 → 53 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=174084576 TSecr=0 WS=128
Code: Alles auswählen
No. Time Source Destination Protocol Length Info
27 18:30:13,320102 172.16.14.26 172.16.14.1 DNS 75 Standard query 0xfad4 A www.netflix.com
28 18:30:13,320266 172.16.14.26 172.16.14.1 DNS 75 Standard query 0xafcc AAAA www.netflix.com
38 18:30:13,577672 172.16.14.1 172.16.14.26 DNS 522 Standard query response 0xfad4 A www.netflix.com CNAME www.dradis.netflix.com CNAME www.eu-west-1.internal.dradis.netflix.com CNAME dualstack.wwwservice--frontend-san-vpc0-445693027.eu-west-1.elb.amazonaws.com A 34.246.92.125 A 54.229.17.165 A 54.77.30.215 A 52.51.208.13 A 52.17.186.209 A 54.154.164.22 A 52.213.8.10 A 52.209.10.73 NS ns-739.awsdns-28.net NS ns-341.awsdns-42.com NS ns-2023.awsdns-60.co.uk NS ns-1053.awsdns-03.org A 205.251.193.85 A 205.251.194.227
39 18:30:13,579862 172.16.14.1 172.16.14.26 DNS 552 Standard query response 0xafcc AAAA www.netflix.com CNAME www.dradis.netflix.com CNAME www.eu-west-1.internal.dradis.netflix.com CNAME dualstack.wwwservice--frontend-san-vpc0-445693027.eu-west-1.elb.amazonaws.com AAAA 2a01:578:3::3413:a40f AAAA 2a01:578:3::341e:37b9 AAAA 2a01:578:3::3411:bad1 AAAA 2a01:578:3::22fc:70d6 AAAA 2a01:578:3::22f2:b7e3 AAAA 2a01:578:3::3433:d00d AAAA 2a01:578:3::364d:7378 AAAA 2a01:578:3::341f:b9e9 NS ns-341.awsdns-42.com NS ns-1053.awsdns-03.org NS ns-2023.awsdns-60.co.uk
40 18:30:13,582029 172.16.14.26 172.16.14.1 TCP 74 39790 → 53 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=176341348 TSecr=0 WS=128
48 18:30:14,602408 172.16.14.26 172.16.14.1 TCP 74 [TCP Retransmission] 39790 → 53 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=176342368 TSecr=0 WS=128
66 18:30:16,650377 172.16.14.26 172.16.14.1 TCP 74 [TCP Retransmission] 39790 → 53 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=176344416 TSecr=0 WS=128
*TCP Retransmission
*Zusätzliche Standard query AAAA
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/
Join the fediverse: https://fediverse.party/en/fediverse/
-
- Hacker
- Beiträge: 580
- Registriert: 23. Jun 2008, 20:51
Re: Netflix kaputt (DNS / IPvX)
A oder AAAA bedeutet
Antwort für V6 (AAAA) war ok, d.h. firewall blockiert herein V6 nicht. Das haben wir bereits erfolgreich probiert.
https://linux-club.de/forum/viewtopic.p ... 12#p792725
curl: (funktioniert nicht)
Das wars, alles ok. DNS ist ja nur UDP
Nun will curl über 172.16.14.1 (wahrscheinlich dein gateway) ein tcp connect() nach www.netflix.com.
Geht nicht, kommt nicht drüber. Ist das überhaupt das gateway?
Leider gibst du hier keine Informationen preis. IPv6 hinaus blockiert? Falsches oder kein routing? Kann sein ...
Code: Alles auswählen
# dig -t AAAA www.netflix.com # query IPv6
# dig -t A www.netflix.com # query IPv4
https://linux-club.de/forum/viewtopic.p ... 12#p792725
curl: (funktioniert nicht)
Code: Alles auswählen
DNS Standard query xxx A www.netflix.com # ich will IPv4
DNS Standard query xxx AAAA www.netflix.com # und obendrein IPv6
DNS Standard query response xxx A www.netflix.com # Antwort v4 ist komplett
DNS Standard query response xxx AAAA www.netflix.com # Antwort v6 ist auch komplett
Nun will curl über 172.16.14.1 (wahrscheinlich dein gateway) ein tcp connect() nach www.netflix.com.
Geht nicht, kommt nicht drüber. Ist das überhaupt das gateway?
Leider gibst du hier keine Informationen preis. IPv6 hinaus blockiert? Falsches oder kein routing? Kann sein ...
Zuletzt geändert von Gräfin Klara am 6. Okt 2020, 20:31, insgesamt 1-mal geändert.
Re: Netflix kaputt (DNS / IPvX)
TNX
Der ausgehenden Firewall-Regel 'IPv4' noch 'IPv6' hinzugefügt.
Zack, Netflix geht wieder.
Soweit verständlich. Aber welcher Mechanismus sorgt dafür, dass jetzt plötzlich IPv6 gemacht werden soll?
Der Regelsatz (IPv4-only) ist an dieser Stelle sicher viele Jahre alt. Das bedeutet, dass Netflix nun der erste Service ist, der hierfür zwingend IPv6 erfordert.
Der ausgehenden Firewall-Regel 'IPv4' noch 'IPv6' hinzugefügt.
Zack, Netflix geht wieder.
Code: Alles auswählen
$ time curl https://www.netflix.com/
real 0m0,554s
user 0m0,023s
sys 0m0,008s
Der Regelsatz (IPv4-only) ist an dieser Stelle sicher viele Jahre alt. Das bedeutet, dass Netflix nun der erste Service ist, der hierfür zwingend IPv6 erfordert.
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/
Join the fediverse: https://fediverse.party/en/fediverse/
-
- Hacker
- Beiträge: 580
- Registriert: 23. Jun 2008, 20:51
Re: Netflix kaputt (DNS / IPvX)
Typischer query und response
Code: Alles auswählen
1. DNS Standard query xxx A www.irgendwas.com # ich will IPv4
2. DNS Standard query xxx AAAA www.irgendwas.com # und obendrein IPv6
3. DNS Standard query response xxx AAAA www.irgendwas.com # keine Daten vorhanden
4. DNS Standard query response xxx A www.irgendwas.com # Antwort v4 ist komplett
Wenn aber 3 erfolgreich, dann hat V6 höhere Priorität. Der response für AAAA wird sich geändert haben.
Zwingend nein. Du kannst dein System auf V4 festlegen. Auch wenn AAAA queries erfolgreich sind, kannst du A erzwingen.
Re: Netflix kaputt (DNS / IPvX)
Hhmm, dann habe ich es jetzt wohl ausreichend verstanden und das Problem ist gefixed.
Vielen herzlichen Dank an alle Beteiligten!
Vielen herzlichen Dank an alle Beteiligten!
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/
Join the fediverse: https://fediverse.party/en/fediverse/
-
- Hacker
- Beiträge: 580
- Registriert: 23. Jun 2008, 20:51
Re: [Gelöst] Netflix kaputt (DNS / IPvX)
Keinen Bock mehr auf zentralisierte soziale Netzwerke von US-Konzernen?
Join the fediverse: https://fediverse.party/en/fediverse/
Join the fediverse: https://fediverse.party/en/fediverse/