• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[Gelöst] Netflix kaputt (DNS / IPvX)

OP
gehrke

gehrke

Administrator
Teammitglied
Dann schon mal zwischenzeitlich an alle Beteiligten: Bis hierhin vielen Dank!

Die Brut verwendet bis auf weiteres erst mal den Workaround im Firefox, damit ist der Druck aus dem Kessel.

Ich schaue mal, wie ich mit den bislang erarbeiteten Erkenntnissen weiter komme.
 
OP
gehrke

gehrke

Administrator
Teammitglied
susejunky schrieb:
Da Du Dich hartnäckig weigerst meine Kenntnisse bezüglich Deines Systemumfelds zu komplettieren, kann ich Dir nicht weiter helfen.
Das ist OK. Der eine oder andere wird vielleicht verstehen, dass ich genau abwäge, wie viel meiner internen Netzwerk-Konfiguration ich öffentlich bekanntmache.
TNX
 

susejunky

Moderator
Teammitglied
gehrke schrieb:
... Der eine oder andere wird vielleicht verstehen, dass ich genau abwäge, wie viel meiner internen Netzwerk-Konfiguration ich öffentlich bekanntmache.
Natürlich ist es ausschließlich Deine Entscheidung, welche Informationen zu Deinen Systemen Du hier zur Verfügung stellst und es ist gut, dass Du sorgfältig darauf achtest, Deine Systeme nicht unnötig angreifbar zu machen.

Dir und alle Unbeteiligten, die diesem Beitrag bis hierhin gefolgt sind (oder noch folgen werden) möchte ich jedoch versichern:

Keine der sieben Informationen (mit ? gekennzeichnet), die ich hier https://linux-club.de/forum/viewtopic.php?p=792770#p792770 nachgefragt habe, würde Dein System in irgendeiner Form angreifbarer machen, als es das bis dahin bereits war (oder nicht war).

Viele Grüße

susejunky
 
OP
gehrke

gehrke

Administrator
Teammitglied
Im folgenden Dumps der Firewall für die 3 Varianten.

Firefox - network.dns.disableIPv6: true (funktioniert)
Code:
No.	Time	Source	Destination	Protocol	Length	Info
145	16:21:30,786468	172.16.14.26	172.16.14.1	DNS	75	Standard query 0x95fd A www.netflix.com
146	16:21:30,788269	172.16.14.1	172.16.14.26	DNS	522	Standard query response 0x95fd A www.netflix.com CNAME www.dradis.netflix.com CNAME www.eu-west-1.internal.dradis.netflix.com CNAME dualstack.wwwservice--frontend-san-vpc0-445693027.eu-west-1.elb.amazonaws.com A 54.77.30.215 A 34.249.134.132 A 52.51.208.13 A 34.251.209.123 A 52.19.164.15 A 34.247.250.51 A 52.48.239.108 A 52.48.8.150 NS ns-1053.awsdns-03.org NS ns-739.awsdns-28.net NS ns-2023.awsdns-60.co.uk NS ns-341.awsdns-42.com A 205.251.193.85 A 205.251.194.227
147	16:21:30,792772	172.16.14.26	54.77.30.215	TCP	74	34682 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=3354598005 TSecr=0 WS=128
148	16:21:30,821567	54.77.30.215	172.16.14.26	TCP	74	443 → 34682 [SYN, ACK] Seq=0 Ack=1 Win=26847 Len=0 MSS=1452 SACK_PERM=1 TSval=2736594951 TSecr=3354598005 WS=256
149	16:21:30,823177	172.16.14.26	54.77.30.215	TCP	66	34682 → 443 [ACK] Seq=1 Ack=1 Win=64256 Len=0 TSval=3354598036 TSecr=2736594951
150	16:21:30,836106	172.16.14.26	54.77.30.215	TLSv1.2	583	Client Hello
151	16:21:30,864658	54.77.30.215	172.16.14.26	TCP	66	443 → 34682 [ACK] Seq=1 Ack=518 Win=29952 Len=0 TSval=2736594999 TSecr=3354598042
152	16:21:30,865645	54.77.30.215	172.16.14.26	TLSv1.2	1494	Server Hello
153	16:21:30,865685	54.77.30.215	172.16.14.26	TCP	1494	443 → 34682 [ACK] Seq=1429 Ack=518 Win=29952 Len=1428 TSval=2736595000 TSecr=3354598042 [TCP segment of a reassembled PDU]
154	16:21:30,865720	54.77.30.215	172.16.14.26	TLSv1.2	853	Certificate, Server Key Exchange, Server Hello Done
155	16:21:30,877244	172.16.14.26	54.77.30.215	TCP	66	34682 → 443 [ACK] Seq=518 Ack=1429 Win=63104 Len=0 TSval=3354598080 TSecr=2736595000
156	16:21:30,877392	172.16.14.26	54.77.30.215	TCP	66	34682 → 443 [ACK] Seq=518 Ack=2857 Win=63104 Len=0 TSval=3354598081 TSecr=2736595000
157	16:21:30,880558	172.16.14.26	54.77.30.215	TCP	66	34682 → 443 [ACK] Seq=518 Ack=3644 Win=62336 Len=0 TSval=3354598081 TSecr=2736595000
158	16:21:30,881002	172.16.14.26	54.77.30.215	TLSv1.2	192	Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
159	16:21:30,882322	172.16.14.26	54.77.30.215	TCP	1506	34682 → 443 [ACK] Seq=644 Ack=3644 Win=64128 Len=1440 TSval=3354598086 TSecr=2736595000 [TCP segment of a reassembled PDU]
160	16:21:30,882476	172.16.14.26	54.77.30.215	TLSv1.2	716	Application Data
161	16:21:30,909836	54.77.30.215	172.16.14.26	TLSv1.2	117	Change Cipher Spec, Encrypted Handshake Message

Firefox - network.dns.disableIPv6: false (funktioniert nicht)
Code:
No.	Time	Source	Destination	Protocol	Length	Info
956	17:52:35,794649	172.16.14.26	172.16.14.1	DNS	75	Standard query 0x9bd4 A www.netflix.com
957	17:52:35,794797	172.16.14.26	172.16.14.1	DNS	75	Standard query 0x92de AAAA www.netflix.com
958	17:52:35,796232	172.16.14.1	172.16.14.26	DNS	522	Standard query response 0x9bd4 A www.netflix.com CNAME www.dradis.netflix.com CNAME www.eu-west-1.internal.dradis.netflix.com CNAME dualstack.wwwservice--frontend-san-vpc0-445693027.eu-west-1.elb.amazonaws.com A 54.171.34.20 A 52.31.185.233 A 34.246.92.125 A 34.253.40.19 A 52.30.55.185 A 52.215.21.210 A 54.229.4.194 A 52.211.30.210 NS ns-341.awsdns-42.com NS ns-739.awsdns-28.net NS ns-2023.awsdns-60.co.uk NS ns-1053.awsdns-03.org A 205.251.194.227 A 205.251.193.85
959	17:52:35,796511	172.16.14.1	172.16.14.26	DNS	549	Standard query response 0x92de AAAA www.netflix.com CNAME www.dradis.netflix.com CNAME www.eu-west-1.internal.dradis.netflix.com CNAME dualstack.wwwservice--frontend-san-vpc0-445693027.eu-west-1.elb.amazonaws.com AAAA 2a01:578:3::364d:7378 AAAA 2a01:578:3::3430:ef6c AAAA 2a01:578:3::36ab:de23 AAAA 2a01:578:3::34d1:a49 AAAA 2a01:578:3::3411:a211 AAAA 2a01:578:3::34d3:970e AAAA 2a01:578:3::36f6:dd27 AAAA 2a01:578:3::3430:896 NS ns-341.awsdns-42.com NS ns-739.awsdns-28.net NS ns-1053.awsdns-03.org
960	17:52:35,799566	172.16.14.26	172.16.14.1	TCP	74	39408 → 53 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=174083565 TSecr=0 WS=128
971	17:52:36,810144	172.16.14.26	172.16.14.1	TCP	74	[TCP Retransmission] 39408 → 53 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=174084576 TSecr=0 WS=128

curl: (funktioniert nicht)
Code:
No.	Time	Source	Destination	Protocol	Length	Info
27	18:30:13,320102	172.16.14.26	172.16.14.1	DNS	75	Standard query 0xfad4 A www.netflix.com
28	18:30:13,320266	172.16.14.26	172.16.14.1	DNS	75	Standard query 0xafcc AAAA www.netflix.com
38	18:30:13,577672	172.16.14.1	172.16.14.26	DNS	522	Standard query response 0xfad4 A www.netflix.com CNAME www.dradis.netflix.com CNAME www.eu-west-1.internal.dradis.netflix.com CNAME dualstack.wwwservice--frontend-san-vpc0-445693027.eu-west-1.elb.amazonaws.com A 34.246.92.125 A 54.229.17.165 A 54.77.30.215 A 52.51.208.13 A 52.17.186.209 A 54.154.164.22 A 52.213.8.10 A 52.209.10.73 NS ns-739.awsdns-28.net NS ns-341.awsdns-42.com NS ns-2023.awsdns-60.co.uk NS ns-1053.awsdns-03.org A 205.251.193.85 A 205.251.194.227
39	18:30:13,579862	172.16.14.1	172.16.14.26	DNS	552	Standard query response 0xafcc AAAA www.netflix.com CNAME www.dradis.netflix.com CNAME www.eu-west-1.internal.dradis.netflix.com CNAME dualstack.wwwservice--frontend-san-vpc0-445693027.eu-west-1.elb.amazonaws.com AAAA 2a01:578:3::3413:a40f AAAA 2a01:578:3::341e:37b9 AAAA 2a01:578:3::3411:bad1 AAAA 2a01:578:3::22fc:70d6 AAAA 2a01:578:3::22f2:b7e3 AAAA 2a01:578:3::3433:d00d AAAA 2a01:578:3::364d:7378 AAAA 2a01:578:3::341f:b9e9 NS ns-341.awsdns-42.com NS ns-1053.awsdns-03.org NS ns-2023.awsdns-60.co.uk
40	18:30:13,582029	172.16.14.26	172.16.14.1	TCP	74	39790 → 53 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=176341348 TSecr=0 WS=128
48	18:30:14,602408	172.16.14.26	172.16.14.1	TCP	74	[TCP Retransmission] 39790 → 53 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=176342368 TSecr=0 WS=128
66	18:30:16,650377	172.16.14.26	172.16.14.1	TCP	74	[TCP Retransmission] 39790 → 53 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=176344416 TSecr=0 WS=128

Bemerkenswert bei den nicht funktionstüchtigen Varianten:
*TCP Retransmission
*Zusätzliche Standard query AAAA
 
A oder AAAA bedeutet
Code:
# dig -t AAAA www.netflix.com		# query IPv6
# dig -t A www.netflix.com		# query IPv4
Antwort für V6 (AAAA) war ok, d.h. firewall blockiert herein V6 nicht. Das haben wir bereits erfolgreich probiert.
https://linux-club.de/forum/viewtopic.php?p=792725&sid=9555545506f78b0956b365794d6e2012#p792725



curl: (funktioniert nicht)
Code:
DNS Standard query xxx A www.netflix.com                # ich will IPv4
DNS Standard query xxx AAAA www.netflix.com         # und obendrein IPv6
DNS Standard query response xxx A www.netflix.com     # Antwort v4 ist komplett
DNS Standard query response xxx AAAA www.netflix.com   # Antwort v6 ist auch komplett
Das wars, alles ok. DNS ist ja nur UDP
Nun will curl über 172.16.14.1 (wahrscheinlich dein gateway) ein tcp connect() nach www.netflix.com.
Geht nicht, kommt nicht drüber. Ist das überhaupt das gateway?
Leider gibst du hier keine Informationen preis. IPv6 hinaus blockiert? Falsches oder kein routing? Kann sein ...
 
OP
gehrke

gehrke

Administrator
Teammitglied
TNX

Der ausgehenden Firewall-Regel 'IPv4' noch 'IPv6' hinzugefügt.

Zack, Netflix geht wieder.
Code:
$ time curl https://www.netflix.com/

real	0m0,554s
user	0m0,023s
sys	0m0,008s

Soweit verständlich. Aber welcher Mechanismus sorgt dafür, dass jetzt plötzlich IPv6 gemacht werden soll?
Der Regelsatz (IPv4-only) ist an dieser Stelle sicher viele Jahre alt. Das bedeutet, dass Netflix nun der erste Service ist, der hierfür zwingend IPv6 erfordert.
 
gehrke schrieb:
Aber welcher Mechanismus sorgt dafür, dass jetzt plötzlich IPv6 gemacht werden soll?

Typischer query und response
Code:
1. DNS Standard query xxx A www.irgendwas.com                # ich will IPv4
2. DNS Standard query xxx AAAA www.irgendwas.com         # und obendrein IPv6
3. DNS Standard query response xxx AAAA www.irgendwas.com   # keine Daten vorhanden
4. DNS Standard query response xxx A www.irgendwas.com     # Antwort v4 ist komplett
Klar, weiter mit IPv4, geht nur so.
Wenn aber 3 erfolgreich, dann hat V6 höhere Priorität. Der response für AAAA wird sich geändert haben.

gehrke schrieb:
Der Regelsatz (IPv4-only) ist an dieser Stelle sicher viele Jahre alt. Das bedeutet, dass Netflix nun der erste Service ist, der hierfür zwingend IPv6 erfordert.
Zwingend nein. Du kannst dein System auf V4 festlegen. Auch wenn AAAA queries erfolgreich sind, kannst du A erzwingen.
 
OP
gehrke

gehrke

Administrator
Teammitglied
Hhmm, dann habe ich es jetzt wohl ausreichend verstanden und das Problem ist gefixed.

Vielen herzlichen Dank an alle Beteiligten!
 
OP
gehrke

gehrke

Administrator
Teammitglied
Tut's auch Champagner?

https://libranet.de/display/0b6b25a8-165f-7cc1-55a2-094494032562
 
Oben