Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Know How

DNS-Zugriffe auf blackhole-1.iana.org, blackhole-2.iana.org und prisoner.iana.org

Von Namensservern, schwarzen Löchern und Gefangenen.
Mirko Kulpa, 29.10.2004

Das Problem

Oft werden in Logfiles oder bei Netzwerkanalysen DNS-Zugriffe auf folgende Namensserver registriert:

  prisoner.iana.org       192.175.48.1
  blackhole-1.iana.org    192.175.48.6
  blackhole-2.iana.org    192.175.48.42

Diese drei Hosts sind DNS-Server die von der IANA zur Verfügung gestellt werden. Bis vor einiger Zeit war auch "blackhole.isi.edu" aktiv. Mitunter vermutet der Admin bei solchen Zugriffen dann einen Virus oder Trojaner auf seinen Systemen.

Die Ursache

Im RFC 1918 sind drei IP-Netze für den Gebrauch in privaten Netzen reserviert:

  10.0.0.0     -  10.255.255.255  (10/8)
  172.16.0.0   -  172.31.255.255  (172.16/12)
  192.168.0.0  -  192.168.255.255 (192.168/16)

IP-Adressen aus diesen Netzen dürfen im Internet nicht verwendet werden. Die von der IANA bereitgestellten DNS-Server kümmern sich um diese Adressen und die entsprechenden Reverse-Zonen:

  10.in-addr.arpa
  16.172.in-addr.arpa
  17.172.in-addr.arpa
  18.172.in-addr.arpa
  19.172.in-addr.arpa
  20.172.in-addr.arpa
  21.172.in-addr.arpa
  22.172.in-addr.arpa
  23.172.in-addr.arpa
  24.172.in-addr.arpa
  25.172.in-addr.arpa
  26.172.in-addr.arpa
  27.172.in-addr.arpa
  28.172.in-addr.arpa
  29.172.in-addr.arpa
  30.172.in-addr.arpa
  31.172.in-addr.arpa
  168.192.in-addr.arpa

Alle Anfragen nach Adressen aus diesen Netzen und auch Reverse Lookups gehen an die drei genannten DNS-Server. Auch die Versuche von Windows sich dynamisch am DNS zu regsitrieren gelangen bei falscher Konfiguration der eigenen Infrastruktur an die Blackhole-Server und werden dort abgelehnt.

Die Lösung

Idealerweise sollten DNS-Server in privaten Netzen Request für Adressen aus dem RFC 1918 nicht in das Internet weiterleiten. Die entsprechenden Zonen muss der interne DNS-Server bedienen. Für kleine Netze ohne eigenes DNS gibt es die Möglichkeit, an den Clients die dynamische Registrierung der PTR-Records am DNS zu deaktivieren. Dazu wird der folgende Wert in der Registry auf "1" gesetzt.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DisableReverseAddressRegistrations
Type: REG_DWORD
Wert: 1 

Nach dieser Änderung versucht Windows nicht mehr seine IP-Adresse beim DNS-Server zu aktualisieren.

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012