{"id":345,"date":"2007-11-14T00:49:31","date_gmt":"2007-11-13T22:49:31","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/345-kleine-analyse-des-zonenklaus"},"modified":"2025-04-05T23:03:44","modified_gmt":"2025-04-05T21:03:44","slug":"kleine-analyse-des-zonenklaus","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/345-kleine-analyse-des-zonenklaus","title":{"rendered":"Kleine Analyse des Zonenklaus"},"content":{"rendered":"

Nachdem die Zonendaten von Arcor offensichtlich frei zum Download<\/a> angeboten werden (ein irgendwie gearteter Schutz wie ihn z.B. \u00a7 202a StGB fordert ist nicht zu erkennen) habe ich mir mal ein paar Gedanken gemacht.<\/p>\n

Welche Zonen verwaltet Arcor?
\n<\/strong><\/p>\n

Problem: Wie kommt man an Domains, die von Arcor entweder komplett gehostet werden oder zu denen von Arcor zumindest der Secondary bereitgestellt wird?<\/p>\n

DeNIC<\/a> kann man leider (zum Gl\u00fcck?) fast vergessen. Ein Zonentransfer der gesamten de-Zone ist nicht m\u00f6glich, es bliebe lediglich, \u00fcber ein Script die technischen Daten der diversen Domains unterhalb .de abzufragen. Dort steht n\u00e4mlich der f\u00fcr die jeweilige Zone autoritative Nameserver und wenn dort die Arcor-Server auftauchen, ist ein Zonentransfer m\u00f6glich. Nur verwaltet DeNIC inzwischen 11.482.128 Domains<\/a> (Stand 13.11.07, 23:05), da dauern die Abfragen dann leider etwas l\u00e4nger. Sehr unbefriedigend.<\/p>\n

Bei RIPE gibt es ein paar mehr M\u00f6glichkeiten. Immerhin gibt es dort eine Menge Suchm\u00f6glichkeiten, nur halt leider nicht so recht f\u00fcr DNS. Es gibt zwar einen RIPE-Eintrag „mnt-domains“, da steht dann auch gerne mal „ARCOR-MNT“ drin aber leider l\u00e4sst sich nach diesem Feld auch in der Advanced Suche nicht suchen. Ich vermute ja mal, ARCOR-MNT bedeutet, diese Daten werden von Arcor als Maintainer verwaltet. Nach den Netzwerk-Verwaltern („mnt-by“) l\u00e4sst sich jedoch suchen<\/a>, also muss diese Alternative herhalten. RIPE zeigt zwar nur 100 Eintr\u00e4ge an, das reicht aber erst einmal f\u00fcr eine erste Auswertung.<\/p>\n

Ergebnis der Auswertung <\/strong><\/p>\n

Die meisten Unternehmen deren Netze bei Arcor liegen lassen auch die Domains von Arcor mitverwalten. Von ca. 50 untersuchten Unternehmen konnte ich immerhin 41 Zonenfiles ergattern. Von diesen enthalten wiederum 5 Zonenfiles interne private IP-Adressen oder sonstige interne Daten.<\/p>\n

Zone „sdata.de“:<\/em><\/p>\n

Hier wimmelt es nur so von internen IP-Adressen, eine kleine Auswahl:<\/p>\n

luna A 192.168.33.67
\nobsidian A 192.168.33.68
\nrbsoft A 192.168.32.10
\nsisko A 192.168.33.65
\nwl100 A 192.168.133.100
\nwl101 A 192.168.133.101
\nwl102 A 192.168.133.102
\nwl103 A 192.168.133.103
\nwl104 A 192.168.133.104<\/code><\/p>\n

Zone „spd.de“:<\/em><\/p>\n

Auch hier gehen die privaten IP-Adressen nicht so schnell aus:<\/p>\n

it-forum A 10.0.0.75
\nkis A 10.0.0.31
\nkis2 A 10.0.0.32
\nzeiterfassung A 10.0.0.56<\/code><\/p>\n

Oha, die SPD l\u00e4sst stempeln? Kein Vertrauen zu den ausgebeuteten Mitarbeitern der Arbeiterklasse?<\/p>\n

vpngate A 195.50.146.134
\nwebmail A 195.50.146.135
\nkoalitionsvertrag A 195.227.129.132<\/code><\/p>\n

Aha, hier kann man vielleicht den Koalitionsvertrag herunterladen? Heute ist \u00fcbrigens Franz M\u00fcntefering<\/a> (lesenswerter Link!) zur\u00fcckgetreten. Fehlen noch Sch\u00e4uble, Jung, Zypries und Merkel.<\/p>\n

Zone „insiders.de“:<\/em><\/p>\n

Das ist eine besonders sch\u00f6ne Zone, hier hat ein Angreifer bestimmt viel Freude:<\/p>\n

_msdcs NS nebukadnezar.insiders.de
\n_gc._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=3268, jukebox.insiders.de
\n_gc._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=3268, nebukadnezar.insiders.de
\n_kerberos._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=88, jukebox.insiders.de
\n_kerberos._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=88, nebukadnezar.insiders.de
\n_ldap._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=389, jukebox.insiders.de
\n_ldap._tcp.Standardname-des-ersten-Standorts._sites SRV priority=0, weight=100, port=389, nebukadnezar.insiders.de
\n_ldap._tcp SRV priority=0, weight=100, port=389, jukebox.insiders.de
\n_ldap._tcp SRV priority=0, weight=100, port=389, nebukadnezar.insiders.de
\n_kerberos._udp SRV priority=0, weight=100, port=88, jukebox.insiders.de
\n_kerberos._udp SRV priority=0, weight=100, port=88, nebukadnezar.insiders.de
\n_kpasswd._udp SRV priority=0, weight=100, port=464, jukebox.insiders.de
\n_kpasswd._udp SRV priority=0, weight=100, port=464, nebukadnezar.insiders.de
\njukebox A 193.22.3.16
\nnebukadnezar A 193.22.3.42<\/code><\/p>\n

F\u00fcr mich sieht das verd\u00e4chtig nach zwei Domaincontrollern aus. Den Merowinger, Trinity und Neo gibt es in diesem Netz \u00fcbrigens auch. Ein paar private Adressen fanden sich zum Schluss sowieso noch:<\/p>\n

siemens A 192.168.22.23<\/code><\/p>\n

Zone „tzdresden.de“:<\/em><\/p>\n

Ein Eintrag ist mir in dieser Zone noch nicht ganz klar geworden:<\/p>\n

b161f236-d9a2-43f4-bc8f-e9ba60373639._msdcs CNAME innovativ.tzdresden.de
\n<\/code>
\nKann mir jemand mal bitte die Nummer erkl\u00e4ren?<\/p>\n

Und noch etwas sinnlose Statistik<\/strong><\/p>\n

Da die Gesamtdatenmenge etwas zu klein ist, sind die folgenden Aussagen nat\u00fcrlich Unsinn … aber am\u00fcsant.<\/p>\n