seltsame Verbindung zu CODERZ.NET

#16 Hallo alle,
ich muss mich man für 48 Std verabschieden, um ein paar genauere Tests zu machen. Habe nämlich festgestellt, dass der IE nicht versucht diese Verbindung aufzunehmen. Er produziert beim 1.Mal online allerdings auch eine Fehlermeldung. Außerdem werde ich mal den Router abklemmen, dann kann ich endlich vernünftig sniffen.

@Ajax:
Du stiftest ne Menge Verwirrung, wenn du meine Postings nicht richtig liest. Es ist doch sehr deutlich geworden, dass es einen Unterschied gibt zwischen
"http://coderz.net" und "http://www.coderz.net".
Der Link "http://coderz.net" ist erreichbar und hat natürlich die IP, die du nennst (kann ich mit SamSpade genauso gut rausfinden).
Der andere Link "www.coderz.net", den mein Netscape laut Firewall-log ansteuert ist für mich der Interessante, und der hat angeblich die IP 127.0.0.1, was bekanntlich nicht sein darf. Der ist nicht erreichbar, also dürfte der Aufruf durch meinen Browser auch ins Leere gehen.
Die (angeblich) zugewiesene 127.0.0.1 muss doch einen Grund haben; da sollte doch irgendeine Absicht hinterstehen, meine ich.

Melde mich später wieder.

Reinhart

#17 Hallo,
ich habe jetzt wahrscheinlich eine Erklärung für mein Problem gefunden. Dank ASTRUBAELs letztem Posting kann ich die Vorgänge in meinem Rechner nachvollziehen.
Beim Start von Netscape stellt dieser eine offline-Verbindung zu localhost mit 127.0.0.1 her. Meine Firewall hat in ihrem DNS aus Gründen, die noch nicht endgültig geklärt sind, für die 127 "www.coderz.net" eingetragen und loggt mir daher eine Verbindung zum coderz.net, die garnicht stattgefunden hat; der Sniffer rührt sich nicht.
Bleibt die Frage, wie coderz.net mit dieser IP verbunden werden kann, da diese IP nicht routbar ist. Aus einem losen Kontakt mit der Szene habe ich erfahren, dass man eine bestimmte Firewall auf einem Linux-System so einstellen kann, dass der Server bei einem echo request eine falsche IP zurückgibt. Auf diese Art kommen also auch Server, die Auskunft geben, an diese gefälschte IP. Welchen Sinn das macht, konnte ich nicht rauskriegen, da kommt dann nur Schweigen.
Das selbe Spielchen kannst du mit "and.doxdesk.com" machen. "http://www.doxdesk.com" bringt dich normal auf eine deutsche Seite mit einer stinknormalen IP. Der nennt sich aber selber "and.doxdesk.com". Pingst du nun "and.doxdesk.com" (OHNE www davor), so kriegst du wieder deine 127.0.0.1. Entsprechende Suchsoftware lässt sich so auch prima linken.
Das einzig Unklare ist, wie ich zu diesem DNS-Eintrag gekommen bin, aber da bin ich ganz beruhigt bei einem Sohn, der mit dem anderen Client in der Spiele- und Eselszene unterwegs ist

Weiß jemand, ob man sich gegen solche Praktiken irgendwo beschweren kann?

Reinhart

#18 Meine Vermiutung bzgl. Domainsperre o.ä hat sich nicht bestätigt.
Ich habe betreffend dem ww.coderz.net / 127.0.0.1 an denic.de geschrieben, folgende Antwort:

Zitat

...in der Tat sind wir hierfuer nicht zustaendig -

Dennoch, der fuer coderz.net autoritativ NS liefer fuer
www.coderz.net die entsprechende IP zurueck:

; <<>> DiG 8.3 <<>> @NS1.MYDOMAIN.COM www.CODERZ.NET any
; (1 server found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4
;; QUERY SECTION:
;; www.CODERZ.NET, type = ANY, class = IN

;; ANSWER SECTION:
www.CODERZ.NET. 1D IN A 127.0.0.1

;; AUTHORITY SECTION:
CODERZ.NET. 3D IN NS ns1.mydomain.com.
CODERZ.NET. 3D IN NS ns2.mydomain.com.
CODERZ.NET. 3D IN NS ns3.mydomain.com.
CODERZ.NET. 3D IN NS ns4.mydomain.com.

;; ADDITIONAL SECTION:
ns1.mydomain.com. 30M IN A 64.94.117.195
ns2.mydomain.com. 30M IN A 216.52.121.228
ns3.mydomain.com. 30M IN A 66.150.161.130
ns4.mydomain.com. 30M IN A 63.251.83.74

;; Total query time: 169 msec
;; FROM: denics3 to SERVER: NS1.MYDOMAIN.COM 64.94.117.195
;; WHEN: Mon Jun 16 13:58:11 2003
;; MSG SIZE sent: 32 rcvd: 196

Der Eintrag ist also korrekt bzw. im Nameserver falsch eingetragen.


Viele Gruesse
Sascha Kaempf
(DENICoperations)

__________
Durchsuchen --> Aussuchen --> Untersuchen

#19 Stichwort: Reverse DNS lookup

Welche IP zu einer gegebenen URL über obigen Mechanismus zurückgeliefert wird, kann im zuständigen DNS (Domain Name Server) eingestellt werden. Im Falle von www.coderz.net ist dieser Eintrag eben gefakt worden.
Die Seite/der Server selbst hat nicht die IP 127.0.0.1, sondern irgendeine gewöhnliche, gibt jedoch die Loopback-Adresse auf Anfrage per Reverse DNS lookup heraus.

#20 um die verwirrung komplett zu machen:

http://coderz.net = ip 65.119.106.228

http//:www.coderz.net = ip 127.0.0.1

liegt wohl daran, das der dns-server meines software-routers (externer dns-server) die ip nicht zurückgibt und daher das nat auf localhost verweist... quasi ein nat-ip-bounce *g
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...