Erfahrungsaustausch geblacklistete CGNAT-IPv4 bei DG (und anderen ISPs)

  • Nabend zusammen,


    Ich wollte mal einen Thread zwecks Erfahrungsaustausch über geblacklistete CGNAT-Adressen starten. Ein Problem von CGNAT ist bekanntlich, dass viele viele Anschlüsse gleichzeitig dieselbe Public IPv4 verwenden.


    Momentan fällt mir auf, dass Google seit ein paar Tagen häufig "ungewöhnlichen Datenverkehr aus ihrem Computernetzwerk" meldet und zur Eingabe eines Capture auffordert. Außerdem kann ich mich bei einer mir wichtigen Game-Webseite nicht anmelden kann, von mehreren anderen Internetanschlüssen und dem selben Gerät aus gibt es hingegen kein Problem.


    Nach etwas Rätselraten bin ich dann (sehr wahrscheinlich) auf die Ursache gestoßen. Die Public CGNAT-IP Adresse von Deutsche Glasfaser (94.31.104.67) mit der ich momentan im Internet erscheine wird bei Spamhaus als Malewareschleuder gelistet, letzte Erkennung war der 28.09.2021.


    Etwa seit dem stelle ich auch die oben genannten Auffälligkeiten fest, ich vermute dieses Listing daher als Ursache.


    Hat jemand Ahnung wie solche Spamlisten arbeiten? Werden solche Blacklistings irgendwann automatisch wieder aus den Listen gelöscht, wenn keine neuen Erkennungen mehr hineinkommen? Oder bleibt eine einmal gelistete IP-Adresse solange drin bis der ISP höchtperönslich die Listenbetreiber anschreibt (also vermutlich nie :roll:)?


    Ich habe im Übrigen ein Ticket bei DG dazu offnen mit der bitte diese IP-Adresse nicht mehr im CGNAT einzusetzen, solange sie bei Spamhaus gelistet ist. Ich werde berichten wie der super kompetente DG-Support mit dieser Anfrage umgehen wird :lol:.

  • Ich beobachte in letzter Zeit auch häufiger, dass Suchmaschinen irgendwas "verifizieren" wollen oder Captchas präsentieren. Die IP-Adresse ist z.Z. aber nur bei "uceprotect" gelistet, was eine sehr fragwürdige DNS-BL ist, da die Betreiber eine schnellere Löschung aus ihrer Liste gegen Geld anbieten und bewusst ganze Netzbetreiber listen, um deren Nutzer in Sippenhaft zu nehmen. Natürlich kann man als Nutzer nicht verhindern, dass Email-Admins solche Listen trotzdem verwenden. Gleiches gilt für den äußerst zweifelhaften Einsatz von DNS-BLs, die eigentlich nur die Vertrauenswürdigkeit von Email-Servern abbilden sollen, um stattdessen Webseitenbesucher mehr oder weniger argwöhnisch zu beäugen.


    Die Frage, ob von CGNAT-Adressen Spam verschickt wird, sollte sich eigentlich gar nicht stellen, denn diese Adressen sind als dynamische Kundenadressen gelistet, von denen überhaupt keine Mail ohne Authentifizierung versendet werden sollte. Einen Mailserver an einer solchen Adresse zu betreiben, ist aus mehreren Gründen sinnlos. Eingehende Emails sind wegen CGNAT ohnehin nicht möglich. Ausgehende Emails scheitern nicht nur am fehlenden Reverse-DNS Eintrag sondern eben auch an besagter Policy-Kennzeichnung, die jedem Mailserver, der es wissen will, unmissverständlich nahelegt, keine Emails von diesen Adressen anzunehmen. Das hindert aber selbstverständlich Malware nicht daran, es trotzdem zu versuchen. Wenn die dann Spamfallen beschickt, landen die Adressen auf DNS-BL. Wenn die nur für ihren eigentlichen Zweck eingesetzt würden, wäre das kein Problem. Die würden nur verhindern, was sowieso praktisch unmöglich ist.


    Außer Email gibt es noch viele andere Möglichkeiten, wie eine IP-Adresse eine schlechte Reputation bekommen kann. Es gibt z.B. kostenlose "VPN"-Apps, die die Verbindungen durch die Internetanschlüsse anderer Nutzer der selben App schleusen. Es ist sehr wahrscheinlich, dass solche Systeme dazu genutzt werden, um illegitime Verbindungen mit dem normalen Traffic von ISP-Kunden zu vermischen, um so einer Sperrung zu entgehen. Wer Server betreibt, kennt den Müll, der ununterbrochen auf alles einprasselt, was einen Domainnamen hat. Eine sichere Methode, um sich bei Serverbetreibern unbeliebt zu machen, ist auch, einen TOR Exit Node zu betreiben. Ob das jemand mit der IP-Adresse tut, der man gerade auch selbst zugewiesen ist, kann man beim TOR Projekt nachschauen.


    Serverbetreiber verwenden häufig "Fail2Ban". Damit werden wiederholte Verbindungen, die irgendwie als bösartig erkannt werden (z.B. SSH-Login-Versuche mit Listen von Passwörtern), in eine (i.d.R. temporäre) Sperrung überführt, die weitere Verbindungsversuche zu diesem Server blockiert. Die Idee dahinter ist, systematische Scans im Keim zu ersticken. Die Angreifer haben sich darauf eingestellt, indem sie Scans nach Logins oder Sicherheitslücken ausgehend von vielen verschiedenen Adressen durchführen, wodurch das Wiederholungskriterium von Fail2Ban nicht greift. Deshalb setzen nun auch Serverbetreiber auf verteilte Verteidigung. Wenn IP-Adressen mit einer fragwürdigen Anfrage auffallen, wird dies an eine Sammelstelle gemeldet, und wenn dort noch weitere Server verdächtige Anfragen gemeldet haben, wird die anfragende IP-Adresse blockiert. In solchen Sammelstellen sind auch IP-Adressen von Deutsche Glasfaser CGNAT gelistet, für Dinge wie "email spam", "PHP scan" und vieles mehr.


    Wer diesen Dingen entgehen will, kann IPv6 verwenden. Mit IPv4 ist die geteilte Nutzung von Adressen zunehmend unausweichliche Realität. Es hilft oft auch, sich zu deanonymisieren, wenn man dazu bereit ist. Den Versuch, IP-Adressen, die von Dutzenden oder Hunderten Kunden gleichzeitig genutzt werden, "sauber" zu halten, finde ich aussichtslos. Dazu ist es für technisch unbedarfte Nutzer viel zu leicht, unwissend den eigenen Anschluss zur Quelle von nicht erwünschten Verbindungen werden zu lassen.

  • Keine Ahnung ob es wirklich an meinem Ticket lag, aber immerhin komme ich jetzt seite heute morgen mit einer anderen DG CGNAT-IPv4 ins Internet die (noch) nicht auf der Blockliste steht :D. Nun lassen mich auch alle Dienste wieder rein :).

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden