24. August 2008

D-Link DSL-380T verteilt per DHCP vertrauensUNwürdigen DNS-Server
	- Ausspähen von Kundendaten möglich.

Autor: Frank Dreßler <frank.dressler@rub.de>

Das D-Link DSL-380T-Gerät (ein ADSL2+-Modem) verteilt, wenn es im Bridge-Modus ist,
mittels DHCP die nicht vertrauenswürdige DNS-Server-Adresse 168.95.1.1 (dns.hinet.net)
an die an das Gerät angeschlossenen Rechner. Dies führt dazu, dass DNS-Anfragen, die
über die Netzwerkkarte abgewickelt werden, an diesen DNS-Server weitergreicht werden,
der dann das Verhalten der Benutzer beobachten oder gezielt falsche Antworten senden kann,
um beispielsweise Kontodaten auszuspähen. Überprüfbar ist das ganze, indem man das Modem
in den Bridge-Modus schaltet und einen Rechner anschließt, der sich per DHCP einstellen
lässt. Auf Windows genügt dann ein Blick in die Einstellung mittels "ipconfig /all", um
die Adresse des nicht vertrauenswürdigen DNS-Servers 168.95.1.1 zu finden. Außerdem kann
man mittels Telnet auf das Modem verbinden und in der DHCP-Server-Konfigurationsdatei
diese Adresse finden, indem man "grep dns /etc/udhcpd.conf" eingibt. Kunden, bei denen
DNS-Namensauflösungen nur über das PPP-Gerät und damit nicht über den vertrauensunwürdigen
DNS-Server, sondern den per PPP-IPCP vom Provider zugewiesenen, abgewickelt werden,
stellen wahrscheinlich aber die Mehrheit und sind nicht betroffen. Nicht betroffen
sind Kunden, die die Einwahl ins Internet dem Modem überlassen.

Adresse des Herstellers: http://www.d-link.de/