Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Internetausfall in China war offenbar weitreichend

Die vor einigen Tagen aufgetretene Internetstörung betraf vermutlich weit mehr als nur Domains in China. Ein Cache-Log, der heise-netze vorliegt, deutet darauf hin, dass von China aus auch Zugriffe auf viele ausländische Seiten fehlgeleitet waren.

In Pocket speichern vorlesen Druckansicht 16 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Florian Klan

Internetnutzer aus China konnten am Dienstag anscheinend auch nicht auf europäische und amerikanische Domain-Namen zugreifen, weil die Übersetzung von Domainnamen zu IP-Adressen für zahlreiche Domains verstellt war. Die Anfragen aus China wurden offenbar nicht nur bei chinesischen Domains sondern auch Zielen unter anderen Länderdomains wie google.co.uk oder infiniti.ca an eine von zwei falschen IPs weitergereicht.

Eine davon führt zu einem Server der Firma Sophidea, die andere zu einem Server von Dynamic Internet Technology. Letzteren betreibt eine Firma des chinesischen Auswanderers Bill Xia. Es handelt sich um einen Proxy-Dienst, der Surfern in China Zugang zu ansonsten dort gesperrten Websites vermittelt.

Wie umfassend die Störung gewesen sein muss, legt der Cache-Log eines BIND-DNS-Servers aus China nahe, der heise Netze vorliegt. Die Fehleinträge, wie sie auszugsweise weiter unten zu sehen sind, hatten laut china.org.cn mehr als zwei Drittel der DNS-Server offenbar von einem übergeordneten DNS-Server übernommen. Bisher galten hautpsächlich beliebte chinesische Domains als betroffen.

Chinas staatliche Nachrichtenagentur Xinhua hat den Zwischenfall zwar gemeldet, liefert aber keine eindeutige Erklärung. Die kurze Meldung bringt vielmehr Attacken auf das DNS ins Spiel und zitiert Fachleute, die die DNS-Manipulation als Mittel für Phishing-Angriffe beschreiben. Warum Angreifer ausgerechnet auch auf einen Proxy umleiten sollten, der zum Umgehen der chinesischen Firewall genutzt wird, wird damit aber nicht verständlicher.

Der unten aufgeführte Auszug aus dem Cache-Log führt nur die Umleitungen zur IP-Adresse 65.49.2.178 des Sophidea-Servers auf. Für www.google.co.uk müsste es zum Beispiel 173.194.44.63 heißen.

www.google.CO.UK. 2804 A 65.49.2.178
addons.mozilla.org. 6700 A 65.49.2.178
asia.pool.ntp.org. 4044 A 65.49.2.178
e935.g.akamaiedge.net. 4906 A 65.49.2.178
time.microsoft.akadns.net. 3715 A 65.49.2.178
log.client.akadns.net. 226 A 65.49.2.178
1.courier-push-apple.com.akadns.net. 6229 A 65.49.2.178
softwareupdate.vmware.com. 5978 A 65.49.2.178
evintl-crl.verisign.com. 4945 A 65.49.2.178
master6.teamviewer.com. 5453 A 65.49.2.178
cn.reuters.com. 4334 A 65.49.2.178
login.cn.msn.com. 2038 A 65.49.2.178
www.mozilla.com. 4890 A 65.49.2.178
notify1.dropbox.com. 3724 A 65.49.2.178
s3-ap-southeast-1-w-a.amazonaws.com. 490 A 65.49.2.178
mesu.apple.com. 128 A 65.49.2.178
init-p01st.push.apple.com. 4560 A 65.49.2.178 (fkn)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten