Not OpenDNS

Mit Google (8.8.8.8, 8.8.4.4), Quad9 (9.9.9.9) und CloudFlare (1.1.1.1) gibt es schon einige unabhängige DNS-Provider, die einen schnelle und "sichere" Namensauflösung versprechen. Ich stehe all diesen Providern eher skeptisch gegenüber, denn sie versprechen zwar eine "sehr schnelle Namensauflösung" aber wichtiger ist mir, die "richtige Antwort", damit mein Client auch den nächsten und schnellsten Server für die Applikation erreicht.

OpenDNS in Kürze

Bislang habe ich OpenDNS noch nie im Einsatz gesehen. Die Firma hat auch eine durchwachsene Geschichte, da Sie darauf beruht, dass Sie als Anwender oder Firma die DNS-Server von OpenDNS als Forwarder eintragen. OpenDNS sieht also jede DNS-Abfrage und kann diese Daten auch auswerten. Zudem hat OpenDNS am Anfang auch Adressen für Domains geliefert, die gar nicht registriert waren. Es wurde dann eine Umleitung auf eine Werbe/Suchseite von OpenDNS geschaltet. Ähnlich der "Telekom Navigationshilfe" etc. Dieses Verhalten hat OpenDNS mittlerweile eingestellt.

OpenDNS pflegt aber weiterhin eine Datenbank von "Malware-Sites", um diese dann bei einer DNS-Anfragen nicht mehr auszuliefern. Technisch kann OpenDNS als DNS-Anfrage damit natürlich nur den FQDN-Hostnamen erkennen und umleiten und nicht einzelne TeilURLs unterscheiden.

Mittlerweile gehört OpenDNS zu Cisco und wird dort als Ein Teil unter "Umbrella" mit vermarktet. Es gibt kostenfreie Angebote, die aber nur für Privatanschlüsse gelten. Für Firmen gibt es natürlich kommerzielle Angebote. Im Hintergrund betreibt OpenDNS eine Menge von DNS-Servern weltweit, die unter Anycast-IP-Adressen (208.67.222.222 + 208.67.220.220 2620:119:35::35 + 2620:119:53::53) zu erreichen sind.

Erwischt

Aufgefallen ist dieses Verhalten das erste Mal bei einem Kunden, der OpenDNS als "DNS-Forwarder" statt dem Provider oder der Root-Server genutzt hat und ich von Audiocodes eine Software herunter laden wollte. Der Link verweist dazu auf redirect.audiocodes.com und warum auch immer wurde diese Adresse von OpenDNS als Phishing-Seite angesehen. Im Brower habe ich dann folgende Meldung gesehen:

So war ein Download erst mal nicht möglich. Das ist ok, wenn es richtige böse Seiten erwischt UND sie wissentlich OpenDNS als DNS-Resolver eingebunden haben.

OpenDNS und Office 365

Damit war natürlich meine Neugierde geweckt und ich habe OpenDNS hinsichtlich Office 365-Einträge gefragt. Wenn alles richtig läuft, dann sollte der DNS-Resolver die gleichen Zugangsdaten liefern, wie eine normale direkte Anfrage.

Ich habe in dem Moment in einem Hotel in Brno mit der IP-Adresse 62.209.224.147 gearbeitet, welche dem Provider "T-Mobile Czech Republic" zugewiesen ist.

Zuerst also wieder die normale Anfrage eines Clients, der NICHT OpenDNS nutzt. Wir wissen ja schon, dass "outlook.office365.com" als CNAME auf den Namen "outlook.ms-acdc.office.com" verweist und daher der folgende Aufruf die Azure Eingangstür liefert.

(Resolve-DnsName outlook.ms-acdc.office.com)[-1].name
FRA-efz.ms-acdc.office.com

Routenverfolgung zu 52.97.152.210 über maximal 30 Hops

1 4 ms 4 ms 1 ms 192.168.10.1
2 7 ms 4 ms 5 ms 62.209.224.145
3 7 ms 9 ms 7 ms 62.168.33.113
4 8 ms 11 ms 10 ms 213.29.165.78
5 9 ms 8 ms 8 ms 213.29.165.78
6 16 ms 29 ms 16 ms ae-2.fra2027-ex1.gtsce.net [193.85.195.94]
7 16 ms 19 ms 17 ms msft-decix-01-fra.ntwk.msn.net [80.81.194.52]

Die Anfrage bei Microsoft von dem aktuellen Provider verweist mich Richtung Frankfurt. Das ist schon interessant, da geografisch sogar Wien näherliegen würde aber anscheinend hat die Telekom kein Peering Richtung Microsoft in CZ oder Österreich und routet den Verkehr nach Frankfurt

Nun nutze ich vom gleichen Client aus die OpenDNS-Server

(Resolve-DnsName outlook.ms-acdc.office.com -Server 208.67.222.222)[-1].name
sxf-efz.ms-acdc.office.com

 Bei der Abfrage über OpenDNS bekam ich aber "Berlin Schönefeld" als Zugangsknoten zu sehen. Beim anschließenden Traceroute war der Weg bis zum Microsoft Global Netzwerk (MGN) aber identisch und laut DNS-Namen der Router auch in Frankfurt. Nur innerhalb des MGN wurde der Verkehr natürlich dann anderweitig weiter geleitet

Auch wenn der Weg durch den Carrier gleich war, ist der Zugangspunkt Berlin, den mir OpenDNS geliefert hat, weiter entfernt und tendenziell schlechter.

Lassen Sie es sich eine Warnung sein, wenn Sie angeblichen Propheten vertrauen und DNS-Server in ihrem Firmennetzwerk nutzen, deren Funktionsweise und Auswirkungen sie nicht vollständig verstanden habe.

Weitere Links