TwoCom Online-Forum

von **Marjorie** » Di 05.08.2008 - 14:30

Ich möchte hier mal ein Problem ansprechen, was mich schon seit längerer Zeit ärgert. Ich habe in der Firma AVM KEN! laufen; der KEN! PC bekommt seinen Internetzugang über einen Vigor 2800. Zur Spamerkennung verwende ich DNSBL Blacklisten. Davon habe ich ca. 5 oder 6 konfiguriert.

Jeden Morgen, wenn der erste Emailaustausch stattfindet, und der gesammelte Spam der Nacht oder vom Wochenende vom Provider geholt wird, passiert das folgende:

Alle Emails, die nicht auf der Ausnahmenliste stehen, und auch nicht bereits durch ein Sperrwort rausgeflogen sind, werden bei den DNSBL Anbietern abgefragt. Das ist meist eine Handvoll Mails. In jeder Mail stehen im Header die IPs der Mailrelais, das sind einige. Für jede IP aus jeder Mail wird nun an jeden DNSBL-Anbieter eine DNS-Anfrage der Form "xyz.15.227.212.dnsbl-2.uceprotect.net" losgelassen, und das in etwa zeitgleich. Laut KEN-Log jedenfalls innerhalb der selben Sekunde.

Von diesen 20-30 DNS-Anfragen werden 2 bis 4 beantwortet, die restlichen landen im Timeout. Das Ergebnis ist, das die Spam-Mails nicht mehr bei den Blacklisten abgefragt werden.

KEN! läuft normalerweise mit einer eingebauten Fritzcard, da gab es das Problem nicht. Jetzt geht der Zugang über den Vigor, seitdem tritt es auf.

Die IP-Adresse des Vigor ist in KEN als DNS-Server eingetragen. Der Vigor bezieht die DNS Serveradressen vom Provider. Ich habe auch schon die Provideradressen (prim./sek.) direkt bei KEN eingetragen; hat auch nicht geholfen.

Ich habe auch schonmal den Vigor gegen so ein Billigteil von Netgear und meinen privaten Arcor-Router getauscht; mit beiden gab es keinerlei Problem. Mein Verdacht: Der Vigor kann die vielen DNS-Anfragen nicht verarbeiten.

Damals haben sich AVM- und Draytek-Support monatelang gegenseitig die Schuld zugeschoben. AVM sagt, das Problem sei mit diesem Routertyp bekannt. Draytek habe ich massenweise mit KEN-Logdateien, Syslog-Protokollen und Wireshark-Aufzeichnungen vom Monitoringport versorgt. Sie konnten leider auch keinen Fehler bei sich nachvollziehen. Schließlich haperte es wohl daran, daß in Taiwan keine KEN!-Installation existiert.

Ich glaube daher auch nicht, daß in einer evtl. neueren Firmware an diesem Punkt was geändert wurde. Momentan habe ich die 2.8 drauf.

Ist das Problem mit diesem Router wirklich bekannt?
Gibt es ein Tool, mit dem man zu Testzwecken mehrere DNS-Anfragen gleichzeitig loslassen kann?

von **Kuddel** » Di 05.08.2008 - 20:15

naja, wenn du eine Website mit voll Werbung aufmachst...was meinst du was dein Browser dann macht?(DNS-Abfragen für die Werbebilder

...)

irgendwelche Firewallsachen beim Vigor an? (DoS-Defence?)

von **Marjorie** » Mi 06.08.2008 - 08:37

Ich hatte mal so eine tolle Seite mit viel Werbung, und einer TTL von einer Sekunde! Da gab es praktisch bei jedem Klick neue DNS-Anfragen. Leider weiß ich nicht mehr, wie die hieß. Jedenfalls gab es beim normalen Surfen noch nie Probleme, obwohl hier bis zu 7 Leute gleichzeitig aktiv sind.

In der Firewall ist grundsätzlich alles aktiviert, was zu aktivieren geht

Die DoS Abwehr habe ich mal ganz rausgenommen, das macht keinen Unterschied. Dann die komplette Firewall ausgeschaltet, bringt auch nichts.

Bei KEN! gibt es die Diagnosefunktion Dr. KEN, da wird an jede DNSBL nur eine einzige Anfrage losgelassen, aber eben zeitgleich. Nichtmal das funktioniert. Wenn ich hier ein File dranhängen könnte, würde ich ja mal einen Auszug aus der Logdatei posten.

von **Marjorie** » Mi 06.08.2008 - 11:13

08:08:23 kencheck: DNSBL im Internet prüfe...
08:08:23 kencheck: dns: 80.244.42.212.blacklist.spambag.org: query
08:08:23 kencheck: dns: 80.244.42.212.list.dsbl.org: query
08:08:23 kendns: 0040 START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.blacklist.spambag.org (A,IP)
08:08:23 kencheck: dns: 80.244.42.212.zen.spamhaus.org, 127.0.0.2, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9, 127.0.0.10, 127.0.0.11: query
08:08:23 kendns: 0041 START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.list.dsbl.org (A,IP)
08:08:23 kencheck: dns: 80.244.42.212.bl.spamcop.net: query
08:08:23 kendns: 0042 START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.zen.spamhaus.org, 127.0.0.2, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9, 127.0.0.10, 127.0.0.11 (A,IP)
08:08:23 kencheck: dns: 80.244.42.212.cbl.abuseat.org: query
08:08:23 kendns: 0043 START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.bl.spamcop.net (A,IP)
08:08:23 kencheck: dns: 80.244.42.212.psbl.surriel.com: query
08:08:23 kendns: 0044 START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.cbl.abuseat.org (A,IP)
08:08:23 kencheck: dns: 80.244.42.212.dnsbl-1.uceprotect.net: query
08:08:23 kendns: 0045 START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.psbl.surriel.com (A,IP)
08:08:23 kencheck: dns: 80.244.42.212.dnsbl-2.uceprotect.net: query
08:08:23 kendns: 0046 START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.dnsbl-1.uceprotect.net (A,IP)
08:08:23 kencheck: dns: 80.244.42.212.no-more-funn.moensted.dk, 127.0.0.2, 127.0.0.3, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9: query
08:08:23 kendns: 0047 START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.dnsbl-2.uceprotect.net (A,IP)
08:08:23 kendns: 0048 START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.no-more-funn.moensted.dk, 127.0.0.2, 127.0.0.3, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9 (A,IP)
08:08:23 kendns: 80.244.42.212.list.dsbl.org: not found (NameError)
08:08:23 kendns: 0041 COMPLETE(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.list.dsbl.org (A,IP) TTL=8h
08:08:23 kencheck: dns; 80.244.42.212.list.dsbl.org: not found
08:08:28 kendns: 0049 START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.blacklist.spambag.org (A,IP)
08:08:28 kendns: 004a START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.zen.spamhaus.org, 127.0.0.2, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9, 127.0.0.10, 127.0.0.11 (A,IP)
08:08:28 kendns: 004b START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.bl.spamcop.net (A,IP)
08:08:28 kendns: 004c START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.cbl.abuseat.org (A,IP)
08:08:28 kendns: 004d START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.psbl.surriel.com (A,IP)
08:08:28 kendns: 004e START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.dnsbl-1.uceprotect.net (A,IP)
08:08:28 kendns: 004f START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.dnsbl-2.uceprotect.net (A,IP)
08:08:28 kendns: 0050 START(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.no-more-funn.moensted.dk, 127.0.0.2, 127.0.0.3, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9 (A,IP)
08:08:28 kendns: [217.237.150.205] FILTERED(REPLY) 80.244.42.212.zen.spamhaus.org, 127.0.0.2, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9, 127.0.0.10, 127.0.0.11 (A,IP)
08:08:38 kencheck: dns: 80.244.42.212.blacklist.spambag.org: timeout after 1 retries
08:08:38 kencheck: dns: 80.244.42.212.zen.spamhaus.org, 127.0.0.2, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9, 127.0.0.10, 127.0.0.11: timeout after 1 retries
08:08:38 kencheck: dns: 80.244.42.212.bl.spamcop.net: timeout after 1 retries
08:08:38 kencheck: dns: 80.244.42.212.cbl.abuseat.org: timeout after 1 retries
08:08:38 kencheck: dns: 80.244.42.212.psbl.surriel.com: timeout after 1 retries
08:08:38 kencheck: dns: 80.244.42.212.dnsbl-1.uceprotect.net: timeout after 1 retries
08:08:38 kencheck: dns: 80.244.42.212.dnsbl-2.uceprotect.net: timeout after 1 retries
08:08:38 kencheck: dns: 80.244.42.212.no-more-funn.moensted.dk, 127.0.0.2, 127.0.0.3, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9: timeout after 1 retries
08:08:38 kencheck: DNSBL im Internet OK Info: Folgende DNSBL sind nicht verfügbar: blacklist.spambag.org, zen.spamhaus.org, 127.0.0.2, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9, 127.0.0.10, 127.0.0.11, bl.spamcop.net, cbl.abuseat.org, psbl.surriel.com, dnsbl-1.uceprotect.net, dnsbl-2.uceprotect.net, no-more-funn.moensted.dk, 127.0.0.2, 127.0.0.3, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9
08:09:08 kendns: 0040 TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.blacklist.spambag.org (A,IP)
08:09:08 kendns: 0042 TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.zen.spamhaus.org, 127.0.0.2, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9, 127.0.0.10, 127.0.0.11 (A,IP)
08:09:08 kendns: 0043 TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.bl.spamcop.net (A,IP)
08:09:08 kendns: 0044 TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.cbl.abuseat.org (A,IP)
08:09:08 kendns: 0045 TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.psbl.surriel.com (A,IP)
08:09:08 kendns: 0046 TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.dnsbl-1.uceprotect.net (A,IP)
08:09:08 kendns: 0047 TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.dnsbl-2.uceprotect.net (A,IP)
08:09:08 kendns: 0048 TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.no-more-funn.moensted.dk, 127.0.0.2, 127.0.0.3, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9 (A,IP)
08:09:13 kendns: 0049 TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.blacklist.spambag.org (A,IP)
08:09:13 kendns: 004a TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.zen.spamhaus.org, 127.0.0.2, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9, 127.0.0.10, 127.0.0.11 (A,IP)
08:09:13 kendns: 004b TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.bl.spamcop.net (A,IP)
08:09:13 kendns: 004c TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.cbl.abuseat.org (A,IP)
08:09:13 kendns: 004d TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.psbl.surriel.com (A,IP)
08:09:13 kendns: 004e TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.dnsbl-1.uceprotect.net (A,IP)
08:09:13 kendns: 004f TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.dnsbl-2.uceprotect.net (A,IP)
08:09:13 kendns: 0050 TIMEOUT(MISS) [127.0.0.1] [192.168.115.241] 80.244.42.212.no-more-funn.moensted.dk, 127.0.0.2, 127.0.0.3, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9 (A,IP)

Ein Auszug aus dem Logfile von KEN! Die beiden Zeilen mit "not found" verweisen auf eine Antwort des DNS-Servers
Sorry für das lange Posting :oops:

von **Kuddel** » Mi 06.08.2008 - 18:59

syslog vom vigor ist vielleicht aussagekräftiger...

von **Marjorie** » Do 07.08.2008 - 07:47

150 Aug 7 08:30:53 Vigor Local User: 192.168.115.1:4529 -> 212.227.15.177:110 (TCP)POP3
150 Aug 7 08:30:54 Vigor Local User: 192.168.115.1:4542 -> 212.227.15.177:110 (TCP)POP3
150 Aug 7 08:30:56 Vigor Local User: 192.168.115.1:4554 -> 212.227.15.177:110 (TCP)POP3
150 Aug 7 08:30:57 Vigor Local User: 192.168.115.1:4567 -> 212.227.15.177:110 (TCP)POP3
150 Aug 7 08:30:58 Vigor Local User: 192.168.115.1:4579 -> 212.227.15.177:110 (TCP)POP3
150 Aug 7 08:31:00 Vigor Local User: 192.168.115.1:4592 -> 212.227.15.177:110 (TCP)POP3
150 Aug 7 08:31:01 Vigor Local User: 192.168.115.1:4604 -> 212.227.15.177:110 (TCP)POP3
150 Aug 7 08:31:02 Vigor Local User: 192.168.115.1:4617 -> 212.227.15.177:110 (TCP)POP3
150 Aug 7 08:31:03 Vigor Local User: 192.168.115.1:4629 -> 212.227.15.177:110 (TCP)POP3
150 Aug 7 08:31:05 Vigor Local User: 192.168.115.1:4642 -> 212.227.15.177:110 (TCP)POP3
150 Aug 7 08:31:06 Vigor Local User: 192.168.115.1:4654 -> 212.227.15.177:110 (TCP)POP3
150 Aug 7 08:31:07 Vigor Local User: 192.168.115.1:4667 -> 212.227.15.177:110 (TCP)POP3
150 Aug 7 08:31:08 Vigor Local User: 192.168.115.1:4679 -> 212.227.15.129:25 (TCP)SMTP
150 Aug 7 08:31:10 Vigor Local User: 192.168.115.1 DNS -> 217.237.150.205 inquire 80.244.42.212.zen.spamhaus.org, 127.0.0.2, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9, 127.0.0.10, 127.0.0.11
150 Aug 7 08:31:10 Vigor Local User: 192.168.115.1 DNS -> 217.237.150.205 inquire 80.244.42.212.bl.spamcop.net
150 Aug 7 08:31:10 Vigor Local User: 192.168.115.1 DNS -> 217.237.150.205 inquire 80.244.42.212.psbl.surriel.com
150 Aug 7 08:31:10 Vigor Local User: 192.168.115.1 DNS -> 217.237.150.205 inquire 80.244.42.212.dnsbl-1.uceprotect.net
150 Aug 7 08:31:10 Vigor Local User: 192.168.115.1 DNS -> 217.237.150.205 inquire 80.244.42.212.dnsbl-2.uceprotect.net
150 Aug 7 08:31:15 Vigor Local User: 192.168.115.1 DNS -> 217.237.150.205 inquire 80.244.42.212.zen.spamhaus.org, 127.0.0.2, 127.0.0.4, 127.0.0.6, 127.0.0.8, 127.0.0.9, 127.0.0.10, 127.0.0.11
150 Aug 7 08:31:15 Vigor Local User: 192.168.115.1 DNS -> 217.237.150.205 inquire 80.244.42.212.bl.spamcop.net
150 Aug 7 08:31:15 Vigor Local User: 192.168.115.1 DNS -> 217.237.150.205 inquire 80.244.42.212.psbl.surriel.com
150 Aug 7 08:31:15 Vigor Local User: 192.168.115.1 DNS -> 217.237.150.205 inquire 80.244.42.212.dnsbl-1.uceprotect.net
150 Aug 7 08:31:15 Vigor Local User: 192.168.115.1 DNS -> 217.237.150.205 inquire 80.244.42.212.dnsbl-2.uceprotect.net
166 Aug 7 08:31:24 Vigor PoE ==> Protocol:LCP(c021) EchoReq Identifier:0xECMagic Number: 0x0 00 00 ##
166 Aug 7 08:31:24 Vigor PoE <== Protocol:LCP(c021) EchoRep Identifier:0xECMagic Number: 0x58c3 64 8c ##
150 Aug 7 08:31:33 Vigor Local User: 192.168.115.1 DNS -> 217.237.150.205 inquire www.google.de
150 Aug 7 08:31:33 Vigor Local User: 192.168.115.1:4913 -> 74.125.39.147:80 (TCP)Web
150 Aug 7 08:31:33 Vigor Local User: 192.168.115.1:4913 -> 74.125.39.147:80 (TCP) close connection

Das Syslog zeigt den Selbsttest von Dr. KEN. Zuerst wird die Erreichbarkeit der Email-Postfächer geprüft, dann die DNS-Anfragen an die DNSBL-Anbieter. Zweimal nacheinander im Abstand von 5 s da beim ersten Mal unbeantwortet (beim zweiten Mal auch).

Am Schluß zum Vergleich der Aufruf der Google-Seite im Browser, was problemlos funktioniert. Leider zeigt das Syslog nicht, ob die DNS query auch beantwortet wurde. Oder kann man da irgendwie noch mehr Information rausholen?

Liegt es vielleicht an der Länge der Strings: "www.google.de" = 13 Zeichen, "80.244.42.212.dnsbl-2.uceprotect.net" = 36 Zeichen?

von **Kuddel** » Do 07.08.2008 - 17:25

aehm, ich meinte ein syslog ueber snmp vom vigor...

von **Marjorie** » Fr 08.08.2008 - 11:41

Wären wir mal wieder an dem Punkt, wo der Kunde selbst zum Forscher wird um das rauszukriegen, was der Support nicht hinbekommt. Wo der Kunde sich mit Dingen beschäftigen muß, von denen er nichts versteht und auch nichts verstehen muß. Die Kiste soll einfach meine DNS-Anfragen vernünftig beantworten, so wie das 39-Euro-Teil von Netgear es auch tut. Aber ist ja auch mal spannend...

Kuddel, wenn du das mit dem SNMP mal etwas näher erläutern könntest? Soweit ich mich da bisher schlau gemacht habe,
- brauche ich ein Tool das SNMP abfragen kann
- muß ich SNMP im Router freigeben
- und muß mich mit MIBs und OIDs auskennen

Ich hab mir diese Liste mal bei Draytek runtergeladen. Da gibt es also dann solche Identifier wie
1.3.6.1.2.1.4.5 ipInAddrErrors
1.3.6.1.2.1.4.6 ipForwDatagrams
1.3.6.1.2.1.4.7 ipInknownProtos
1.3.6.1.2.1.4.8 ipInDiscards
1.3.6.1.2.1.4.9 ipInDelivers
1.3.6.1.2.1.4.10 ipOutRequests
1.3.6.1.2.1.4.11 ipOutDiscards
1.3.6.1.2.1.4.12 ipOutNoRoutes
1.3.6.1.2.1.4.13 ipReasmTimeout
1.3.6.1.2.1.4.14 ipReasmReqds
usw. usw.

Soweit ich das verstanden habe, sind das alles irgendwelche Zählerstände oder Strings. Welcher von denen sagt mir denn, wo meine DNS-Anfragen geblieben sind?

TwoCom Online-Forum

Vigor 2800 - Probleme mit häufigen DNS-Anfragen?

Vigor 2800 - Probleme mit häufigen DNS-Anfragen?

Wer ist online?