Welche IP sind das?

[Wichtelmann]

Jeden Tag gegen 23:40 scheint etwas auf folgende IP´s zugreifen zu wollen:

07.12.17 23:44:26 Der Zugriff auf die feste IP-Adresse 62.138.239.45 wurde durch die Filter für Internetseiten verhindert.
07.12.17 23:44:26 Der Zugriff auf die feste IP-Adresse 104.20.22.219 wurde durch die Filter für Internetseiten verhindert.

Gefiltert kann schon sein, Blacklist und PBjM, jedoch WER will WORAUF zugreifen?

 

[stoney]

Wie wäre es mit https://www.heise.de/netze/tools/whois/

Spoiler: 62.138.239.45=Ströer Digital Publishing GmbH/www.telekom.de

Using server whois.ripe.net.
Query string: "-V Md5.1 62.138.239.45"

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '62.138.238.0 - 62.138.239.255'

% Abuse contact for '62.138.238.0 - 62.138.239.255' is '[email protected]'

inetnum: 62.138.238.0 - 62.138.239.255
netname: STROEER-NET
descr: Ströer Digital Publishing GmbH
descr: www.t-online.de
country: DE
admin-c: GH4837-RIPE
tech-c: PNO7-RIPE
status: ASSIGNED PA
mnt-by: MNT-PlusServer
created: 2017-12-01T10:22:47Z
last-modified: 2017-12-01T10:22:47Z
source: RIPE

role: PlusServer Network Operations
address: PlusServer GmbH
address: Welserstr. 14
address: 51149 Koeln
phone: +49 2203 1045 3600
abuse-mailbox: [email protected]
remarks:
remarks: **************************************************
remarks: * Auskunftsersuchen gemaess TKG werden nur unter
remarks: * Fax: +49 2203 1045 1045
remarks: * Mail: [email protected]
remarks: * bearbeitet!
remarks: **************************************************
remarks:
admin-c: ADPS-RIPE
admin-c: RHPS-RIPE
admin-c: SG13291-RIPE
admin-c: AS39110-RIPE
tech-c: ADPS-RIPE
tech-c: RHPS-RIPE
tech-c: SG13291-RIPE
tech-c: AS39110-RIPE
nic-hdl: PNO7-RIPE
mnt-by: MNT-HEG-MANAGED
mnt-by: MNT-PlusServer
created: 2016-06-02T09:51:40Z
last-modified: 2017-06-02T14:18:06Z
source: RIPE # Filtered

person: Guido Henneke
address: Platz der Einheit 1
address: 60327 Frankfurt am Main
phone: +49 69 921017 711
nic-hdl: GH4837-RIPE
mnt-by: MNT-PlusServer
created: 2017-12-01T10:18:21Z
last-modified: 2017-12-01T10:18:21Z
source: RIPE

% Information related to '62.138.239.0/24AS25074'

route: 62.138.239.0/24
descr: Stroeer DUS
origin: AS25074
mnt-by: MNT-HEG-MANAGED
created: 2016-08-24T15:09:40Z
last-modified: 2016-08-24T15:09:40Z
source: RIPE

% Information related to '62.138.239.0/24AS61157'

route: 62.138.239.0/24
descr: PS-Net
origin: AS61157
mnt-by: MNT-PlusServer
created: 2016-08-24T15:09:40Z
last-modified: 2017-10-10T13:54:12Z
source: RIPE

% This query was served by the RIPE Database Query Service version 1.90 (ANGUS)

Spoiler: 104.20.22.219=Cloudflarenet

Using server whois.arin.net.
Query string: "n + 104.20.22.219"


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#


#
# The following results may also be obtained via:
# https://whois.arin.net/rest/nets;q=...alse&showNonArinTopLevelNet=false&ext=netref2
#

NetRange: 104.16.0.0 - 104.31.255.255
CIDR: 104.16.0.0/12
NetName: CLOUDFLARENET
NetHandle: NET-104-16-0-0-1
Parent: NET104 (NET-104-0-0-0-0)
NetType: Direct Assignment
OriginAS: AS13335
Organization: Cloudflare, Inc. (CLOUD14)
RegDate: 2014-03-28
Updated: 2017-02-17
Comment: All Cloudflare abuse reporting can be done via https://www.cloudflare.com/abuse
Ref: https://whois.arin.net/rest/net/NET-104-16-0-0-1



OrgName: Cloudflare, Inc.
OrgId: CLOUD14
Address: 101 Townsend Street
City: San Francisco
StateProv: CA
PostalCode: 94107
Country: US
RegDate: 2010-07-09
Updated: 2017-02-17
Comment: All Cloudflare abuse reporting can be done via https://www.cloudflare.com/abuse
Ref: https://whois.arin.net/rest/org/CLOUD14


OrgNOCHandle: NOC11962-ARIN
OrgNOCName: NOC
OrgNOCPhone: +1-650-319-8930
OrgNOCEmail: [email protected]
OrgNOCRef: https://whois.arin.net/rest/poc/NOC11962-ARIN

OrgTechHandle: ADMIN2521-ARIN
OrgTechName: Admin
OrgTechPhone: +1-650-319-8930
OrgTechEmail: [email protected]
OrgTechRef: https://whois.arin.net/rest/poc/ADMIN2521-ARIN

OrgAbuseHandle: ABUSE2916-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-650-319-8930
OrgAbuseEmail: [email protected]
OrgAbuseRef: https://whois.arin.net/rest/poc/ABUSE2916-ARIN

RNOCHandle: NOC11962-ARIN
RNOCName: NOC
RNOCPhone: +1-650-319-8930
RNOCEmail: [email protected]
RNOCRef: https://whois.arin.net/rest/poc/NOC11962-ARIN

RTechHandle: ADMIN2521-ARIN
RTechName: Admin
RTechPhone: +1-650-319-8930
RTechEmail: [email protected]
RTechRef: https://whois.arin.net/rest/poc/ADMIN2521-ARIN

RAbuseHandle: ABUSE2916-ARIN
RAbuseName: Abuse
RAbusePhone: +1-650-319-8930
RAbuseEmail: [email protected]
RAbuseRef: https://whois.arin.net/rest/poc/ABUSE2916-ARIN


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#

Das kann doch nicht so schwer sein, oder?
Somit wäre zumindest mal was "wer wohin" geklärt.

 

[Joe_57]

Ist das nicht eher das "Wohin"?
Die Meldung im Log der FRITZ!Box sagt ja aus, daß der Zugriff in Richtung Internet verhindert wurde.
Möglicherweise will ja irgend eine App von einem der lokal aktiven Geräte "nach Hause telefonieren".

 

[japes]

imho wird jedes "Nachhausetelefonieren" auf eine explizit angegebene IP Adresse gefiltert, wenn diese anstatt des DNS Namens genutzt wird. Stand mal irgendwo....

EDIT: gefunden

Zitat AVM
Für Zugangsprofile mit aktivem Internetseiten-Filter sind direkte Aufrufe von IP-Adressen grundsätzlich gesperrt. IP-Adressen, deren Aufruf die FRITZ!Box gesperrt hat, können in der Liste "Erlaubte IP-Adressen" eingesehen und bei Bedarf wieder freigegeben werden.

 

[koyaanisqatsi]

Moins

LAN/W-LAN Klienten/Geräte

Diese Liste wird automatisch von Zeit zu Zeit gelöscht.
Ausser Die IPs, die angehakt ( erlaubt ) werden.

Die Meldungen im Ereignislog können zwar paranoide Zwangsvorstellungen hevorrufen, sind aber dennoch informativ.

 

[Wichtelmann]

Ja soweit so gut, Danke schonmal bis hierhin. Ungeklärt bliebe aber noch, von welchem gerät dieser Aufruf kam. Und die zweite IP ist auch ungekannt..

 

[stoney]

Kommt das immer zur (ähnlich) gleichen Zeit vor? Jeden Nacht?

Falls ja, könntest Du in dieser Zeit einen Paketmitschnitt laufen zu lassen, um so das Gerät identifizieren zu können.

Oder Du schlatest ganz einfach jeden Abend zu dieser Zeit ein anderes Netzwerkgerät ab.....

 

[koyaanisqatsi]

Eventuell mit der letzten W-LAN Anmeldung assoziieren ?

...denn die Meldung selber ist ja anonym.

Demnach (anonym) könnte es ja auch die Fritz!Box gewesen sein.
AVM sollte wenigstens noch IP und/oder MAC Adresse dazu ausgeben.
...damit so ein Verdacht ausgeschlossen werden kann

 

[H´Sishi]

Stroer ist eine dt. Werbe-Firma. Vielleicht sollte auch von Cloudflare ein Werbebanner nachgeladen werden.

Meine Vermutung ist, daß es sich um irgendeine "kostenlose" App auf einem Smartphone / Tablet handelt, die sich über Werbebanner finanziert.

 

[Wichtelmann]

Anhand der zeiten und der Analyse der zu den Zietpunkten vermeindlich online gewesenen Geräte könnte es nur die Fritzbox selbst sein. Was meint ihr?
Könnte das sein?
Hier nochmal die gesperrten IP´s

Der Zugriff auf die feste IP-Adresse 62.138.239.45 wurde durch die Filter für Internetseiten verhindert.
Der Zugriff auf die feste IP-Adresse 104.20.22.219 wurde durch die Filter für Internetseiten verhindert.

Die Zugriffe erfolgen merkwürdiger Weise nicht immer zur gleichen Zeit, meist um Mitternacht, war aber auch schon mal 22:00 oder kurz danach...

 

[koyaanisqatsi]

Moin

Sehr, sehr unwahrscheinlich.
Der Fritz!Box selber kann kein KiSi-Filter zugewiesen werden.
...zumindest nicht, wenn sie als Netzabschlusspunkt ( Router ) arbeitet.

 

[H´Sishi]

Die Box selbst hat meines Wissens keinen Grund, bei Stroer oder Cloudflare irgendwas aufzurufen.

Somit ist die Frage, ob an der Box irgendwelche Clients angemeldet sind, die z.B. Kindersicherung oder ein Nicht-Standard-Zugangsprofil (Internet -> Filter) eingerichtet haben.
Auch der Gastzugang ist evtl. eingeschränkt.

 

[japes]

Hier nochmal die gesperrten IP´s

Der Zugriff auf die feste IP-Adresse 62.138.239.45 wurde durch die Filter für Internetseiten verhindert.
Der Zugriff auf die feste IP-Adresse 104.20.22.219 wurde durch die Filter für Internetseiten verhindert.

...

Du bist Telekomkunde? lässt sich aus deiner Signatur nicht rauslesen

Wenn ja und bei Nutzung des Standard DNS der Telekom, kommt es gern zu Ungereimtheiten, da der Telekom DNS zum Beispiel auch IP Adressen zurückgibt bei der Auflösung von Domainnamen, die eigentlich gar nicht aufgelöst werden können. (Imho hängt das bei der Telekom mit der Anzeige der Seite "Navigationshilfe" von T-Online Dingens zusammen.

In diesem Zusammenhang spuckt zum Beispiel der Netztest "Netalyzr" (Universität Berkeley) genau die IP 62.138.239.45 aus als "problematisch", die dann wiederum nicht aufgerufen werden kann, sobald in der Fritzbox die Filter aktiviert sind (siehe auch mein früheres Posting, dass direkter Aufruf von IP Adressen durch die Fritzbox automatisch blockiert wird)

http://netalyzr.icsi.berkeley.edu/l=de
(Browser mit Java Unterstützung erforderlich)

DNS-Lookups häufig besuchter Domains (?): Warnung –

2 beliebte Namen weisen eine erhebliche Anomalie auf. Der vom Reverse Name Lookup vorgeschlagene Besitz entspricht nicht unserem Verständnis des ursprünglichen Namens. Dies ist vielleicht auf einen Fehler in den Domaininformationen zurückzuführen. Es ist aber auch möglich, dass der DNS-Server Ihres Internetdienstanbieters als DNS-"Man-In-The-Middle" fungiert.

Wildcarding von DNS-Antworten (?): Warnung –


Der DNS-Server Ihres Internetdienstanbieters gibt selbst für die Domainnamen IP-Adressen zurück, die eigentlich nicht aufgelöst werden können. Anstatt eines Fehlers gibt der DNS-Server die Adresse 62.138.238.45 zurück, which wird nicht aufgelöst. Den endgültigen HTML-Inhalt können Sie hier ansehen.

Für dieses Verhalten gibt es mehrere mögliche Erklärungen. Am wahrscheinlichsten ist es, dass der Internetdienstanbieter versucht, von den Tippfehlern seiner Nutzer zu profitieren, indem er bei fehlerhaften Anforderungen Werbung zurückgibt, aber möglich ist auch ein Fehler beziehungsweise eine Fehlkonfiguration im DNS-Server.

Dieses Verhalten ist deshalb so problematisch, weil es potenziell jede Netzanwendung kaputtmachen kann, die darauf basiert, dass das DNS ordnungsgemäß einen Fehler zurückgibt, wenn ein Name nicht existiert.

Im Folgenden ist das Verhalten Ihres DNS-Servers detaillierter aufgelistet.
•www.{random}.com wird nach 62.138.238.45 abgebildet.
•www.{random}.org wird nach 62.138.238.45 abgebildet.
•fubar.{random}.com wird nach 62.138.239.45 abgebildet.
•www.yahoo.cmo [sic] wird nach 62.138.239.45 abgebildet.
•nxdomain.{random}.netalyzr.icsi.berkeley.edu wird nach 62.138.238.45 abgebildet.

 

[H´Sishi]

Mit anderen Worten, anstatt einer Fehlermeldung, weil eine Seite nicht existiert, landet man z.B. auf einer "Domain Parking"-Site mit dem Hinweis "Sie können diese Domain erwerben". Und genau das unterbindet der Fritz!Box-Filter mit den erwähnten Fehlermeldungen im Log.