DNS-Leak Tests, was passiert da genau?

Bob.Dig schrieb:
Ich meine es auf diesen speziellen Sachverhalt beschränkt.

Der Aufwand ständig neue DNS Namen zu generieren für möglicherweise Millionen von Nutzern wäre enorm, denkbar ist es aber durchaus. Für reine Zugriffsstatistiken macht es aber keinen Sinn, die IP Adresse von der die Abfrage kommt, kriegt der Webserver auch direkt mit.

Viel interessanter dürfte sowas sein, um einfach einige VPN Nutzer zu entlarven.
 
  • Gefällt mir
Reaktionen: Sun_set_1 und Bob.Dig
xexex schrieb:
Viel interessanter dürfte sowas sein, um einfach einige VPN Nutzer zu entlarven.
Ok, aber wer würde das so machen. Du sagst ja selbst, dass der Aufwand recht hoch sei.
 
xexex schrieb:
Der Aufwand ständig neue DNS Namen zu generieren für möglicherweise Millionen von Nutzern wäre enorm,
Zu kompliziert gedacht. Du brauchst ja prinzipiell nur genügend Subbies für gleichzeitige User, den Rest machst dann über Aufruf der SubD + Timestamp.

xexex schrieb:
Viel interessanter dürfte sowas sein, um einfach einige VPN Nutzer zu entlarven.

Ganz genau, das denke ich auch.

Bob.Dig schrieb:
Also ist die Chance doch eher gering, dass gerade eine solche Funktionalität in freier Wildbahn ebenfalls genutzt wird.

Nein? Wieso?

Wie @xexex schrieb ist das nen guter Weg um VPN-User auseinander zu dividieren. Wenn die keinen eigenen Proxy / Resolver (im VPN) haben wird als Fallback der DNS des Adapters (Router, eigener whatever) genutzt.

Dann kombiniert man VPN + DNS-ISP / WAN Adresse. Bleiben wir mal beim Beispiel, dass der Router DNS genutzt wird und der DNS daher "nur" Rückschlüsse auf den ISP erlaubt.
Dann habe ich also eine große Gruppe "VPN Netzwerk XY" die erste Sub-Gruppe wird "User nach Provider"

Also VPN Netzwerk "NordVPN" - ISP: Telekom. Dann nimmt man noch das angesprochene Clickverhalten hinzu. Schon hast Du die drei Kritierien die in 80% der Fälle reichen einen User als "unique" zu identifizieren.

1. VPN Betreiber,
1.1 VPN-ISP,
1.1.1 VPN-ISP-Clickverhalten

also

1. NordVPN,
1.1 NordVPN-Telekom,
1.1.1 NordVPN-Telekom-Clickmuster XYC.


Was glaubst Du, wie viele User in Deutschland gibt es, die das gleiche VPN nutzen, den gleichen Provider haben und das gleiche Clickmuster an den Tag legen?

Klar, wird manchmal Überlappungen geben. Ganz allgemein wird das aber reichen um 80% der Datensätze erstmal unique zu stellen.


Und da ist ja völlig egal ob da deine WAN steht oder die des DNS Provider. Das wird einfach genommen, um die IP in eine Domain zu übersetzen und daraus wiederum eine User-Gruppe zu erzeugen.

Klar, wenn Du dann einen eigenen Resolver hast der Deine WAN ausgibt, ist dein Datensatz unmittelbar unique. Ich wollt aber nur aufzeigen warum eine solche Technik selbst dann Sinn macht, wenn sie nur Rückschlüsse auf eine ISP/DNS Gruppe erlaubt und warum sie deswegen auch höchst wahrscheinlich im Einsatz ist.


liebe Grüße
ein Datenanalyst :)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: xexex
Wobei das nur Vermutungen sind, vielleicht hat jemand infos aus erster Hand? Ich behelfe mir erst mal so, dass alle DNS-Anfragen über das VPN raus gehen an die Root-DNS-Server. Der VPN-Provider wiederum kennt mich tatsächlich nicht. Und, je nach dem wie gut TLS für den normalen Traffic funktioniert, sollte er es auch in Zukunft nicht. 😉
 
@Bob.Dig

Ja, das sollte helfen.

Zum anderen, ich arbeite mittlerweile in einer Software-Firma die auch eine Webplatform betreibt. Und hatte vor gar nicht allzu langer Zeit auch ein Projekt in Bezug auf User Analytics.

Ums kurz zu machen, wenn Du siehst was die diversen Tools mit ihren KI und Algorithmen alles schon im Standard können, da würd dir schlecht bei werden. Bei uns ist es im B2B Bereich, da kann ich das mit meinem Gewissen noch vereinbaren, da es oftmals einfach darum geht zu sehen wo Anwender Schwierigkeiten im Hinblick auf die Umsetzung ihrer Aufgaben in Verbindung mit der Platform haben. Hat alles Arbeitsbezug, da geht’s um nichts privates.


Aber ich kann Dir definitiv bestätigen, dass nahezu alle Top-Tools ganz offensiv damit werben, User auch trotz VPN und stealth settings (blocker) erkennen zu können. Da geht’s auch nicht darum jemanden im wörtlichen Sinne zu identifizieren, sondern den User als solchen zu erkennen. Sprich kein Klarnamen aber trotzdem Profilerkennung.

Da wird zB nicht nur das Clickverhalten ausgewertet. Die KI legt zB auch Profile für deine Bewegungen mit der Maus an sich, an. Da wird in gewissen Bereichen deine Maus (und damit Handbewegung) im Tausendstel getrackt. Und das ist mit der Zeit fast genauso einmalig wie der Fingerabdruck.

Das besonders perfide daran: Wenn Du dann mal den VPN ausmachst und ne andere Seite aufmachst, die auch von einem der Tools bedient wird, wird’s dich anhand des Profil identifizieren und deine WAN-IP umgehend zu dem bereits bestehenden VPN-Profil mappen.

Du kannst nur noch dann wirklich ”unerkannt“ bleiben, wenn Du wirklich alles bis aufs letzte Fitzel deaktivierst. Und selbst dann könnte man die Mausbewegungen noch über Zählpixel, Webbugs, versteckte Buttons oder ähnlichem annähern.
 
  • Gefällt mir
Reaktionen: Bob.Dig
Zurück
Oben