Montag, 16. Dezember 2019

Netflix mit zehntausenden DNS-Queries pro Tag von meinem Sony KD-55AF8

Seit ein paar Monaten steht in unserer Wohnung der erste richtig „smarte“ TV, ein Sony KD-55AF8, auf welchem mittlerweile Android TV 8.0 installiert ist.

Seit gestern analysiere ich die DNS-Queries, die von Netzwerkgeräten im LAN an den lokalen DNS-Forwarder gestellt werden sowohl quantitativ (welche Domains werden am meisten aufgelöst, welches Gerät setzt die meisten Queries ab und in welcher Stunde des Tages gibt es die meisten Queries) sowie qualitativ (werden von SANS als Suspicious eingestufte Domains aufgelöst, was ein Zeichen für Malware-Befall sein könnte). Ich war nicht schlecht überrascht, dass ein TV-Gerät, welches allerhöchsten zwei von 24 Stunden im Tag „läuft“, der Spitzenreiter aller Queries ist. Ich zählte innerhalb von 24 Stunden sage und schreibe 90’498 Queries. Gefolgt wurde der TV vom Server selber, auf welchem der DNS-Server läuft mit 72’411 Queries. Auf Platz drei dann ein Client mit noch 7’162 Queries.

Heute nun nahm mich Wunder, was zum Teufel der TV ständig abzufragen hat. Hier das Resultat der Analyse der named-Logs vom Vortag (10.1.2.3 ist die (fiktive) IPs meines TVs):

$ cat queries.log.1 | grep 10.1.2.3 | cut -d "(" -f 2 | cut -d ")" -f 1 | sort | uniq -c | sort -rn
  13052 cdn-0.nflximg.com
   9112 nrdp51-appboot.netflix.com
   8777 api-global.netflix.com
   8564 uiboot.netflix.com
   8487 ichnaea.netflix.com
   8332 customerevents.netflix.com
   8262 nrdp.nccp.netflix.com
   6970 secure.netflix.com
   6886 nrdp.prod.ftl.netflix.com
   3115 push.prod.netflix.com
   1556 occ-0-593-769.1.nflxso.net
   1284 clients3.google.com
   1220 connectivitycheck.gstatic.com
   1196 www.google.com
   1195 mtalk.google.com
    994 nrdp52-appboot.netflix.com
    324 events.cid.samba.tv
    162 us.edge.bamgrid.com
    142 watch.product.api.espn.com
    118 clients4.google.com
    109 androidtvchannels-pa.googleapis.com
    105 footprints-pa.googleapis.com
     91 fling.cid.samba.tv
     83 www.youtube.com
     52 mdh-pa.googleapis.com
     41 clientservices.googleapis.com
     37 www.googleapis.com
     35 play.googleapis.com
     34 platform.cid.samba.tv
     28 android.googleapis.com
     13 www.gstatic.com
     12 youtubei.googleapis.com
     10 static.doubleclick.net
      7 www.netflix.com
      7 android.clients.google.com
      6 api-cdn.arte.tv
      5 lh3.googleusercontent.com
      5 antv-26-sony-bravia4kgbatv3-414000300.api.amazonvideo.com
      4 sdk.hockeyapp.net
      4 middleware.7tv.de
      4 devices.ted.com
      4 cdn-gl.imrworldwide.com
      4 android.googleapis.com
      3 zdf-cdn.live.cellular.de
      3 geoloc.arte.tv
      3 geocheck.sim-technik.de
      3 config.ioam.de
      3 cdn.meta.ndmdhs.com
      3 bam-sdk-configs.bamgrid.com
      2 sdk.imrworldwide.com
      2 api.meta.ndmdhs.com
      1 www.sony.net
      1 www.sony-asia.com
      1 voledevice-pa.googleapis.com
      1 update.biv.sony.tv
      1 time.android.com
      1 static-cdn.arte.tv
      1 sportscenter.api.espn.com
      1 secure.espncdn.com
      1 safebrowsing.googleapis.com
      1 r4---sn-1gieen7e.gvt1.com
      1 people-pa.googleapis.com
      1 ocsp.int-x3.letsencrypt.org
      1 metadata.erabu.sony.tv
      1 log.core.cloud.vewd.com
      1 isrg.trustid.ocsp.identrust.com
      1 images.erabu.sony.tv
      1 fls-na.amazon.com
      1 cloudfront.xp-assets.aiv-cdn.net
      1 cert-cdn.meta.ndmdhs.com
      1 cdn.espn.com
      1 browserjs-legacy.core.cloud.vewd.com
      1 broadband.espn.com
      1 bravia-cfgdst-ore-pro.bda.ndmdhs.com
      1 bdcore-apr-lb.bda.ndmdhs.com
      1 app-measurement.com
      1 api.erabu.sony.tv
      1 api.auth.adobe.com
      1 ajax.googleapis.com

Netflix führt die Statistik unangefochten an:

$ cat queries.log.1 | grep 10.1.2.3 | cut -d "(" -f 2 | cut -d ")" -f 1 | sort | uniq -c | sort -rn | grep -i "netflix\|nflx"
  13052 cdn-0.nflximg.com
   9112 nrdp51-appboot.netflix.com
   8777 api-global.netflix.com
   8564 uiboot.netflix.com
   8487 ichnaea.netflix.com
   8332 customerevents.netflix.com
   8262 nrdp.nccp.netflix.com
   6970 secure.netflix.com
   6886 nrdp.prod.ftl.netflix.com
   3115 push.prod.netflix.com
   1556 occ-0-593-769.1.nflxso.net
    994 nrdp52-appboot.netflix.com
      7 www.netflix.com

Von den täglich über 90’000 Queries entfallen über 90 Prozent auf Netflix-Domains:

$ cat queries.log.1 | grep 10.1.2.3 | grep -i "netflix\|nflx" | wc -l
84114

Dabei schauen wir — wenn überhaupt — mit der Netflix-App auf dem Apple TV 4K mit einer anderen IP Netflix, und nie mit der Android TV App.

Netflix, shame on you! Die Frage, wieso die Netflix-App das macht, konnte ich bis jetzt noch nicht beantworten, werde es hier aber nachtragen, sollte ich es erfahren.

Liked this post? Follow this blog to get more. 

Tags: , , , , , , , , , , , , , , , , ,
Labels: IT

10 Kommentare Kommentare

Dex sagt:

Habe auch einen Sony TV und Netflix sendet auch hier ständig nach Hause obwohl der TV im „Standby“ ist. Nr.1 bei mir ist customerevents.netflix.com)…

Warum würde mich auch interessieren ..

Rene sagt:

Hi,
bei mir auch. Schaue Netflix über Sony Bravia TV und Win10 App.
cdn-0.nflximg.com ist mit 3226 Anfragen Numero Uno. Danach abgeschlagen google mit mtalk.google.com 2397 Anfragen.
Hat schon jemand herausgefunden, wieso Netflix das macht?
VG

irgendwer sagt:

Habe vor ca. 2h Netflix in meinem frisch eingerichteten Pi-Hole auf die Blacklist gesetzt, nachdem mir auffiel, dass mein Philipps-TV mit seinem Android im Standby(!) auch endlos viele Anfragen dorthin stellt:
Top Blocked Domains
Domain Hits Frequency
nrdp52-appboot.netflix.com 394
api-global.netflix.com 365
secure.netflix.com 293
cdn-0.nflximg.com 286
uiboot.netflix.com 283
nrdp.nccp.netflix.com 276
customerevents.netflix.com 226
nrdp51-appboot.netflix.com 214
nrdp.prod.ftl.netflix.com 213
ichnaea.netflix.com 198

Wäre sowas nicht eine Grundlage für eine Anzeige beim Verbraucherschutz oder Datenschutzbeauftragten?

FirewallJunkie sagt:

Hallo zusammen,
wir sollten vielleicht mal eine Auflistung erstellen, welche dieser Links alle geblockt werden können, ohne dass es Funktionseinschränkungen bei Netflix, Amazon u.co. gibt.
Firewall Top20 ist voll mit FireTV Stick Anfragen von Amazon, Netflix und co.
Gruß

Kenny2k sagt:

Hallo Zusammen,

das sind aber einige DNS-Querries…

Ich habe ca. 50 DNS-Querries die benötig werden um Amazon Netflix und co. auf Smart TV, Smartphone, Sky Q, PS4 etc. fegeschaltet damit alles läuft.

Grüße

InternetUser sagt:

Hi, habe das gleiche Problem.

Ich verwende zum Blocken folgende Listen für mein Fernseher per Pihole:

https://gist.githubusercontent.com/hkamran80/779019103fcd306979411d44c8d38459/raw/1f6bece841abed3360b5fa0a9e405600ef4a5ff0/SmartTV2.txt

https://raw.githubusercontent.com/Perflyst/PiHoleBlocklist/master/SmartTV.txt

Musste bei meinem Fernseher ein Link auf die Whitelist setzen, aber das ist es wert.

MfG

Mark sagt:

hallo, gibt es Neuigkeiten was man nun bei Netflix alles blocken kann?

Marco sagt:

Hi

Hast du vielleicht Neuigkeiten?

Das gleiche Problem habe ich seit gestern mit der Swisscom-TV-Box (2 Stück) auch.
Domains: customerevents.netflix.com und ichnaea.netflix.com.
Über beide Boxen sehe ich über 70’000 Anfragen an diese Domains. Und das innerhalb von 24 Stunden.
Die Netflix-App ist auf der TV-Box fest installiert, aber ich habe diese nie gestartet oder mich darüber angemeldet. Löschen kann ich diese natürlich nicht!
Gem. Swisscom soll Netflix schauen und gem. Netflix ist das ein Swisscom-Ding.

Gruss
Marco

Kenny2k sagt:

Hallo Marc,

Folgende DNS kannst du blocken sodass Netflix noch läuft:

ichnaea.netflix.com
push.prod.netflix.com
customerevents.netflix.com

Zum Start der APP auf Endgeräte wird folgendes benötigt:

nrdp52-appboot.netflix.com
api-global.netflix.com
secure.netflix.com
cdn-0.nflximg.com
uiboot.netflix.com
nrdp.nccp.netflix.com
nrdp51-appboot.netflix.com
nrdp.prod.ftl.netflix.com

MFG

Kenny2k sagt:

Was ich noch vergessen habe zu erwähnen

Die DNS-Querrys von nflxso.net gehören zu Netflix und werden gebraucht um Videos abzuspielen

MFG

Kommentar erfassen