DNS: DoH-Pakete lassen sich erkennen und blockieren

Ein Sicherheitsforscher zeigt, dass sich DNS-über-HTTPS-Anfragen trotz Verschlüsselung an ihrer Größe erkennen lassen können. Damit könnte diese blockiert werden, was die Technik eigentlich verhindern soll.

Artikel veröffentlicht am ,
Mit etwas Aufwand könnten sich DoH-Pakete erkennen lassen.
Mit etwas Aufwand könnten sich DoH-Pakete erkennen lassen. (Bild: REUTERS/Valentyn Ogirenko)

Der Sicherheitsforscher Johannes B. Ullrich hat sich das Protokoll DNS-über-HTTPS (DoH) etwas genauer angesehen und die Frage untersucht, ob DoH-Anfragen erkannt werden können, ohne die verschlüsselte TLS-Verbindungen zu knacken. Und genau das ist offenbar der Fall, wie Ullrich in zwei kurzen Forenbeiträgen für das Internet Storm Center darstellt. Das liegt demnach an der spezifischen Paketgröße der Anfragen.

Die Idee von DoH ist es, DNS-Anfragen und -Antworten nicht nur verschlüsselt zu übertragen, sondern dafür - wie der Name sagt - eben explizit HTTPS zu verwenden. So soll unter anderem erreicht werden, dass der DNS-Netzwerkverkehr sich vom restlichen HTTPS-Netzwerkverkehr eines Clients nicht mehr unterscheidet und damit durch Man-in-the-Middle-Angriffe (MITM) nicht als DNS-Verkehr erkannt werden und damit auch nicht blockiert werden kann.

Verwenden die DoH-Clients zudem einen großen CDN-Betreiber oder den Host einer sehr viel genutzten Webseite - wie eben Cloudflare oder Google - würde eine schlichte MITM-Blockade des Hosts außerdem nicht nur dazu führen, dass DoH nicht mehr funktioniert, sondern eben auch sehr viele Webseiten nicht mehr wie gewohnt funktionieren. Nutzer könnten so vergleichsweise leicht eine Blockade ihrer verschlüsselten DNS-Anfragen erkennen.

Durch das nun von Ullrich beschriebene Erkennen der DoH-Anfragen im HTTPS-Traffic ließe sich aber vor allem Letzteres gezielt unterlaufen. Denn wie Ullrich schreibt, lässt sich alles blockieren, was sich auch erkennen lässt. Um dieses Vorgehen der DoH-Analyse zu verhindern oder zumindest zu erschweren, verweist der Forscher auf die Verwendung von EDNS-Padding. Dafür müssen aber sowohl Server als auch Clients angepasst werden, was zumindest die Browserhersteller von Mozilla bereits für den Firefox diskutieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Programmiersprache
Das ändert sich in Go 1.20

Im Februar erscheint Go in der Version 1.20. Wir geben eine Übersicht über die wichtigsten Neuerungen.
Von Tim Scheuermann

Programmiersprache: Das ändert sich in Go 1.20
Artikel
  1. Discounter: Netto bringt 820-Watt-Balkonkraftwerk
    Discounter
    Netto bringt 820-Watt-Balkonkraftwerk

    Netto hat ein Balkonkraftwerk mit 820 Watt im Angebot, das direkt an eine Steckdose angeschlossen werden kann und die Stromrechnung reduzieren soll.

  2. Arbeit im Support: Von der Kunst, Menschen und Technik zu jonglieren
    Arbeit im Support
    Von der Kunst, Menschen und Technik zu jonglieren

    Geht nicht, gibt's oft - und dann klingelt das Telefon beim Support. Das Spektrum der Probleme ist gewaltig und die Ansprüche an einen guten Support auch. Ein Leitfaden für (angehende) Supportmitarbeiter.
    Ein Ratgebertext von Lutz Olav Däumling

  3. OpenAI: ChatGPT-Firma lässt Programmierer die KI trainieren
    OpenAI
    ChatGPT-Firma lässt Programmierer die KI trainieren

    OpenAI, das Unternehmen hinter ChatGPT, hat Hunderte von Freiberuflern aus Schwellenländern zum Trainieren von Programmierfähigkeiten der KI eingesetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 980 PRO 1TB Heatsink 111€ • Patriot Viper VPN100 2TB 123,89€ • Corsair Ironclaw RGB Wireless 54€ • Alternate: Weekend Sale • WSV bei MediaMarkt • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM-/Graka-Preisrutsch [Werbung]
    •  /