DNS: DoH-Pakete lassen sich erkennen und blockieren

Ein Sicherheitsforscher zeigt, dass sich DNS-über-HTTPS -Anfragen trotz Verschlüsselung an ihrer Größe erkennen lassen können. Damit könnte diese blockiert werden, was die Technik eigentlich verhindern soll.

23. Dezember 2019 um 13:56 Uhr / Sebastian Grüner

12 Kommentare News folgen (öffnet im neuen Fenster)

Mit etwas Aufwand könnten sich DoH-Pakete erkennen lassen. (Bild: REUTERS/Valentyn Ogirenko) — Mit etwas Aufwand könnten sich DoH-Pakete erkennen lassen. Bild: REUTERS/Valentyn Ogirenko

Der Sicherheitsforscher Johannes B. Ullrich hat sich das Protokoll DNS-über-HTTPS (DoH) etwas genauer angesehen und die Frage untersucht, ob DoH-Anfragen erkannt werden können, ohne die verschlüsselte TLS-Verbindungen zu knacken. Und genau das ist offenbar der Fall, wie Ullrich in zwei(öffnet im neuen Fenster) kurzen(öffnet im neuen Fenster) Forenbeiträgen für das Internet Storm Center darstellt. Das liegt demnach an der spezifischen Paketgröße der Anfragen.

Die Idee von DoH ist es, DNS-Anfragen und -Antworten nicht nur verschlüsselt zu übertragen, sondern dafür – wie der Name sagt – eben explizit HTTPS zu verwenden. So soll unter anderem erreicht werden, dass der DNS-Netzwerkverkehr sich vom restlichen HTTPS-Netzwerkverkehr eines Clients nicht mehr unterscheidet und damit durch Man-in-the-Middle-Angriffe (MITM) nicht als DNS-Verkehr erkannt werden und damit auch nicht blockiert werden kann.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Karrieretag Familienunternehmen 2026: Jetzt bewerben und durchstarten

zum Ratgeber

Seminar: First Response auf Security Incidents: Ein-Tages-Workshop

zum Kurs

E-Learning: Linux Administration: Troubleshooting (E-Learning)

zum Kurs

Verwenden die DoH-Clients zudem einen großen CDN-Betreiber oder den Host einer sehr viel genutzten Webseite – wie eben Cloudflare oder Google – würde eine schlichte MITM-Blockade des Hosts außerdem nicht nur dazu führen, dass DoH nicht mehr funktioniert, sondern eben auch sehr viele Webseiten nicht mehr wie gewohnt funktionieren. Nutzer könnten so vergleichsweise leicht eine Blockade ihrer verschlüsselten DNS-Anfragen erkennen.

Durch das nun von Ullrich beschriebene Erkennen der DoH-Anfragen im HTTPS-Traffic ließe sich aber vor allem Letzteres gezielt unterlaufen. Denn wie Ullrich schreibt, lässt sich alles blockieren, was sich auch erkennen lässt. Um dieses Vorgehen der DoH-Analyse zu verhindern oder zumindest zu erschweren, verweist der Forscher auf die Verwendung von EDNS-Padding. Dafür müssen aber sowohl Server als auch Clients angepasst werden, was zumindest die Browserhersteller von Mozilla bereits für den Firefox diskutieren(öffnet im neuen Fenster) .

Zur Startseite 12 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Relevante Themen