DNS: DoH-Pakete lassen sich erkennen und blockieren

Ein Sicherheitsforscher zeigt, dass sich DNS-über-HTTPS-Anfragen trotz Verschlüsselung an ihrer Größe erkennen lassen können. Damit könnte diese blockiert werden, was die Technik eigentlich verhindern soll.

Artikel veröffentlicht am ,
Mit etwas Aufwand könnten sich DoH-Pakete erkennen lassen.
Mit etwas Aufwand könnten sich DoH-Pakete erkennen lassen. (Bild: REUTERS/Valentyn Ogirenko)

Der Sicherheitsforscher Johannes B. Ullrich hat sich das Protokoll DNS-über-HTTPS (DoH) etwas genauer angesehen und die Frage untersucht, ob DoH-Anfragen erkannt werden können, ohne die verschlüsselte TLS-Verbindungen zu knacken. Und genau das ist offenbar der Fall, wie Ullrich in zwei kurzen Forenbeiträgen für das Internet Storm Center darstellt. Das liegt demnach an der spezifischen Paketgröße der Anfragen.

Stellenmarkt
  1. Wissenschaftlicher Mitarbeiter (m/w/d) für den Bereich Künstliche Intelligenz in der zivilen Sicherheitsforschung
    Präsidium der Bayerischen Bereitschaftspolizei, Rosenheim
  2. Systems Engineer (m/w/d) - Microsoft SQL Server
    OEDIV KG, Bielefeld
Detailsuche

Die Idee von DoH ist es, DNS-Anfragen und -Antworten nicht nur verschlüsselt zu übertragen, sondern dafür - wie der Name sagt - eben explizit HTTPS zu verwenden. So soll unter anderem erreicht werden, dass der DNS-Netzwerkverkehr sich vom restlichen HTTPS-Netzwerkverkehr eines Clients nicht mehr unterscheidet und damit durch Man-in-the-Middle-Angriffe (MITM) nicht als DNS-Verkehr erkannt werden und damit auch nicht blockiert werden kann.

Verwenden die DoH-Clients zudem einen großen CDN-Betreiber oder den Host einer sehr viel genutzten Webseite - wie eben Cloudflare oder Google - würde eine schlichte MITM-Blockade des Hosts außerdem nicht nur dazu führen, dass DoH nicht mehr funktioniert, sondern eben auch sehr viele Webseiten nicht mehr wie gewohnt funktionieren. Nutzer könnten so vergleichsweise leicht eine Blockade ihrer verschlüsselten DNS-Anfragen erkennen.

Durch das nun von Ullrich beschriebene Erkennen der DoH-Anfragen im HTTPS-Traffic ließe sich aber vor allem Letzteres gezielt unterlaufen. Denn wie Ullrich schreibt, lässt sich alles blockieren, was sich auch erkennen lässt. Um dieses Vorgehen der DoH-Analyse zu verhindern oder zumindest zu erschweren, verweist der Forscher auf die Verwendung von EDNS-Padding. Dafür müssen aber sowohl Server als auch Clients angepasst werden, was zumindest die Browserhersteller von Mozilla bereits für den Firefox diskutieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Netflix
Warum so viele Serien nur zwei Staffeln lang laufen

Die Superhelden-Serie Jupiter's Legacy war bei ihrem Start ein Erfolg bei Netflix. Jetzt wurde sie eingestellt. Wie entscheidet Netflix, ob eine Serie verlängert wird?
Von Peter Osteried

Netflix: Warum so viele Serien nur zwei Staffeln lang laufen
Artikel
  1. Livewire One: Erste Details zu Harleys neuem Elektromotorrad
    Livewire One
    Erste Details zu Harleys neuem Elektromotorrad

    Im Mai hat Harley-Davidson eine eigene Elektromarke vorgestellt. Deren erstes Elektromotorrad soll bald kommen.

  2. Model S Plaid: Teslas Knight Rider-Lenkrad könnte ergonomischer Krampf sein
    Model S Plaid
    Teslas Knight Rider-Lenkrad könnte ergonomischer Krampf sein

    Das D-förmige Lenkrad im neuen Tesla Model S sorgt für Kontroversen. Erste Fahrer haben es ausprobiert und sind nicht glücklich damit.

  3. Nach Aukey und Mpow: Amazon verbannt Hersteller Ravpower aus seinem Angebot
    Nach Aukey und Mpow
    Amazon verbannt Hersteller Ravpower aus seinem Angebot

    Amazon verbannt mit Ravpower einen weiteren chinesischen Hersteller von seinem Marktplatz. Grund scheint erneut Betrug mit Fake-Reviews zu sein.

tsp 26. Dez 2019

Weil ich das immer wieder lese - in wie fern ist bitte DNSSEC zu aufwändig zu...

tommihommi1 23. Dez 2019

nö, weil der gleiche Empfänger auch das größte CDN der Welt ist. Steht aber so auch im Text.


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • PS5 bei o2 mit Mobilfunkvertrag bestellbar • Xbox Series X bei MM bestellbar 499,99€ • Breaking Deals bei MM (u. a. LG 75" Nanocell 8K 2.699€) • Corsair 32GB DDR4-3600 Kit 182,90€ • PCGH Gaming-PC i7 RX 6800 XT 2.500€ • Rabatte auf Geschenkkarten bei Amazon [Werbung]
    •  /