• IT-Karriere:
  • Services:

DNS: DoH-Pakete lassen sich erkennen und blockieren

Ein Sicherheitsforscher zeigt, dass sich DNS-über-HTTPS-Anfragen trotz Verschlüsselung an ihrer Größe erkennen lassen können. Damit könnte diese blockiert werden, was die Technik eigentlich verhindern soll.

Artikel veröffentlicht am ,
Mit etwas Aufwand könnten sich DoH-Pakete erkennen lassen.
Mit etwas Aufwand könnten sich DoH-Pakete erkennen lassen. (Bild: REUTERS/Valentyn Ogirenko)

Der Sicherheitsforscher Johannes B. Ullrich hat sich das Protokoll DNS-über-HTTPS (DoH) etwas genauer angesehen und die Frage untersucht, ob DoH-Anfragen erkannt werden können, ohne die verschlüsselte TLS-Verbindungen zu knacken. Und genau das ist offenbar der Fall, wie Ullrich in zwei kurzen Forenbeiträgen für das Internet Storm Center darstellt. Das liegt demnach an der spezifischen Paketgröße der Anfragen.

Stellenmarkt
  1. FLYERALARM Digital GmbH, Würzburg
  2. Landkreis Stade, Stade

Die Idee von DoH ist es, DNS-Anfragen und -Antworten nicht nur verschlüsselt zu übertragen, sondern dafür - wie der Name sagt - eben explizit HTTPS zu verwenden. So soll unter anderem erreicht werden, dass der DNS-Netzwerkverkehr sich vom restlichen HTTPS-Netzwerkverkehr eines Clients nicht mehr unterscheidet und damit durch Man-in-the-Middle-Angriffe (MITM) nicht als DNS-Verkehr erkannt werden und damit auch nicht blockiert werden kann.

Verwenden die DoH-Clients zudem einen großen CDN-Betreiber oder den Host einer sehr viel genutzten Webseite - wie eben Cloudflare oder Google - würde eine schlichte MITM-Blockade des Hosts außerdem nicht nur dazu führen, dass DoH nicht mehr funktioniert, sondern eben auch sehr viele Webseiten nicht mehr wie gewohnt funktionieren. Nutzer könnten so vergleichsweise leicht eine Blockade ihrer verschlüsselten DNS-Anfragen erkennen.

Durch das nun von Ullrich beschriebene Erkennen der DoH-Anfragen im HTTPS-Traffic ließe sich aber vor allem Letzteres gezielt unterlaufen. Denn wie Ullrich schreibt, lässt sich alles blockieren, was sich auch erkennen lässt. Um dieses Vorgehen der DoH-Analyse zu verhindern oder zumindest zu erschweren, verweist der Forscher auf die Verwendung von EDNS-Padding. Dafür müssen aber sowohl Server als auch Clients angepasst werden, was zumindest die Browserhersteller von Mozilla bereits für den Firefox diskutieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 15,00€
  2. 14,99€
  3. (-15%) 25,49€
  4. (-10%) 53,99€

tsp 26. Dez 2019 / Themenstart

Weil ich das immer wieder lese - in wie fern ist bitte DNSSEC zu aufwändig zu...

tommihommi1 23. Dez 2019 / Themenstart

nö, weil der gleiche Empfänger auch das größte CDN der Welt ist. Steht aber so auch im Text.

Kommentieren


Folgen Sie uns
       


Asus Zephyrus G14 - Hands on (CES 2020)

Das Zephyrus G14 von Asus ist ein Gaming-Notebook, das nicht nur gute Hardware bietet, sondern ein zusätzliches LED-Display auf der Vorderseite. Darauf können Nutzer eigene Schriftzüge, Logos oder Animationen anzeigen lassen.

Asus Zephyrus G14 - Hands on (CES 2020) Video aufrufen
Radeon RX 5600 XT im Test: AMDs Schneller als erwartet-Grafikkarte
Radeon RX 5600 XT im Test
AMDs "Schneller als erwartet"-Grafikkarte

Für 300 Euro ist die Radeon RX 5600 XT interessant - trotz Konkurrenz durch Nvidia und AMD selbst. Wie sehr die Navi-Grafikkarte empfehlenswert ist, hängt davon ab, ob Nutzer sich einen Flash-Vorgang zutrauen.
Ein Test von Marc Sauter

  1. Grafikkarte AMD bringt RX 5600 XT im Januar
  2. Grafikkarte Radeon RX 5600 XT hat 2.304 Shader und 6 GByte Speicher
  3. Radeon RX 5500 XT (8GB) im Test Selbst mehr Speicher hilft AMD nicht

SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

    •  /