• IT-Karriere:
  • Services:

DNS: DoH-Pakete lassen sich erkennen und blockieren

Ein Sicherheitsforscher zeigt, dass sich DNS-über-HTTPS-Anfragen trotz Verschlüsselung an ihrer Größe erkennen lassen können. Damit könnte diese blockiert werden, was die Technik eigentlich verhindern soll.

Artikel veröffentlicht am ,
Mit etwas Aufwand könnten sich DoH-Pakete erkennen lassen.
Mit etwas Aufwand könnten sich DoH-Pakete erkennen lassen. (Bild: REUTERS/Valentyn Ogirenko)

Der Sicherheitsforscher Johannes B. Ullrich hat sich das Protokoll DNS-über-HTTPS (DoH) etwas genauer angesehen und die Frage untersucht, ob DoH-Anfragen erkannt werden können, ohne die verschlüsselte TLS-Verbindungen zu knacken. Und genau das ist offenbar der Fall, wie Ullrich in zwei kurzen Forenbeiträgen für das Internet Storm Center darstellt. Das liegt demnach an der spezifischen Paketgröße der Anfragen.

Stellenmarkt
  1. Delta Energy Systems (Germany) GmbH, Soest
  2. MVV Energie AG, Mannheim

Die Idee von DoH ist es, DNS-Anfragen und -Antworten nicht nur verschlüsselt zu übertragen, sondern dafür - wie der Name sagt - eben explizit HTTPS zu verwenden. So soll unter anderem erreicht werden, dass der DNS-Netzwerkverkehr sich vom restlichen HTTPS-Netzwerkverkehr eines Clients nicht mehr unterscheidet und damit durch Man-in-the-Middle-Angriffe (MITM) nicht als DNS-Verkehr erkannt werden und damit auch nicht blockiert werden kann.

Verwenden die DoH-Clients zudem einen großen CDN-Betreiber oder den Host einer sehr viel genutzten Webseite - wie eben Cloudflare oder Google - würde eine schlichte MITM-Blockade des Hosts außerdem nicht nur dazu führen, dass DoH nicht mehr funktioniert, sondern eben auch sehr viele Webseiten nicht mehr wie gewohnt funktionieren. Nutzer könnten so vergleichsweise leicht eine Blockade ihrer verschlüsselten DNS-Anfragen erkennen.

Durch das nun von Ullrich beschriebene Erkennen der DoH-Anfragen im HTTPS-Traffic ließe sich aber vor allem Letzteres gezielt unterlaufen. Denn wie Ullrich schreibt, lässt sich alles blockieren, was sich auch erkennen lässt. Um dieses Vorgehen der DoH-Analyse zu verhindern oder zumindest zu erschweren, verweist der Forscher auf die Verwendung von EDNS-Padding. Dafür müssen aber sowohl Server als auch Clients angepasst werden, was zumindest die Browserhersteller von Mozilla bereits für den Firefox diskutieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

tsp 26. Dez 2019

Weil ich das immer wieder lese - in wie fern ist bitte DNSSEC zu aufwändig zu...

tommihommi1 23. Dez 2019

nö, weil der gleiche Empfänger auch das größte CDN der Welt ist. Steht aber so auch im Text.


Folgen Sie uns
       


Android Smartphone als Webcam nutzen - Tutorial

Wir erklären in einem kurzen Video, wie sich das Smartphone für Videokonferenzen unter Windows nutzen lässt.

Android Smartphone als Webcam nutzen - Tutorial Video aufrufen
Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

No One Lives Forever: Ein Retrogamer stirbt nie
No One Lives Forever
Ein Retrogamer stirbt nie

Kompatibilitätsprobleme und schlimme Sprachausgabe - egal. Golem.de hat den 20 Jahre alten Shooter-Klassiker No One Lives Forever trotzdem neu gespielt.
Von Benedikt Plass-Fleßenkämper

  1. Heimcomputer Retro Games plant Amiga-500-Nachbau
  2. Klassische Spielkonzepte Retro, brandneu
  3. Gaming-Handheld Analogue Pocket erscheint erst 2021

Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

    •  /