Cryptography Reference
In-Depth Information
Alice
DNS
1) www.kryptoboerse.kl ?
4) 123.231.1.5
3) 123.231.1.5
2) www.kryptoboerse.kl ?
Mallory
Abb. 3-1
Beim DNS-Spoofing sorgt Mallory dafür, dass Alice eine falsche IP-Adresse vom DNS erhält.
DNS-Spoofing bedeutet, dass Mallory einem DNS-Nutzer (in unserem Fall ist
dies Alices Browser) eine falsche IP-Adresse unterjubelt. Diese falsche IP-Adresse
kann dann zu einer von Mallory gefälschten Seite führen, auf der falsche Aktien-
kurse zu finden sind. Wenn die falsche Seite gut gemacht ist (wenn sie also wie die
echte aussieht), dann hat Alice kaum eine Chance, den Schwindel zu bemerken.
Ihr bescheidenes Vermögen, das sie in Aktien angelegt hat, könnte so schnell
schrumpfen.
DNS-Spoofing gibt es in verschiedenen Varianten. Eine gängige Methode
sieht etwa so aus: Mallory sendet eine DNS-Anfrage an einen DNS (nennen wir
ihn DNS 1), in der er nach der IP-Adresse von www.kryptoboerse.kl fragt. Wenn
Mallory Glück hat, kennt DNS 1 die gefragte Adresse nicht und stellt nun selbst
eine Anfrage über das Internet an DNS 2. Mallory schickt jedoch seiner Anfrage
eine falsche Antwort hinterher und kommt so der Antwort von DNS 2 zuvor.
DNS 1 hält nun die falsche, von Mallory erhaltene Adresse für die echte. Er sen-
det daher die falsche Adresse als Antwort an Mallory zurück (was Mallory nicht
weiter interessiert) und merkt sich diese (technisch gesprochen: Sie wird in einem
Cache gespeichert). Wenn nun in der Folgezeit wieder jemand nach der IP-
Adresse von www.kryptoboerse.kl fragt, erhält er die von Mallory angegebene
Adresse.
Eine Hürde hat das DNS-Protokoll allerdings eingebaut: Jede Anfrage erhält
eine 16-Bit-Nummer (
Query-ID
), die in der Antwort angegeben sein muss, damit
sie akzeptiert wird. Um eine Antwort fälschen zu können, die von DNS 2 an
DNS 1 geliefert wird, muss Mallory diese Query-ID erraten. Dies ist jedoch nicht
gerade schwierig, denn viele DNS-Implementierungen erhöhen die Query-ID mit
jeder neuen Anfrage um eins. Mallory muss also lediglich eine unverfängliche
Anfrage nach seiner eigenen Adresse an DNS 1 stellen, um an die aktuelle Query-
ID heranzukommen. Die nächste Query-ID kann er dann erraten. Sicherheitshal-
