Wie bereits angekündigt
geht es nun um das Hijacking von Protokollen der TCP/IP-Anwendungsschicht.
Konkret: DNS-Spoofing.
Das DNS-Protokoll (Domain Name System) dient der Umwandlung von
Domain-Namen in die entsprechende IP-Adresse und umgekehrt. Beim
DNS-Spoofing wird dem Opfer eine falsche Antwort auf eine DNS-Anfrage
untergeschoben.
Für das
TCP-Hijacking
muss der Angreifer den Netzwerkverkehr mindestens eines Opfers belauschen.
Während dies bei über einen Hub verbundenen Rechnern sehr einfach
war, ist es in den aktuellen geswitchten Netzwerken deutlich aufwendiger.
Da ein Switch Eins-zu-Eins-Verbindungen herstellt, sieht ein unbeteiligter
Rechner die Pakete einer fremden Verbindung nicht. Damit der Angreifer
trotzdem die gewünschten Pakete empfangen kann, muss er sie zu sich
umleiten. Dazu nutzt er eine Schwachstelle im Adress Resolution Protocol
(ARP).
Um den im Text zum
Spoofing
beschriebenen Angriff zu vollenden, kann ein
SYN-Flooding-Angriff
zum Ausschalten des vertrauenswürdigen Rechners A verwendet werden: