User B will gerne auf www.meinebank.de, Nameserver liefert falsche IP zurück.
DNS verwendet UDP (→ keineAuthentifizierung)
X registriert Nameserver.
X fragt anderen Nameserver (A) nach einer Subdomain, für die er selber zuständig ist
A fragt daraufhin X nach der zugehörigen IP, X merkt sich die SEQ der Anfrage (z.B. 456)
X fragt A nach IP von B
A fragt B nach B
X antwortet auf Frage von A schneller als B, dazu muss er die SEQ raten und die IP täuchen
Antwort von B wird ignoriert
User auf falschen Server führen und die dorthin gesendeten Daten auswerten
DoS
zufällige SEQ, die schwerer zu raten ist
DNSsec: jede Zone hat einen privaten und öffentlichen Schlüssel, mit dem Informationen auf Validität überprüft werden können