Giả mạo DNS là một kỹ thuật Man-in-the-Middle được sử dụng nhằm cung cấp thông tin DNS sai cho một host để khi người dùng duyệt đến một địa chỉ nào
đó. Lúc này kẻ tấn công đóng vai trò là một proxy đứng giữa trình duyệt B và
web nguồn S: B ↔A↔ S
Điều kiện tấn công: Cần giả mạo ARP cache thiết bị mục tiêu để định tuyến lại lưu lượng của nó qua host đang tấn công của mình, từ đó có thể chặn yêu cầu DNS và gửi đi gói dữ liệu giả mạo. Mục đích của kịch bản này là lừa người dùng trong mạng mục tiêu truy cập vào website của kẻ tấn công thay vì website mà họ đang cố gắng truy cập.
• AS: Đóng vai trò giả mạo nguồn web S <IST-URL>S đến trình duyệt B
<IST-URL>sB =<IST-URL>A.
• B →As Kết thúc quá trình chuyển hướng. Quá trình này không yêu cầu
xác thực.
• AB→S Kết thúc việc chuyển hướng từ trình duyệt giả mạo AB đến web
S. A thực hiện đứng giữa B và S, vì hệ thống theo dõi người dùng của S không chống lại được tấn công Man in the Middle nên A có thể chuyển tiếp được tất cả giao tiếp giữa B và S trong quá trình theo dõi người dùng.
• AB →D Kết thúc quá trình chuyển hướng đến <AR-URL>D. AB đóng
vai trò của B để chuyển hướng các AML artifacts và cho phép AB có
quyền truy cập của người dùng U.
• A→B: Chuyển hướng yêu cầu <IST-URL>S một người ban đầu sử
dụng trình duyệt B giả định người dùng đã được xác thực với site S. Khi đó không cần các tương tác ở bước 1,2, A lúc này có thể sử dụng giao thức của B để sử dụng một phiên kết nối với quyền người dùng mà không bị thông báo thiết lập lại trạng thái của giao thức.
Do các bên không yêu cầu chứng thực ở bước 1,2 nên trình duyệt B có thể
không phân biệt <IST-URL >A của kẻ tấn công và <IST-URL>S của nguồn thật
website.
Các giải pháp: Xác thực một bên trong tất cả các bước của giao thức có thể ngăn chặn giả mạo site S, để website nguồn S theo dõi trình duyệt B được chỉ định trong giao thức SAML single sign on. Được sử dụng trong các sản phẩm