Forse è la mia mancanza di una conoscenza più approfondita di come funzionano il DNS, il NAT o il TCP, ma ho pensato al seguente scenario e non riesco a capire il seguente problema che si verifica nell'attacco MITM di spoofing DNS:
Immagina un attacco MITM, che viene eseguito usando lo spoofing del DNS. Una vittima tenta di connettersi al server A (www.example.com), ma poiché utilizza un DNS primario falso, gli fornisce un falso indirizzo IP dell'altro server B. Ora, poiché la vittima pensa che abbia l'indirizzo IP corretto, inizia alcune comunicazioni con B. L'attaccante vuole solo intercettare il traffico e inoltrarlo alla sua destinazione corretta, in modo che non sollevi il sospetto della vittima. In che modo l'attaccante conosce la destinazione originale?
Nel caso in cui la comunicazione sia HTTP, allora questo è facile poiché ogni richiesta porta il suo URL. Ma cosa succede nel caso più generale di un normale pacchetto TCP (non HTTP). Poiché l'intestazione TCP ora contiene l'indirizzo IP del server B dell'aggressore, in che modo l'hacker conosce la destinazione originale di questo pacchetto?
Il mio particolare pensiero è che l'autore dell'attacco parli di 2 o più nomi di dominio che puntano a server che eseguono servizi con gli stessi numeri di porta.