- Authors: Sandra Siby et al.
- From: NDSS 2020
1.Introduction
文章考察了当今世界对抗DNS攻击的两种主要方法DOH、DOT。介绍这两种方法在real world 中存在问题。
这两个方法TLS/HTTPS封装的方式,提供DNS记录的加密和完整性。保护通过传输层复用和padding的方式来对抗流量分析。
文章实现了如下工作:
- 实现了通过流量分析来监控浏览行为
- 可以实现对于环境的自适应
- 使用 EDNS0 混淆时,unless EDNS0 padding overhead is large, current padding strategies cannot completely prevent our attack
2.Threat Model
攻击者位于client 和 DNS resolver直接,而不在 client 和 server 之间。证明了即便是如此,也可以做到非常可靠的分析,并且比分析HTTPS流量成本更低:
- 所需进行攻击的报文较少(on average 124 times)
- DoH resolver 目前比较少
3.DNS Based fingerpoint
不变的特征:浏览网页的时候,由于资源或者子页面加载的特征或者先后顺序也会反映在 DNS 查询上。 变化的特征:网页的变动、资源的变动、Local DNS、DNS Cache 、CDN等
4.Feature and Algorithm
特征:选取了包的方向和大小作为参数,扩展成单个报文和报文对的向量。发现时间特征并不显著。 算法:使用了一百个trees的随机森林算法(RF)
5.Conclusion
- 具有较高识别准确率:close world 能够较精确识别特定网站;open world 能够识别是否是黑名单上
- 与其他方案比较:在DNS识别上比其他方案准确率高且训练集小;也能识别HTTPS流量。
- 训练集较小:由于DNS流量相比HTTPS流量更加稳定
- 鲁棒性:具有一定的对抗时间、空间、客户端和服务器平台的鲁棒性
- 对抗EDNS(0)扩展:EDNS-128,EDNS-468 具有较小的 overhead 但是其有较大概率被识别。使用DoT或者Tor则由较大overhead但是较为混淆。
- 论证了如何构建审查机制:通过文章方案,在使用的数据集中,使用整个DoH流量的前 15%的报文就能使得识别概率达到50%。 7. 较为严格的审查策略可能造成较大误伤,反之亦然
本人保留对侵权者及其全家发动因果律武器的权利
版权提醒
如无特殊申明,本站所有文章均是本人原创。转载请务必附上原文链接:https://www.elliot98.top/post/lab/ndss2020-1/。
如有其它需要,请邮件联系!版权所有,违者必究!