论文笔记| Encrypted DNS --Privacy-A Traffic Analysis Perspective

2020-03-14 reading dns web

  • Authors: Sandra Siby et al.
  • From: NDSS 2020

1.Introduction

文章考察了当今世界对抗DNS攻击的两种主要方法DOH、DOT。介绍这两种方法在real world 中存在问题。

这两个方法TLS/HTTPS封装的方式,提供DNS记录的加密和完整性。保护通过传输层复用和padding的方式来对抗流量分析。

文章实现了如下工作:

  • 实现了通过流量分析来监控浏览行为
  • 可以实现对于环境的自适应
  • 使用 EDNS0 混淆时,unless EDNS0 padding overhead is large, current padding strategies cannot completely prevent our attack

2.Threat Model

攻击者位于client 和 DNS resolver直接,而不在 client 和 server 之间。证明了即便是如此,也可以做到非常可靠的分析,并且比分析HTTPS流量成本更低:

  • 所需进行攻击的报文较少(on average 124 times)
  • DoH resolver 目前比较少

3.DNS Based fingerpoint

不变的特征:浏览网页的时候,由于资源或者子页面加载的特征或者先后顺序也会反映在 DNS 查询上。 变化的特征:网页的变动、资源的变动、Local DNS、DNS Cache 、CDN等

4.Feature and Algorithm

特征:选取了包的方向和大小作为参数,扩展成单个报文和报文对的向量。发现时间特征并不显著。 算法:使用了一百个trees的随机森林算法(RF)

5.Conclusion

  1. 具有较高识别准确率:close world 能够较精确识别特定网站;open world 能够识别是否是黑名单上
  2. 与其他方案比较:在DNS识别上比其他方案准确率高且训练集小;也能识别HTTPS流量。
  3. 训练集较小:由于DNS流量相比HTTPS流量更加稳定
  4. 鲁棒性:具有一定的对抗时间、空间、客户端和服务器平台的鲁棒性
  5. 对抗EDNS(0)扩展:EDNS-128,EDNS-468 具有较小的 overhead 但是其有较大概率被识别。使用DoT或者Tor则由较大overhead但是较为混淆。
  6. 论证了如何构建审查机制:通过文章方案,在使用的数据集中,使用整个DoH流量的前 15%的报文就能使得识别概率达到50%。 7. 较为严格的审查策略可能造成较大误伤,反之亦然

本人保留对侵权者及其全家发动因果律武器的权利

版权提醒

如无特殊申明,本站所有文章均是本人原创。转载请务必附上原文链接:https://www.laytonchen.com/post/lab/ndss2020-1/

如有其它需要,请邮件联系!版权所有,违者必究!