Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Large Scale Measurement on the Adoption of Encrypted DNS

Sebastián García, Karel Hynek|arXiv (Cornell University)|Jul 9, 2021
Internet Traffic Analysis and Secure E-voting参考文献 26被引用数 32
ひとこと要約

本論文は、3組織・5か月間のDoH、DoT、DoQの普及を2021年初頭に測定し、既知および未知のDoHサーバを調査し、トラフィック傾向と定常性を分析する。

ABSTRACT

Several encryption proposals for DNS have been presented since 2016, but their adoption was not comprehensively studied yet. This research measured the current adoption of DoH (DNS over HTTPS), DoT (DNS over TLS), and DoQ (DNS over QUIC) for five months at the beginning of 2021 by three different organizations with global coverage. By comparing the total values, amount of requests per user, and the seasonality of the traffic, it was possible to obtain the current adoption trends. Moreover, we actively scanned the Internet for still-unknown working DoH servers and we compared them with a novel curated list of well-known DoH servers. We conclude that despite growing in 2020, during the first five months of 2021 there was statistically significant evidence that the average amount of Internet traffic for DoH, DoT and DoQ remained stationary. However, we found that the amount of, still unknown and ready to use, DoH servers grew 4 times. These measurements suggest that even though the amount of encrypted DNS is currently not growing, there may probably be more connections soon to those unknown DoH servers for benign and malicious purposes.

研究の動機と目的

  • 2021年における暗号化DNSプロトコル(DoH、DoT、DoQ)の実世界での採用レベルを評価する。
  • 多様なネットワーク(ISPバックボーン、大学、セキュリティ企業)全体での暗号化DNSトラフィックの傾向と定常性を特定する。
  • 既知および未知のDoH解決サーバを列挙して、暗号化DNSの全体像を理解する。
  • DoHサーバを検出し、暗号化DNSの利用を分析するためのデータセットと方法論を提供する。

提案手法

  • 二段階の方法論:(i) DoH解決サーバのグローバルスキャンと検証を行い、既知の提供者(234)を網羅的にリスト化、(ii) インターネット全体のスキャンで未知のDoHサーバを検出(931の解決サーバを発見)する。
  • 複数のDoH検証手法を用いたNmap NSEスクリプトを使用し、DoHサーバを識別し、HTTP/1とHTTP/2、GETとPOST、JSONベースのDoHを区別する。
  • 2021年1月〜5月にかけて、3組織(ISPバックボーン、大学、世界的なセキュリティ企業)からのトラフィックデータを収集・分析し、DoH/DoT/DoQのカウント、TLSハンドシェイク、ポート443/853/784、DNSポート53のトラフィックを含む。
  • 時系列の定常性を評価するために、Augmented Dickey–Fuller (ADF)検定などの統計検定を適用する。
  • 該当する場合は、DoHトラフィック指標をユーザー数および人口で正規化する(特に組織3の国レベル分析を想定)。

実験結果

リサーチクエスチョン

  • RQ12021年の最初の5か月における実ネットワークでのDoH、DoT、DoQトラフィックの展開規模はどの程度か。
  • RQ2暗号化DNSトラフィックの時系列は定常か、組織間でトレンドや季節性を示すか。
  • RQ3既知と未知のDoH解決サーバの母数はどう比較され、どの組織がそれらをホストしているか。
  • RQ4多様なネットワーク環境におけるDoH/DoT/DoQトラフィックの相対的な大きさは?
  • RQ5人口で正規化したとき、どの国とどのユーザー層がDoHトラフィックに最も貢献しているか。

主な発見

  • DoH、DoT、DoQトラフィックは2021年の最初の5か月間で平均的に統計的に定常であり、暗号化DNSは組織全体の総DNSトラフィックのおよそ0.01%程度を占めていた。
  • Organization 1 (ISP) は DoH の平均フロー /日が181,794(標準偏差78,331)、DoTが28,395(SD 10,120)、DoQが6,235(SD 20,131)であった。DoHはDoTより約1桁のオーダーで優勢、DoQはDoHの約29分の1程度であった。
  • Organization 2 (大学) ではDoTトラフィックが平均でDoHを上回り、DoHトラフィックは約50.3(STD 237.6)フロー、DoTは約1,782.4(STD 2,459.0)フローだった。DoQトラフィックはほとんどゼロで、平均0、STD0.1。
  • インターネットスキャンにより931のDoH解決サーバが発見され、よく知られたDoH提供者の包括的リスト(234)のおおよそ4倍。685の解決サーバ(73.5%)がPTR/ドメインデータを、131の異なるSLD(14%)を持つ。
  • 未知のDoH解決サーバは899/931(96.4%)で、仮定される固有の提供者273に分布しており、よく知られたリストの外に多数の解決サーバがあることを示す。
  • スキャンは、新しいDoHサーバの中に、よく知られたDoH IPアドレスのうち32だけが現れたことを発見しており、多くのDoHサーバが検出のためにSNIを必要とすることを示唆している。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。