Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Large Scale Measurement on the Adoption of Encrypted DNS

Sebastián García, Karel Hynek|arXiv (Cornell University)|2021. 07. 09.
Internet Traffic Analysis and Secure E-voting참고 문헌 26인용 수 32
한 줄 요약

논문은 2021년 초 DoH, DoT, DoQ 채택을 3개 조직, 5개월에 걸쳐 측정하고, 알려진 DoH 서버와 알려지지 않은 서버를 조사하며 트래픽 추세와 정상성(stationarity)을 분석한다.

ABSTRACT

Several encryption proposals for DNS have been presented since 2016, but their adoption was not comprehensively studied yet. This research measured the current adoption of DoH (DNS over HTTPS), DoT (DNS over TLS), and DoQ (DNS over QUIC) for five months at the beginning of 2021 by three different organizations with global coverage. By comparing the total values, amount of requests per user, and the seasonality of the traffic, it was possible to obtain the current adoption trends. Moreover, we actively scanned the Internet for still-unknown working DoH servers and we compared them with a novel curated list of well-known DoH servers. We conclude that despite growing in 2020, during the first five months of 2021 there was statistically significant evidence that the average amount of Internet traffic for DoH, DoT and DoQ remained stationary. However, we found that the amount of, still unknown and ready to use, DoH servers grew 4 times. These measurements suggest that even though the amount of encrypted DNS is currently not growing, there may probably be more connections soon to those unknown DoH servers for benign and malicious purposes.

연구 동기 및 목표

  • 2021년 실제 세계에서 암호화된 DNS 프로토콜(DoH, DoT, DoQ)의 채택 수준을 평가한다.
  • 다양한 네트워크(ISP 백본, 대학, 보안 기업)에서 암호화된 DNS 트래픽의 추세 및 정상성을 식별한다.
  • 암호화된 DNS 환경을 이해하기 위해 알려진 DoH 해석자와 알려지지 않은 해석자를 열거한다.
  • DoH 서버를 탐지하고 암호화된 DNS 사용을 분석하기 위한 데이터셋과 방법론을 제공한다.

제안 방법

  • 두 부분 방법론: (i) DoH 해석자에 대한 글로벌 스캔 및 검증으로 알려진 제공자 목록(234개)을 구성하고 (ii) 알려지지 않은 DoH 서버를 발견하기 위한 인터넷 전체 스캐닝(발견된 해석자 931개).
  • DoH 서버를 식별하고 HTTP/1 대 HTTP/2, GET 대 POST, JSON 기반 DoH를 구분하기 위해 다중 DoH 검증 방법을 가진 Nmap NSE 스크립트를 사용한다.
  • 2021년 1월~5월 동안 ISP 백본, 대학, 글로벌 보안 기업의 세 기관에서 트래픽 데이터를 수집 및 분석하고 DoH/DoT/DoQ 카운트, TLS 핸드셰이크, 포트 443/853/784, DNS 포트 53 트래픽을 포함한다.
  • 시계열의 정상성을 평가하기 위해 보정된 Dickey–Fuller(ADF) 검사와 같은 통계적 검정을 적용한다.
  • 적용 가능한 경우 사용자 수 및 인구를 기준으로 DoH 트래픽 지표를 정규화한다(특히 기관 3의 국가 수준 분석).

실험 결과

연구 질문

  • RQ12021년 5개월 동안 실제 네트워크에서 DoH, DoT, DoQ 트래픽의 규모는 어느 정도인가?
  • RQ2암호화된 DNS 트래픽의 시계열이 정상적이거나 다양한 조직에서 추세/계절성을 보이는가?
  • RQ3알려진 대 알려지지 않은 DoH 해석자 인구는 어떻게 비교되며 어떤 조직이 이를 호스팅하는가?
  • RQ4다양한 네트워크 환경에서 DoH/DoT/DoQ 트래픽의 상대적 규모는 어떠한가?
  • RQ5국가별 인구 대비 DoH 트래픽에 가장 많이 기여하는 국가와 사용자 기반은 어디인가?

주요 결과

  • 2021년 5개월 동안 DoH, DoT, DoQ 트래픽은 평균적으로 통계적으로 정상성을 보였으며 암호화된 DNS는 조직 전체 DNS 트래픽의 약 0.01%를 차지했다.
  • 기관 1(ISP)의 DoH 트래픽 평균은 181,794건/일(STD 78,331), DoT 평균은 28,395건(STD 10,120), DoQ 평균은 6,235건(STD 20,131); DoH가 DoT보다 대략 한 자릿수 차이로 우세했고 DoQ는 DoH의 약 29배 작았다.
  • 기관 2(대학)의 경우 DoT 트래픽이 평균적으로 DoH보다 더 많았으며 DoH 트래픽은 약 50.3(STD 237.6) 건/일, DoT는 약 1,782.4(STD 2,459.0) 건/일; DoQ 트래픽은 미미했다(0 평균, 0.1 STD).
  • 인터넷 스캔으로 931개의 DoH 해석자를 발견했고, 잘 알려진 DoH 공급자(234) 목록보다 약 4배 더 많았으며, 685개 해석자(PTR/도메인 데이터 보유, 73.5%), 131개의 서로 다른 SLD(14%)를 보유했다.
  • 알려지지 않은 DoH 해석자는 899/931(96.4%)를 차지했고, 이는 273개로 가정된 고유 공급자에 분포하며 많은 해석자가 잘 알려진 목록 외부에 있음을 시사한다.
  • 스캔 결과 잘 알려진 DoH IP 주소 중 32개만이 새 DoH 서버에서 나타났으며, 많은 DoH 서버가 탐지를 위해 SNI를 필요로 한다고 제시한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.