Skip to main content
QUICK REVIEW

[论文解读] Encrypted DNS --> Privacy? A Traffic Analysis Perspective.

Sandra Siby, Marc Juárez|arXiv (Cornell University)|Jun 24, 2019
Internet Traffic Analysis and Secure E-voting参考文献 50被引用 26
一句话总结

本文表明,加密DNS(DoH/DoT)无法完全抵御流量分析攻击。通过引入一组专为DNS的突发性、频繁通信特性量身定制的本地流量特征,作者仅需124倍少于HTTPS攻击所需的数据,即可实现高精度的网站指纹识别,表明即使在加密DNS流量下,审查与监控依然可行。

ABSTRACT

Virtually every connection to an Internet service is preceded by a DNS lookup which is performed without any traffic-level protection, thus enabling manipulation, redirection, surveillance, and censorship. To address these issues, large organizations such as Google and Cloudflare are deploying recently standardized protocols that encrypt DNS traffic between end users and recursive resolvers such as DNS-over-TLS (DoT) and DNS-over-HTTPS (DoH). In this paper, we examine whether encrypting DNS traffic can protect users from traffic analysis-based monitoring and censoring. We propose a novel feature set to perform the attacks, as those used to attack HTTPS or Tor traffic are not suitable for DNS' characteristics. We show that traffic analysis enables the identification of domains with high accuracy in closed and open world settings, using 124 times less data than attacks on HTTPS flows. We find that factors such as location, resolver, platform, or client do mitigate the attacks performance but they are far from completely stopping them. Our results indicate that DNS-based censorship is still possible on encrypted DNS traffic. In fact, we demonstrate that the standardized padding schemes are not effective. Yet, Tor -- which does not effectively mitigate traffic analysis attacks on web traffic -- is a good defense against DoH traffic analysis.

研究动机与目标

  • 探究加密DNS协议(如DoH和DoT)是否真正能够抵御流量分析对用户隐私的威胁。
  • 识别现有流量分析防御措施(如EDNS0填充和Tor)在应对加密DNS时的局限性。
  • 评估基于DNS的审查在加密流量上的可行性,特别是通过阻断首个DoH查询实现审查的可行性。
  • 开发一套针对加密DNS流量中网站指纹识别的新特征集,充分考虑DNS与网页流量之间的独特差异。
  • 评估环境因素(如客户端、平台、解析器、地理位置)对攻击性能的影响,并探索相应的缓解策略。

提出的方法

  • 设计一组聚焦于本地、每流特征的新型流量特征,如数据包到达间隔时间、大小及序列模式,专门针对DNS流量的突发性和频繁通信特性。
  • 在来自不同客户端、平台、解析器及地理位置的加密DNS流量记录上训练机器学习模型(如随机森林),以识别所请求的域名。
  • 在封闭世界(已知环境)和开放世界(未知环境)设置下评估攻击性能,包括跨环境推理能力。
  • 测量标准防御措施的有效性:EDNS0填充(如Cloudflare和Google所实现)以及作为传输层的Tor。
  • 通过分析阻断首个DoH查询对非黑名单域名的影响,量化基于DNS的审查所造成的附带损害。
  • 使用来自公共解析器(如Cloudflare、Google)的真实DoH流量记录以及合成工作负载,对不同配置下的攻击进行仿真与验证。

实验结果

研究问题

  • RQ1尽管存在加密,流量分析攻击是否仍能准确识别加密DoH流量中的目标网站?
  • RQ2与HTTPS流量分析攻击相比,加密DNS上的流量分析攻击性能如何?其数据效率提升有多大?
  • RQ3客户端类型、平台、解析器或地理位置等环境因素在多大程度上影响攻击成功率?
  • RQ4标准化的EDNS0填充机制是否能有效缓解对加密DNS的流量分析攻击?
  • RQ5Tor或其他固定大小分组化技术能否有效防御DoH流量分析?与传统防御措施相比表现如何?

主要发现

  • 所提出的特征集可在加密DoH流量上实现网站指纹识别,所需数据量仅为当前最先进的HTTPS流量分析攻击的1/124。
  • 流量分析攻击在识别所请求网站方面表现出高精度(在某些环境下超过90%),即使攻击者事先不了解客户端环境。
  • 环境不匹配(如在一种客户端上训练,但在另一种客户端上攻击)会降低攻击性能,但所提出的特征使攻击者能够推断并适应这些差异,从而维持高精度。
  • 除非填充开销极大(在实际部署中不切实际),否则标准化的EDNS0填充无法有效防止流量分析攻击。
  • Tor能为DoH流量分析提供强防护,优于EDNS0填充及其他防御措施,尽管其对网页流量指纹识别的防护能力有限。
  • 阻断某个域名的首个DoH查询可能导致附带损害,影响高达8.6%的前100万个网站,且不同国家被阻断网站的中位排名差异显著,表明此类审查策略可能既有效又代价高昂。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。