Skip to main content
Nubint
QUICK REVIEW

[论文解读] Large Scale Measurement on the Adoption of Encrypted DNS

Sebastián García, Karel Hynek|arXiv (Cornell University)|Jul 9, 2021
Internet Traffic Analysis and Secure E-voting参考文献 26被引用 32
一句话总结

本文在2021年初对三家机构、五个月的期间进行 DoH、DoT 与 DoQ 采用情况的测量,调查已知与未知的DoH服务器,并分析流量趋势与平稳性。

ABSTRACT

Several encryption proposals for DNS have been presented since 2016, but their adoption was not comprehensively studied yet. This research measured the current adoption of DoH (DNS over HTTPS), DoT (DNS over TLS), and DoQ (DNS over QUIC) for five months at the beginning of 2021 by three different organizations with global coverage. By comparing the total values, amount of requests per user, and the seasonality of the traffic, it was possible to obtain the current adoption trends. Moreover, we actively scanned the Internet for still-unknown working DoH servers and we compared them with a novel curated list of well-known DoH servers. We conclude that despite growing in 2020, during the first five months of 2021 there was statistically significant evidence that the average amount of Internet traffic for DoH, DoT and DoQ remained stationary. However, we found that the amount of, still unknown and ready to use, DoH servers grew 4 times. These measurements suggest that even though the amount of encrypted DNS is currently not growing, there may probably be more connections soon to those unknown DoH servers for benign and malicious purposes.

研究动机与目标

  • 评估2021年加密DNS协议(DoH、DoT、DoQ)的现实世界采用水平。
  • 在不同网络环境(ISP骨干网、大学、安保公司)中识别加密DNS流量的趋势与平稳性。
  • 列举已知与未知的DoH解析器,以了解加密DNS格局。
  • 提供用于检测DoH服务器和分析加密DNS使用的数据集与方法。

提出的方法

  • 两部分方法: (i) 全球扫描并验证DoH解析器,构建已知提供商的综合清单(234 个),(ii) 面向互联网的扫描以发现未知的DoH服务器(发现931个解析器)。
  • 使用 Nmap NSE 脚本,结合多种 DoH 验证方法来识别 DoH 服务器,并区分 HTTP/1 与 HTTP/2、GET 与 POST,以及基于JSON 的 DoH。
  • 在 2021-01 至 2021-05 期间,从三家机构(ISP骨干网、大学、全球安保公司)收集并分析流量数据,包括 DoH/DoT/DoQ 计数、TLS 握手、端口 443/853/784,以及 DNS 端口 53 的流量。
  • 使用如增广 Dickey–Fuller(ADF)检验等统计测试来评估时间序列的平稳性。
  • 在可用情况下按用户计数和人口规模对 DoH 流量指标进行归一化(特别是机构3的国家层面分析)。

实验结果

研究问题

  • RQ1在2021年头五个月的真实网络中,DoH、DoT、DoQ 流量的部署规模有多大?
  • RQ2加密DNS流量时间序列是平稳的吗,还是在不同机构中显示出趋势/季节性?
  • RQ3已知与未知DoH解析器的数量对比如何,哪些机构托管它们?
  • RQ4在多样化网络环境中,DoH/DoT/DoQ 流量的相对大小是多少?
  • RQ5按人口归一化时,哪些国家和用户群对 DoH 流量贡献最大?

主要发现

  • 在2021年头五个月内,DoH、DoT 和 DoQ 流量总体上保持统计平稳,加密 DNS 在各机构的总 DNS 流量中约占0.01%。
  • 机构1(ISP)的 DoH 流量均值为 181,794 条/日(STD 78,331),DoT 均值 28,395(STD 10,120),DoQ 均值 6,235(STD 20,131);DoH 相对于 DoT 约大一个数量级,DoQ 约为 DoH 的 29 倍小。
  • 机构2(大学)DoT 流量平均大于 DoH,DoH 流量约 50.3(STD 237.6)条/日,DoT ~1,782.4(STD 2,459.0)条/日;DoQ 流量很小(0 均值,0.1 STD)。
  • 一次互联网扫描发现 931 个 DoH 解析器,大约是已知的 234 个知名 DoH 提供商综合清单的 4 倍,其中 685 个解析器(74%)具有 PTR/域名数据,131 个不同的 SLD(14%)。
  • 未知 DoH 解析器占 899/931(96.4%),分布在 273 个假定唯一提供商中,表明有很多解析器不在知名列表之中。
  • 扫描发现,新的 DoH 服务器中仅有 32 个来自知名 DoH IP 地址,表明许多 DoH 服务器需要 SNI 才能检测到。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。