APNIC文摘—加密DNS無法阻止竊聽和審查(下)

如上篇所述,研究團隊為加密DNS訊務設計一項新功能,並設定兩種情況來評估其有效性,結果是新功能可以有效地識別來自DoH訊務的網頁。此外,團隊認為審查者不僅要能找到被訪問的頁面,還需盡快找到它,以防止使用者下載內容。對審查者來說最佳的狀況是,列入黑名單頁面的DoH紀錄具有唯一的起始模式,因為這個原因,當通訊開始僅觀察到幾個封包時,團隊會分析DoH紀錄的唯一性。在DNS加密的情況下,審查者必須在準確度和附帶損害之間找到折衷方案,研究顯示,黑名單中不受歡迎的頁面,可以進行精確的審查且附帶損害較低。

另外,團隊提到,EDNS(0) padding被列入RFC 7830中,這是一種填充(pad)DNS訊息大小的機制,RFC建議的填充策略是,客戶端將DNS請求填充到最接近128位元的倍數解析器將DNS回報填充到最接近468位元的倍數(RFC 8467),團隊觀察到,建議的策略將攻擊的成功率從90%降低到43%,但並不能完全阻止攻擊,另外,客戶端對策(例如使用廣告攔截器來更改請求的模式)跟填充一樣有幫助。

最後,團隊還對Cloudflare的DNS-over-Tor進行試驗,模仿Tor應用於訊務的轉換,同時去除匿名化邏輯(anonymization logic),發現Tor是針對DoH訊務分析有效又便利的對策,Cloudflare因此在其DoH 解析器上啟用預設填充。本研究曾發表在IETF「加強與評估隱私研究小組會議」中,團隊目前在研究不同的對策,希望在下一次RFC中,能提出對加密DNS進行訊務分析保護的貢獻。

 *台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Eavesdroppers and censors can still monitor what you’re viewing even if you’re using encrypted DNS

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *