تشخیص ترافیک DNS-Over-HTTPS بدون نیاز به رمزگشایی آن
بر اساس یافتههای یک محقق امنیتی، امکان تشخیص ترافیک DNS-over-HTTPS (به اختصار DoH) بدون نیاز به رمزگشایی آن وجود دارد
هدف پروتکل DoH، افزایش امنیت اینترنت با استفاده از TLS در هنگام ارسال کوئریهای DNS و دریافت پاسخ از طریق HTTP است. این پروتکل، با رمزنگاری ترافیک DNS و الزامی کردن احراز هویت سرور، امکان نظارت غیرفعال و وقوع حملات تغییر مسیر فعال را کاهش میدهد. سازوکار DNS over TLS هم محافظت مشابهی را ایجاد میکند.
به گفته Johannes Ullrich مدیر تحقیقات مؤسسه فناوری SANS، امکان تشخیص ترافیک DoH با بررسی ترافیکی که به هاست وارد یا از آن خارج میشود، وجود دارد.
این محقق برای انجام آزمایشهای خود از فایرفاکس استفاده کرده، چون موزیلا فعالسازی DoH را برای کاربرانش بسیار آسان کرده است (کار بر روی DoH از سال 2017 آغاز شد) و این مرورگر امکان جمعآوری کلیدهای اصلی TLS را از طریق محیط SSLKEYLOGFILE فراهم کرده است (کروم نیز این امکان را فراهم کرده است).
در این آزمایشها از فایرفاکس 71 روی مک و از Cloudflare به عنوان تحلیلگر DNS استفاده شد. موزیلا اخیراً NextDNS را هم به برنامه Trusted Recursive Resolver (به اختصار TRR) خود اضافه کرده است. هر چند نتیجه این آزمایش قابل تعمیم نیست به خصوص با توجه به این که مجموعه مورد استفاده فقط شامل چند دقیقه ترافیک بود اما این آزمایش نشان داد که تشخیص ترافیک DoH کار نسبتاً آسانی است.
این محقق پس از اجرای tcpdump، فایرفاکس را اجرا و به چند وب سایت سر زد. سپس فایل ضبط بستههای شبکه و فایل SSL Key Logfile به نرم افزار Wireshark بارگذاری شدند. این نرم افزار به صورت کامل از DoH و HTTP2 پشتیبانی میکند (فایرفاکس برای DoH از HTTP2 استفاده میکند).
این محقق اعلام کرد: «من با استفاده از فیلتر ساده dns and tls ترافیک DoH را تشخیص دادم. کل ترافیک به یک اتصال بین هاست من و mozilla.cloudflare-dns.com (2606:4700::6810:f8f9) محدود شده بود». در این مورد خاص، امکان تشخیص ترافیک با استفاده از نام هاست وجود داشت ولی دیگران میتوانند این کار را از طریق سرور DoH خودشان هم انجام دهند.
به گفته Ullrich تحلیلهای بعدی نشان دادند که طول پیلود DoH هم برای تشخیص ترافیک قابل استفاده است. کوئریها و پاسخهای DNS معمولاً طولانیتر از چند صد بایت نیستند در حالی که در اتصالهای HTTPS کل حداکثر واحد انتقال (MTU) پر میشود.
وی افزود: «در مجموع اگر شاهد اتصالهای TLS طولانی مدتی باشید که پیلود آنها به ندرت از یک کیلوبایت بیشتر شود، احتمالاً این اطلاعات مربوط به یک اتصال DoH هستند». همچنین Ullrich گفته است که شاید برخی یافتههای به دست آمده در این تحلیل به پیادهسازی بستر آزمایش ارتباط داشته باشند اما قطعاً آزمایشهای بیشتر میتواند ما را به نتایج جامعتری برساند.
