مقالات امنیت سایبری

تشخیص ترافیک DNS-Over-HTTPS بدون نیاز به رمزگشایی آن

بر اساس یافته‌های یک محقق امنیتی، امکان تشخیص ترافیک DNS-over-HTTPS (به اختصار DoH) بدون نیاز به رمزگشایی آن وجود دارد

هدف پروتکل DoH، افزایش امنیت اینترنت با استفاده از TLS در هنگام ارسال کوئری‌های DNS و دریافت پاسخ از طریق HTTP است. این پروتکل، با رمزنگاری ترافیک DNS و الزامی کردن احراز هویت سرور، امکان نظارت غیرفعال و وقوع حملات تغییر مسیر فعال را کاهش می‌دهد. سازوکار DNS over TLS هم محافظت مشابهی را ایجاد می‌کند.
به گفته Johannes Ullrich مدیر تحقیقات مؤسسه فناوری SANS، امکان تشخیص ترافیک DoH با بررسی ترافیکی که به هاست وارد یا از آن خارج می‌شود، وجود دارد.
این محقق برای انجام آزمایش‌های خود از فایرفاکس استفاده کرده، چون موزیلا فعال‌سازی DoH را برای کاربرانش بسیار آسان کرده است (کار بر روی DoH از سال 2017 آغاز شد) و این مرورگر امکان جمع‌آوری کلیدهای اصلی TLS را از طریق محیط SSLKEYLOGFILE فراهم کرده است (کروم نیز این امکان را فراهم کرده است).
در این آزمایش‌ها از فایرفاکس 71 روی مک و از Cloudflare به عنوان تحلیلگر DNS استفاده شد. موزیلا اخیراً NextDNS را هم به برنامه Trusted Recursive Resolver (به اختصار TRR) خود اضافه کرده است. هر چند نتیجه این آزمایش قابل تعمیم نیست به خصوص با توجه به این که مجموعه مورد استفاده فقط شامل چند دقیقه ترافیک بود اما این آزمایش نشان داد که تشخیص ترافیک DoH کار نسبتاً آسانی است.
این محقق پس از اجرای tcpdump، فایرفاکس را اجرا و به چند وب سایت سر زد. سپس فایل ضبط بسته‌های شبکه و فایل SSL Key Logfile به نرم افزار Wireshark بارگذاری شدند. این نرم افزار به صورت کامل از DoH و HTTP2 پشتیبانی می‌کند (فایرفاکس برای DoH از HTTP2 استفاده می‌کند).
این محقق اعلام کرد: «من با استفاده از فیلتر ساده dns and tls ترافیک DoH را تشخیص دادم. کل ترافیک به یک اتصال بین هاست من و mozilla.cloudflare-dns.com (2606:4700::6810:f8f9) محدود شده بود». در این مورد خاص، امکان تشخیص ترافیک با استفاده از نام هاست وجود داشت ولی دیگران می‌توانند این کار را از طریق سرور DoH خودشان هم انجام دهند.
به گفته Ullrich تحلیل‌های بعدی نشان دادند که طول پی‌لود DoH هم برای تشخیص ترافیک قابل استفاده است. کوئری‌ها و پاسخ‌های DNS معمولاً طولانی‌تر از چند صد بایت نیستند در حالی که در اتصال‌های HTTPS کل حداکثر واحد انتقال (MTU) پر می‌شود.
وی افزود: «در مجموع اگر شاهد اتصال‌های TLS طولانی مدتی باشید که پی‌لود آنها به ندرت از یک کیلوبایت بیشتر شود، احتمالاً این اطلاعات مربوط به یک اتصال DoH هستند». همچنین Ullrich گفته است که شاید برخی یافته‌های به دست آمده در این تحلیل به پیاده‌سازی بستر آزمایش ارتباط داشته باشند اما قطعاً آزمایش‌های بیشتر می‌تواند ما را به نتایج جامع‌تری برساند.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
سبد خرید
  • هیچ محصولی در سبدخرید نیست.
ورود | ثبت نام
شماره موبایل یا پست الکترونیک خود را وارد کنید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
درخواست بازیابی رمز عبور
لطفاً پست الکترونیک یا موبایل خود را وارد نمایید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
ایمیل بازیابی ارسال شد!
لطفاً به صندوق الکترونیکی خود مراجعه کرده و بر روی لینک ارسال شده کلیک نمایید.
تغییر رمز عبور
یک رمز عبور برای اکانت خود تنظیم کنید
تغییر رمز با موفقیت انجام شد
0