您现在的位置:万博体育官网 > 万博体育平台 >
基于DoH的隐蔽通信的机理与防御

2019-07-23 01:51

本文关键字 :万博体育官网,隐蔽自己

  本文所涉及的DoH加密传输信息的技术仅用于技术分享与讨论,严禁用于其他用途,所带来的法律风险与本文无关。

  DNS服务器就像一个在线的电话本,记录域名和IP地址的映射关系。当用户想要访问某个网站的时候,先向DNS服务器请求解析域名,得到网站服务器的IP,再与网站服务器进行通信,请求网页的内容,最终得以在浏览器呈现内容。但是DNS请求是没有加密的,请求的域名会以明文的方式传输。

  为了有效防止用户上网时的中间人攻击(Man-in-Middle Attack, MIMT攻击),同时也更好地保护用户的隐私,HTTPS开始推行,即将用户的HTTP通信加密传输。于是由传统的DNS+HTTP变为DNS+HTTPS,这使得用户的HTTP通信变得安全,但是要注意到此时的DNS环节仍旧是明文传输,用户的上网行为(访问哪些域名)仍旧暴露在网络上。

  于是,和HTTP通信类似,DNS请求环节也应该被加密以保护用户的隐私,即由DNS+HTTPS升级为DoH+HTTPS,这样用户的上网行为得到了全程的加密保护。目前已有多个服务提供商提供DoH服务,如Google、Quad9,firefox和Chrome浏览器也提供相应的设置或插件。

  下图是通过quad9提供的DoH服务解析时产生的流量,此时已经无法看到用户的上网行为。

  研究人员发现,在2017年HTTPS流量已经在全球Web流量中占比超过50%,但恶意软件作者的采用率高于普通用户。通过加密保护数据安全中所指的100%安全,其实也为恶意软件提供了更强的隐蔽性,为监管带来新的压力。HTTPS如此,DoH亦然。

  下面提出一种基于DoH实现的隐蔽通信,恶意流量可以由加密保护“安全”送达不法分子的DNS服务器,并通过请求DNS TXT记录获得不法分子预留在DNS服务器中的信息。

  TXT记录是在DNS服务器上为某域名记录配置说明的一种方法,当请求域名的TXT记录时DNS服务器会返回对应字符串。

  假设不法分子申请了域名fengrou2019.club,并配置了解析该域名及其子域名的DNS服务器(以下简称被控DNS服务器),在被控DNS服务器的域名映射表内添加的TXT记录为“helloword”作为不法分子预留给恶意软件的信息。

  在受控DNS服务器上,设置本地未命中请求的转发表,将本地无法解析的请求转发给权威DNS服务器,本例中配置Google DNS(ip:8.8s.8.8)。于是,该DNS服务器可以实现正常DNS服务器的功能,解析请求的域名。

  恶意软件通过HTTPS通信向提供DoH服务的权威DNS服务器请求的TXT记录,拿到了控制者预留的“helloword”。

  假设恶意软件想向控制者发送“helloword”,则可以通过DoH解析“helloword.fengrou2019.club”来传递信息。由于DNS请求通过HTTPS发送,所以请求的域名不会被旁路知晓,但是受控DNS在响应请求时处理的是明文信息,所以控制者可以在受控DNS看到“helloword”。

  ②恶意软件的网络中无法知晓恶意软件的具体网络行为,捕获的流量与先前解析时一样,是被加密保护的。

  技术是一把双刃剑,在保护用户私人数据隐私的技术不断发展的同时,也为不法分子提供了便利,给监控带来了新的挑战。

  现有的监控工具常布置在网络边缘;此外,有的浏览器提供恶意域名检测,可以向用户告警或直接拦截访问请求;DNS服务器也部署有黑名单,不支持对黑名单内域名的解析请求。

  对于本文所述的信息泄露方式,可以考虑在应用层监测域名请求,应用层位于TLS之上,在应用层可捕获到请求域名的明文字符串,对于不正常的域名,如长度过长,信息熵异常等域名,应予以拦截和告警;DNS服务提供商亦应当部署相应黑名单或恶意域名检测技术;对于自身不使用DoH技术进行网络活动的用户,可以在防火墙设置拦截自身不使用且支持DoH技术的DNS服务器。

Baidu