基于DoH的隐蔽通信的机理与防御

一、DoH(DNS-over-HTTPS)简介
DNS服务器就像一个在线的电话本,记录域名和IP地址的映射关系。当用户想要访问某个网站的时候,先向DNS服务器请求解析域名,得到网站服务器的IP,再与网站服务器进行通信,请求网页的内容,最终得以在浏览器呈现内容。但是DNS请求是没有加密的,请求的域名会以明文的方式传输。
为了有效防止用户上网时的中间人攻击(Man-in-Middle Attack, MIMT攻击),同时也更好地保护用户的隐私,HTTPS开始推行,即将用户的HTTP通信加密传输。于是由传统的DNS+HTTP变为DNS+HTTPS,这使得用户的HTTP通信变得安全,但是要注意到此时的DNS环节仍旧是明文传输,用户的上网行为(访问哪些域名)仍旧暴露在网络上。
于是,和HTTP通信类似,DNS请求环节也应该被加密以保护用户的隐私,即由DNS+HTTPS升级为DoH+HTTPS,这样用户的上网行为得到了全程的加密保护。目前已有多个服务提供商提供DoH服务,如Google(https://dns.google.com/resolve)、Quad9(https://dns.quad9.net/dns-query),firefox和Chrome浏览器也提供相应的设置或插件。
下图是通过浏览器普通访问www.baidu.com时产生的DNS流量,可以在数据包中明显看出用户请求的域名是www.baidu.com。

下图是通过quad9提供的DoH服务解析www.baidu.com时产生的流量,此时已经无法看到用户的上网行为。

二、隐私不等于安全
研究人员发现,在2017年HTTPS流量已经在全球Web流量中占比超过50%,但恶意软件作者的采用率高于普通用户。通过加密保护数据安全中所指的100%安全,其实也为恶意软件提供了更强的隐蔽性,为监管带来新的压力。HTTPS如此,DoH亦然。
下面提出一种基于DoH实现的隐蔽通信,恶意流量可以由加密保护“安全”送达不法分子的DNS服务器,并通过请求DNS TXT记录获得不法分子预留在DNS服务器中的信息。
TXT记录是在DNS服务器上为某域名记录配置说明的一种方法,当请求域名的TXT记录时DNS服务器会返回对应字符串。
假设不法分子申请了域名fengrou2019.club,并配置了解析该域名及其子域名的DNS服务器(以下简称被控DNS服务器),在被控DNS服务器的域名映射表内添加www.fengrou2019.club的TXT记录为“helloword”作为不法分子预留给恶意软件的信息。


在受控DNS服务器上,设置本地未命中请求的转发表,将本地无法解析的请求转发给权威DNS服务器,本例中配置Google DNS(ip:8.8s.8.8)。于是,该DNS服务器可以实现正常DNS服务器的功能,解析请求的域名。

在本地解析文件中配置www.fengrou2019.club的TXT记录“helloword”。

1 恶意软件获取TXT记录信息
恶意软件通过HTTPS通信向提供DoH服务的权威DNS服务器请求www.fengrou2019.club的TXT记录,拿到了控制者预留的“helloword”。

通过抓包检测流量情况,可以看见被TLS加密的信息交互。

2 恶意软件通过DNS请求在受控DNS服务器留下信息
假设恶意软件想向控制者发送“helloword”,则可以通过DoH解析“helloword.fengrou2019.club”来传递信息。由于DNS请求通过HTTPS发送,所以请求的域名不会被旁路知晓,但是受控DNS在响应请求时处理的是明文信息,所以控制者可以在受控DNS看到“helloword”。
①恶意软件请求解析“helloword.fengrou2019.club”。

②恶意软件的网络中无法知晓恶意软件的具体网络行为,捕获的流量与先前解析www.fengrou2019.club时一样,是被加密保护的。

③在受控主机可以看到明文的helloword.fengrou2019.club请求。

三、防御建议
技术是一把双刃剑,在保护用户私人数据隐私的技术不断发展的同时,也为不法分子提供了便利,给监控带来了新的挑战。
现有的监控工具常布置在网络边缘;此外,有的浏览器提供恶意域名检测,可以向用户告警或直接拦截访问请求;DNS服务器也部署有黑名单,不支持对黑名单内域名的解析请求。
对于本文所述的信息泄露方式,可以考虑在应用层监测域名请求,应用层位于TLS之上,在应用层可捕获到请求域名的明文字符串,对于不正常的域名,如长度过长,信息熵异常等域名,应予以拦截和告警;DNS服务提供商亦应当部署相应黑名单或恶意域名检测技术;对于自身不使用DoH技术进行网络活动的用户,可以在防火墙设置拦截自身不使用且支持DoH技术的DNS服务器。

版权声明:若无特殊注明,本文为《梦紫汐》原创,转载请保留文章出处。
本文链接:https://www.hacksafe.cc/defense/12.html
正文到此结束

热门推荐

发表吐槽

你肿么看?

你还可以输入 250 / 250 个字

嘻嘻 大笑 可怜 吃惊 害羞 调皮 鄙视 示爱 大哭 开心 偷笑 嘘 奸笑 委屈 抱抱 愤怒 思考 日了狗 胜利 不高兴 阴险 乖 酷 滑稽

评论信息框
可使用QQ号实时获取昵称+头像

私密评论

吃奶的力气提交吐槽中...


既然没有吐槽,那就赶紧抢沙发吧!