DNS over HTTPS traffic analysis and detection

Abstract

The Domain Name Service (DNS) is a prevalent protocol used in computer communications, used to translate domain names to addresses that can be routed to via de Internet Protocol (IP). One of the main characteristics of DNS is the use of plaintext requests and responses, leaking information even in traditional secure communications; a client might resolve a server's IP address using plaintext messages, and then cryptographically protect its exchange with the server itself. DNS over HTTPS (DoH) is a protocol specification introduced in the IETF RFC 8484 (2018), which provides a mapping of regular DNS requests and responses over TLS-encapsulated HTTP messages. TLS (Transport Layer Protocol) and HTTP (HyperText Transfer Protocol), known in conjunction as HTTPS, are the two most common methods of communication with web servers, each providing security and structure respectively. DoH, then, provides not only the cryptographic benefits of TLS, but also the masquerading of DoH communications as regular web traffic. Although recent work has aimed to identify the content of DoH communications by using different fingerprinting techniques, distinguishing regular TLS-encapsulated HTTP traffic from DoH remains an unsolved challenge. In this thesis, passive analysis of DoH traffic is presented, as well as a method and implementation for its detection.

El Servicio de nombres de dominio (DNS) es un protocolo muy utilizado en las comunicaciones informáticas, que se emplea para traducir los nombres de dominio a direcciones que puedan ser enrutadas a través del Protocolo de Internet (IP). Una de las principales características del DNS es el uso de solicitudes y respuestas en texto plano, que filtran información incluso en las comunicaciones seguras tradicionales; un cliente puede resolver la dirección IP de un servidor utilizando mensajes en texto plano y luego proteger criptográficamente su intercambio con el propio servidor. El DNS sobre HTTPS (DoH) es una especificación de protocolo introducida en la RFC 8484 (2018) de la IETF, que proporciona un mapeo de las solicitudes y respuestas regulares de DNS sobre mensajes HTTP encapsulados en TLS. El TLS (Protocolo de Capa de Transporte) y el HTTP (Protocolo de Transferencia de Hipertexto), conocidos conjuntamente como HTTPS, son los dos métodos más comunes de comunicación con los servidores web, y cada uno de ellos proporciona seguridad y estructura respectivamente. El DoH, por lo tanto, proporciona no sólo los beneficios criptográficos del TLS, sino también el disfraz de las comunicaciones del DoH como tráfico web regular. Aunque la labor reciente ha tenido por objeto identificar el contenido de las comunicaciones de la DdH mediante el uso de diferentes técnicas de huellas dactilares, la distinción entre el tráfico HTTP encapsulado en el TLS y el tráfico de la DdH sigue siendo un problema no resuelto. En esta tesis se presenta un análisis pasivo del tráfico DoH, así como un método y una implementación para su detección.

El Servei de noms de domini (DNS) és un protocol molt utilitzat en les comunicacions informàtiques, que s'empra per a traduir els noms de domini a adreces que puguin ser enrutadas a través del Protocol d'Internet (IP). Una de les principals característiques del DNS és l'ús de sol·licituds i respostes en text pla, que filtren informació fins i tot en les comunicacions segures tradicionals; un client pot resoldre l'adreça IP d'un servidor utilitzant missatges en text pla i després protegir criptogràficament el seu intercanvi amb el propi servidor. El DNS sobre HTTPS (DoH) és una especificació de protocol introduïda en la RFC 8484 (2018) de la IETF, que proporciona un mapatge de les sol·licituds i respostes regulars de DNS sobre missatges HTTP encapsulats en TLS. El TLS (Protocol de Capa de Transport) i l'HTTP (Protocol de Transferència d'Hipertext), coneguts conjuntament com a HTTPS, són els dos mètodes més comuns de comunicació amb els servidors web, i cadascun d'ells proporciona seguretat i estructura respectivament. El DoH, per tant, proporciona no sols els beneficis criptogràfics del TLS, sinó també la disfressa de les comunicacions del DoH com a trànsit web regular. Encara que la labor recent ha tingut per objecte identificar el contingut de les comunicacions de la DdH mitjançant l'ús de diferents tècniques d'empremtes dactilars, la distinció entre el trànsit HTTP encapsulat en el TLS i el trànsit de la DdH continua sent un problema no resolt. En aquesta tesi es presenta una anàlisi passiva del trànsit DoH, així com un mètode i una implementació per a la seva detecció.