G.O.S.S.I.P 阅读推荐 2022-09-22

admin 2022年9月23日14:07:57安全闲碎评论0 views1748字阅读5分49秒阅读模式

《皇帝的新衣》如果反过来讲会是怎么样呢?皇帝穿上了华丽的龙袍,但是所有人都说皇帝没有穿衣服,只有一个小孩怯生生地说道“可他明明是穿了衣服呀?” 我们今天为大家推荐一篇USENIX Security 2022的论文吧~

G.O.S.S.I.P 阅读推荐 2022-09-22

工作概述

互联网的两个端点之间的路由并不是一成不变的,这在互联网设计之初就作为一条基本原则确定下来。为了达到负载均衡,路由器会检查IP和TCP/UDP报头,根据它们的值,选择不同路径发送数据包。以往的工作也揭示了这方面的一些结论——源IP和端口的改变会影响路由选择。然而,此前少有对这种变化进行深入的测量研究。本文以某国的域名审查系统作为考察对象,对以上问题做了大规模的测量研究。作者的贡献如下:

  • 描述和探索路由器负载均衡对DNS审查结果的影响。

  • 开发了测量工具 BreadCrumb,量化分析源IP、源端口和目的IP之间的改变对路由器的影响。

  • 证明之前研究中用于DNS审查的方法会受到路由改变的影响。

  • 基于IP和端口的负载均衡在37%的被测IP和56%的AS表现出审查差异。

  • 为未来的网络审查测量研究提供指导。

测量方法

作者设计开发了名为BreadCrumb的工具,用来测量数据包头变化引起的DNS审查差异。

BreadCrumb分析了数据包参数变化对以下结果的影响:

  1. DNS 探测数据包采用的路由

  2. 被观察到的DNS审查行为

作者把针对这两种变化的识别工作分解成了几个任务:生成输入、生成数据包和结果分析。

BreadCrumb架构如下图所示:

G.O.S.S.I.P 阅读推荐 2022-09-22

图中的组件1主要负责生成输入,可分解成以下几个子任务:

  1. 在给定区域中选择目的IP

  2. 识别域名来寻找审查的变化

  3. 选择源IP与源端口进行实验

在生成数据包这一步中,BreadCrumb结合了先前的工具Traceroute和审查测量方法。给定输入组合(源IP和源端口、目的IP和目的端口),BreadCrumb向目的IP发送审查的DNS查询并生成数据包时间表,同时记录响应来识别审查的变化。

图中组件3和4为结果分析。作者将结果预设为:当收到回复为审查事件,未收到回复则为未审查事件。在工具中作者使用保守迭代的方式来判断结果,在每次实验迭代后,BreadCrumb会记录所有查询和响应,若缺少响应则会在下一次迭代中重复实验,直到出现响应或达到最大重复次数结束。

实验数据与结果

作者进行的审查差异实验共涉及以下三个部分:

  1. 路由路径探索;

  2. 不同IP之间的审查差异;

  3. 不同域名之间的审查差异。

实验使用的数据集如下图所示:

G.O.S.S.I.P 阅读推荐 2022-09-22

作者通过以上实验的数据,回答了以下四个问题:

改变源端口和IP是否会改变数据包的路径

作者展示了源参数的变化会怎样导致审查数据包的路径差异,为此采用了节点数和路径数这两个数来度量。节点指路由器跳的IP地址,节点数是在源参数的所有变化中BreadCrumb测量到的所有节点的集合。路径是在具有一组源参数的DNS Traceroute中观察到的所有节点的集合,路径数是所有路径的集合。分析结果如下列图所示:

G.O.S.S.I.P 阅读推荐 2022-09-22

G.O.S.S.I.P 阅读推荐 2022-09-22

G.O.S.S.I.P 阅读推荐 2022-09-22

以上结果基于不同源参数,确定了它们会对DNS审查分组所经过的路径产生强烈影响。使用固定的源参数执行重复的实验不会产生明显不同的路径,但更改其中至少一项会产生不同路径。

改变源IP和端口是否会造成审查差异

作者随机选取了10000个目标IP和3个已知被审查的域名,结果表明37%的目标对不同的源IP和端口表现出审查差异。

G.O.S.S.I.P 阅读推荐 2022-09-22

特定的源IP或端口是否会造成更多的审查差异

作者根据IP地址的低三位对IP进行分组,结果表明IP地址的低三位会导致明显的审查差异。

G.O.S.S.I.P 阅读推荐 2022-09-22

不同域名之间的审查差异普遍性如何

作者对在492个目的域名和75个敏感域名进行实验发现:

  • 比较极端的变化是最主要的,导致156个目标IP变化。

  • 如下图所示的一些域名表现出审查制度的变化

G.O.S.S.I.P 阅读推荐 2022-09-22

最后,对于网络审查的测量工作,作者还对以后的研究者给出如下建议:

  • 在设置输入参数和目的IP时尽量多样化

  • 在路径重建时,要确保Traceroute信息包与测量信息包的结构是相同的。

  • 网络中会有频繁的丢包情况,因此测量技术必须重复确定最终结果的一致性。


论文地址:https://www.usenix.org/system/files/sec22fall_bhaskar.pdf


原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2022-09-22

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月23日14:07:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  G.O.S.S.I.P 阅读推荐 2022-09-22 http://cn-sec.com/archives/1312171.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: