МЕТОД УПРАВЛІННЯ МАРШРУТИЗАЦІЄЮ ПОТОКІВ ДАНИХ В ГЕТЕРОГЕННИХ МЕРЕЖАХ ЗА УМОВ КОНФЛІКТУ, НЕВИЗНАЧЕНОСТЕЙ І ЗБУРЕНЬ

This paper proposes a method of synthesis of data transmission routes in conflicting heterogeneous self-organized wireless data networks under external and internal influences. In this case, routing is understood as the process of determining in a data transmission network one or a set of routes (pathspaths) , that are optimal within the selected criteria between a given pair or set of network nodes. Thus, a route is a sequence of network nodes and data transmission paths that connect a pair of network nodes for communication. The method is based on a mathematical model of the data network operation in a virtual multidimensional parameter space. The model of operation is based on a graph-model of information interaction of network nodes in the process of data transmission between receptor nodes and acceptors in the transmission of data streams. Based on the problem statement, the price function is formally defined as the value of the virtual distance between the nodes of a heterogeneous data network. In contrast to the Floyd-Warshall and Dijkstra algorithms, the synthesis of the data transmission route takes into account both the load of the computing environment of network nodes and the state of information interaction channels of network nodes, as well as possible changes in network parameters during data transmission. The data transmission network is self-organized, has no dedicated nodes, which ensures its reliability under external and internal influences, conflicts in data transmission, as well as variable topology. The proposed method for synthesizing data transmission routes when controlling the routing of data flows in heterogeneous networks is focused on the possibility of implementing the basic model of open systems interaction within the framework of existing protocols - the OSI model, which is a reference network model for communications and the development of network protocols.У статті запропоновано метод синтезу маршрутів передачі даних в конфліктуючих гетерогенних самоорганізованих бездротових мережах передачі даних за умов зовнішніх і внутрішніх впливів. При цьому під маршрутизацією розуміється процес визначення в мережі передачі даних одного або множини маршрутів (шляхів), оптимальних у рамках обраних критеріїв, між заданою парою або множиною мережних вузлів. Таким чином, маршрутом є послідовність мережних вузлів і трактів передачі даних, які з’єднують пару вузлів мережі для інформаційної взаємодії. Метод базується на математичній моделі функціонування мережі передачі даних в віртуальному багатомірному просторі параметрів. В основі моделі функціонування покладено граф-модель інформаційної взаємодії вузлів мережі в процесі передачі даних між вузлами рецепторами і акцепторами при передачі потоків даних. Виходячи з постановки задачі, формально визначено функцію ціни в якості значення віртуальної відстані між вузлами гетерогенної мережі передачі даних. На відміну від алгоритмів Флойда-Уоршала і Дейкстри при синтезі маршруту передачі даних враховується як завантаження обчислювального середовища вузлів мережі, так і стан каналів інформаційної взаємодії вузлів мережі, а також можливі зміни параметрів функціонування мережі при передачі даних. При цьому мережа передачі даних є самоорганізованою, не має виділених вузлів, що забезпечує її гарантоздатність за умов зовнішніх і внутрішніх впливів, конфліктів при передачі даних, а також варіативної топології. Запропонований метод синтезу маршрутів передачі даних при управлінні маршрутизацією потоків даних в гетерогенних мережах орієнтований на можливість реалізації в межах існуючих протоколів базової моделі взаємодії відкритих систем - моделі OSI, яка є еталонною мережевою моделлю для комунікацій і розробки мережевих протоколів

МЕТОД ЗАХИСТУ ТРАФІКУ ВІД ВТРУЧАННЯ DPI СИСТЕМ НА БАЗІ ВИКОРИСТАННЯ DOH ТА DOT ПРОТОКОЛІВ

This article discusses further ways to protect traffic from DPI systems. The possibilities of using network protocols and application of DPI systems are investigated in the article. The analysis of the problem made it possible to identify vulnerabilities in the DNS protocol, which is based on the UDP protocol. These vulnerabilities include spoofing, interception, and traffic tethering. Also on the basis of the analysis of methods of protection of DNS traffic from interference, the authors substantiate and define the following: 1) all DNS queries are transmitted in the open; 2) existing approaches to traffic protection do not use encryption and, consequently, do not ensure the confidentiality of information; 3) there is only confirmation of the authenticity of the records. The authors have created a summary table, which identifies reliable methods of protecting DNS traffic. The authors propose the development of a full-fledged local proxy server to provide DNS traffic that can access trusted public DNS resolvers using doh and dot protocols. To understand the principles of protocol interaction, we developed our own local implementation of the main components of the network, which are most often dealt with by network users, namely: 1) web server; 2) DNS server; 3) server providing cryptographic protection and hiding open requests. The practical value of the obtained results lies in the software implementation of methods to protect traffic from DPI systems in Visual Studio Code by using the Python 3.8 programming language, which allows to provide cryptographic protection of traffic. The proposed solution of the local proxying server can be improved in the future by introducing local caching with the addition of the ability to create rules for certain domains and their subdomains. The implemented test doh server can be deployed on a trusted dedicated server outside of possible filter equipment installation points. This implementation will allow you to fully control your own traffic for resolving domain names. The authors further plan a number of scientific and technical solutions to develop and implement effective methods, tools to meet the requirements, principles and approaches to cyber security and traffic protection from interference by DPI systems in experimental computer systems and networks.Дана стаття присвячена розгляду подальших шляхів забезпечення захисту трафіку від втручання DPI систем. У статті досліджено можливості використання мережевих протоколів та застосування DPI систем. Проведений аналіз проблеми дав змогу визначити вразливі місцями протоколу DNS, який базується на протоколі UDP. Цими вразливими місцями  є - спуфінг, перехоплення та переприв’язування трафіку. Також  на підставі проведеного аналізу методів захисту DNS трафіку від втручання, авторами обґрунтовано та визначено наступне: 1) усі DNS запити передаються у відкритому вигляді; 2) існуючі підходи забезпечення захисту трафіку не використовують шифрування та, в наслідок чого, не забезпечують конфіденційність інформації; 3) відбувається лише підтвердження автентичності записів. Авторами було сформовано зведену таблицю, в якій визначено надійні методи захисту DNS трафіку. Автори пропонують розробку повноцінного локального проксуючого серверу для забезпечення DNS трафіку, який може звертатися до довірених публічних DNS резолверів за допомогою протоколів doh та dot.  Для розуміння принципів взаємодії протоколів було розгорнуто власну локальну реалізацію основних компонентів мережі, з якими найчастіше мають справу користувачі мережі, а саме: 1) веб сервер; 2) DNS сервер; 3) сервер забезпечення криптографічного захисту та приховування відкритих запитів. Практична цінність отриманих результатів полягає у програмній реалізації методів захисту трафіку від втручання DPI систем у середовищі Visual Studio Code за рахунок використання мови програмування Python 3.8, що дає змогу забезпечити криптографічний захист трафіку. Запропоноване рішення локального проксуючого серверу може удосконалюватись в майбутньому за рахунок впровадження локального кешування з додаванням можливості створення правил для певних доменів та їх під доменів. Реалізований тестовий doh сервер може бути розгорнуто на довіреному виділеному сервері за межами можливих точок встановлення фільтруючого обладнання. Така реалізація дасть змогу повністю контролювати власний трафік для резолвінгу доменних імен. Авторами в подальшому планується ряд науково технічних рішень розробки та впровадження ефективних методів, засобів забезпечення вимог, принципів та підходів забезпечення кібернетичної безпеки та організації захисту трафіку від втручання DPI систем в дослідних комп’ютерних системах та мережах

Persistent DNS connections for improved performance

International audienceIn the DNS resolution process, packet losses and ensuing retransmission timeouts induce marked latencies: the current UDP-based resolution process takes up to 5 seconds to detect a loss event. We find that persistent DNS connections based on TCP or TLS can provide an elegant solution to this problem. With controlled experiments on a testbed, we show that persistent DNS connections significantly reduces worst-case latency. We then leverage a large-scale platform to study the performance impact of TCP/TLS on recursive resolvers. We find that off-the-shelf software and reasonably powerful hardware can effectively provide recursive DNS service over TCP and TLS, with a manageable performance hit compared to UDP

A novel deep-learning based approach to DNS over HTTPS network traffic detection

Domain name system (DNS) over hypertext transfer protocol secure (HTTPS) (DoH) is currently a new standard for secure communication between DNS servers and end-users. Secure sockets layer (SSL)/transport layer security (TLS) encryption should guarantee the user a high level of privacy regarding the impossibility of data content decryption and protocol identification. Our team created a DoH data set from captured real network traffic and proposed novel deep-learning-based detection models allowing encrypted DoH traffic identification. Our detection models were trained on the network traffic from the Czech top-level domain maintainer, Czech network interchange center (CZ.NIC), and successfully applied to the identification of the DoH traffic from Cloudflare. The reached detection model accuracy was near 95%, and it is clear that the encryption does not prohibit the DoH protocol identification

Your Smart Home Can't Keep a Secret: Towards Automated Fingerprinting of IoT Traffic with Neural Networks

The IoT (Internet of Things) technology has been widely adopted in recent years and has profoundly changed the people's daily lives. However, in the meantime, such a fast-growing technology has also introduced new privacy issues, which need to be better understood and measured. In this work, we look into how private information can be leaked from network traffic generated in the smart home network. Although researchers have proposed techniques to infer IoT device types or user behaviors under clean experiment setup, the effectiveness of such approaches become questionable in the complex but realistic network environment, where common techniques like Network Address and Port Translation (NAPT) and Virtual Private Network (VPN) are enabled. Traffic analysis using traditional methods (e.g., through classical machine-learning models) is much less effective under those settings, as the features picked manually are not distinctive any more. In this work, we propose a traffic analysis framework based on sequence-learning techniques like LSTM and leveraged the temporal relations between packets for the attack of device identification. We evaluated it under different environment settings (e.g., pure-IoT and noisy environment with multiple non-IoT devices). The results showed our framework was able to differentiate device types with a high accuracy. This result suggests IoT network communications pose prominent challenges to users' privacy, even when they are protected by encryption and morphed by the network gateway. As such, new privacy protection methods on IoT traffic need to be developed towards mitigating this new issue

K-resolver: Towards Decentralizing Encrypted DNS Resolution

Centralized DNS over HTTPS/TLS (DoH/DoT) resolution, which has started being deployed by major hosting providers and web browsers, has sparked controversy among Internet activists and privacy advocates due to several privacy concerns. This design decision causes the trace of all DNS resolutions to be exposed to a third-party resolver, different than the one specified by the user's access network. In this work we propose K-resolver, a DNS resolution mechanism that disperses DNS queries across multiple DoH resolvers, reducing the amount of information about a user's browsing activity exposed to each individual resolver. As a result, none of the resolvers can learn a user's entire web browsing history. We have implemented a prototype of our approach for Mozilla Firefox, and used it to evaluate the performance of web page load time compared to the default centralized DoH approach. While our K-resolver mechanism has some effect on DNS resolution time and web page load time, we show that this is mainly due to the geographical location of the selected DoH servers. When more well-provisioned anycast servers are available, our approach incurs negligible overhead while improving user privacy.Comment: NDSS Workshop on Measurements, Attacks, and Defenses for the Web (MADWeb) 202