یک مطالعه جدید نشان می‌دهد که DNS رمزگذاری‌شده، با وجود گسترش روزافزون در اینترنت، همچنان به‌طور کامل مانع افشای اطلاعات نمی‌شود. بر اساس یافته‌های این پژوهش، برخی داده‌های موجود در هدر (Header) بسته‌های شبکه همچنان می‌توانند به مهاجمان امکان شناسایی و تحلیل نوع ترافیک را بدهند؛ مسئله‌ای که در محیط‌های اینترنت اشیا از اهمیت بیشتری برخوردار است.

DNS رمزگذاری‌شده؛ امنیت محتوا، اما نه همه چیز

فناوری‌های DNS over TLS (DoT)، DNS over HTTPS (DoH) و DNS over QUIC (DoQ) سال‌هاست برای محافظت از محتوای درخواست‌های DNS به‌کار گرفته می‌شوند و امکان مشاهده مستقیم این درخواست‌ها را برای ناظران شبکه از بین می‌برند. با این حال، یک پژوهش جدید نشان می‌دهد که رمزگذاری این پروتکل‌ها تنها محتوای پیام‌ها را پوشش می‌دهد و برخی اطلاعات موجود در هدر بسته‌های شبکه همچنان به‌صورت متن ساده باقی می‌مانند. به گفته پژوهشگران، همین داده‌های جانبی می‌توانند برای شناسایی الگوهای رفتاری ترافیک و تحلیل فعالیت‌های شبکه مورد استفاده قرار گیرند.

تمرکز پژوهش بر DNS رمزگذاری‌شده ،اینترنت اشیا و لینک‌های بی‌سیم

در این مطالعه، محققان سناریویی را بررسی کرده‌اند که در آن یک مهاجم روی لینک بی‌سیم بین یک دستگاه کوچک و درگاه شبکه قرار دارد. در چنین شرایطی، مهاجم می‌تواند بسته‌های DNS را از سایر داده‌ها تفکیک کرده، ترافیک DNS را مسدود کند یا حتی پروفایل رفتاری دستگاه را استخراج کند.

به گفته پژوهشگران، شناسایی جریان ترافیک نخستین گام برای انجام چنین حملاتی است.

نقش داده‌های باقی‌مانده در هدرهای رمزگذاری‌نشده

برخلاف تصور رایج، پژوهش نشان می‌دهد که فیلدهایی مانند شماره توالی TCP، پورت‌های UDP، آدرس‌های IP و سایر داده‌های قابل مشاهده در هدر، همچنان می‌توانند ماهیت ترافیک رمزگذاری‌شده را لو بدهند.

یکی از پژوهشگران این مطالعه تأکید کرده است که اپراتورها نباید این داده‌های درظاهر بی‌اهمیت را نادیده بگیرند، زیرا همین اطلاعات می‌تواند سرنخ‌هایی از نوع محتوای رمزگذاری‌شده ارائه دهد.

راهکار پیشنهادی: حذف هدر و فشرده‌سازی پیشرفته

پژوهشگران برای کاهش این ریسک، بر توسعه DNS روی پروتکل CoAP تمرکز کرده‌اند؛ رویکردی که پیش‌تر در قالب RFC 9953 در IETF ارائه شده است.

در این روش، دو تکنیک کلیدی معرفی شده است:

• Block-wise transfer برای یکنواخت‌سازی اندازه بسته‌ها
• SCHC برای فشرده‌سازی و حذف فیلدهای هدر

محققان همچنین مفهوم «حذف هدر» (Header Elision) را به‌عنوان یک راهکار بنیادی برای کاهش قابل‌مشاهده بودن الگوهای ترافیکی پیشنهاد داده‌اند.

کاهش شناسایی کامل سطح حمله

در آزمایش‌های انجام‌شده روی بیش از ۵۸ هزار جفت درخواست و پاسخ و ۲۹۶ سناریوی مختلف، مدل یادگیری ماشین Random Forest مورد استفاده قرار گرفت.

نتایج نشان داد دقت شناسایی مهاجم بین ۷۷ تا ۸۶ درصد باقی می‌ماند؛ هرچند در حالت حدس تصادفی این عدد حدود ۵۰ درصد است. به این ترتیب، اگرچه سطح حمله تضعیف می‌شود، اما به‌طور کامل از بین نمی‌رود.

دو منبع اصلی افشای اطلاعات

پژوهش دو عامل اصلی را به‌عنوان منبع نشت اطلاعات معرفی می‌کند:

•  آدرس‌ها، پورت‌ها و نام‌های میزبان قابل مشاهده
•   شمارنده‌های یکنواخت و الگوهای زمانی

این عوامل باعث می‌شوند مهاجم بتواند ریتم درخواست‌های DNS و تبادل داده را حتی در شرایط رمزگذاری‌شده تشخیص دهد.

چالش‌های نرم‌افزاری و نقش TinyDTLS

یکی از یافته‌های مهم پژوهش مربوط به کتابخانه TinyDTLS است که در برخی پیاده‌سازی‌ها، اطلاعات شمارنده را در nonce رمزنگاری کپی می‌کند. این موضوع باعث ایجاد الگوهای قابل تشخیص در ترافیک رمزگذاری‌شده می‌شود.

راهکارهای تکمیلی: از QUIC تا تغییر الگوی زمانی

پژوهشگران علاوه بر حذف هدر، چند راهکار دیگر نیز پیشنهاد می‌دهند:

• استفاده از QUIC، OSCORE و Oblivious DNS برای مخفی‌سازی بهتر
• تغییر الگوهای زمانی ارسال بسته‌ها برای جلوگیری از تحلیل رفتاری

با این حال، آن‌ها تأکید می‌کنند که در برخی محیط‌های IoT محدود، تغییر زمان‌بندی ممکن نیست.

رمزگذاری محتوا به‌تنهایی کافی نیست

این مطالعه نشان می‌دهد که امنیت DNS رمزگذاری‌شده اگرچه پیشرفت قابل توجهی داشته، اما هنوز در برابر تحلیل ترافیک مبتنی بر هدر و الگوهای رفتاری آسیب‌پذیر است؛ به‌ویژه در محیط‌های اینترنت اشیا محدودیت‌های DNS رمزگذاری‌شده  بیشتر نمایان می‌شود و منابع محدود و ساختار ارتباطی ساده‌تر دارند.

حتی اگر متن پیام کاملاً رمز شده باشد، «متادیتا» شامل هدرها، زمان‌بندی و الگوهای رفتاری می‌تواند همان نقش محتوای اصلی را بازی کند. این موضوع نشان می‌دهد که حملات تحلیل ترافیک (Traffic Analysis) همچنان یکی از چالش‌های جدی امنیت شبکه باقی مانده‌اند.

نکته مهم‌تر این است که در IoT، به دلیل محدودیت منابع و ساختار ساده‌تر ارتباطات، حذف کامل این نشانه‌ها بسیار دشوار است. بنابراین آینده امنیت شبکه‌ها احتمالاً به سمت ترکیبی از چند لایه دفاعی خواهد رفت: رمزگذاری، حذف هدر، فشرده‌سازی و حتی دستکاری الگوهای زمانی.

گزارش‌های بین‌المللی از جمله OONI و رسانه‌هایی مانند Wired نشان می‌دهد که DNS رمزگذاری‌شده اگرچه برای افزایش حریم خصوصی طراحی شده، اما در عمل همچنان در برابر تحلیل و دستکاری ترافیک آسیب‌پذیر است.

نمونه‌هایی از ایران نیز نشان داده‌اند که در شرایط اعمال سیاست‌های محدودکننده اینترنت، سرویس‌های DoH و DoT یا به‌طور کامل مسدود شده‌اند یا با اختلال در لایه شبکه مواجه شده‌اند.

 همچنین گزارش‌های امنیتی مرتبط با کمپین‌های DNS hijacking تأکید دارند که این پروتکل همچنان یکی از نقاط کلیدی حمله و تحلیل در عملیات‌های سایبری محسوب می‌شود.