Panchenko et al. Website Fingerprinting at Internet Scale. NDSS16
Website Fingerprinting(웹사이트 지문 추적)은 암호화된 연결에서 데이터 흐름 패턴을 분석하여 클라이언트가 액세스한 웹 페이지를 식별하는 공격 기술이다.
일반적으로 인터넷 사용자는 익명성과 개인정보 보호를 위해 VPN(Virtual Private Network) 이나 Tor(Tor 브라우저) 와 같은 익명화 네트워크를 사용한다.
The Tor network – the most popular system nowadays that is used by millions of daily users – promises to hide the relationship between the sender
of a message and its destination from a local observer. This
is the entity that eavesdrops traffic between the sender and the
first anonymization node
그러나 웹사이트 지문 추적은 이러한 익명화, 암호화된 연결에서도 클라이언트가 접근한 웹 페이지의 내용을 알아낼 수 있는 공격 방법이다.
웹사이트 지문 추적은 데이터 흐름의 특징을 분석하여 패킷 크기, 방향, 타이밍 등과 같은 정보를 활용한다. 예를 들어, 각 웹 페이지는 서로 다른 리소슬(이미지, 스크립트, 스타일시트 등)으로 구성되어 있으며, 이들 리소스는 특정한 데이터 패턴을 가지고 전송된다. 따라서 공격자는 이러한 데이터 패턴을 분석하여 특정 웹 페이지에 대한 "지문"을 생성하고 저장한다.
Website Fingerprinting은 클라이언트 접근한 웹사이트의 데이터 흐름을 분석하여 지문을 만들고 저장한다.
그 후, 동일한 익명화된 연결에서 새로운 데이터가 전송될 때마다 저장된 지문과 비교함으로써 클라이언트가 접근한 웹 페이지를 식별할 수 있다.이때 주요 요소는 패킷 크기와 방향의 변동성이다. 예를 들어, 특정 웹 페이지에 접근할 때 해당 리소스의 크기와 순서에 따라 전송되는 패킷 크기 및 방향의 변동성도 일정하게 나타난다. 공격자는 이러한 분석과 비교 작업을 반복함으로써 클라이언트가 접근한 실제 웹 페이지들을 식별할 수 있다.따라서 익명화된 연결 내에서 암호화된 데이터도 해독하지 않으면서도 클라이언트의 활동 및 방문한 사이트에 대해 정보를 추론할 수 있게 된다.
웹 사이트 지문 추적은 로컬 도청자와 같은 상대적으로 취약하지만 충분한 메타 정보(패킷 크기 및 방향)만 활용하여 목적에 도달할 수 있다. 그렇지만 최근에는 보다 정교하고 복잡한 기법들도 개발된다. 이러한 공격 기술에 대응하기 위해서는 익명화 네트워크 및 프록시 서비스 개발자들은 보안 강화 및 방어 메커니즘을 개선하는 것이 중요하다.
요약
The website fingerprinting attack aims to identify the content (i.e., a webpage accessed by a client) of encrypted and anonymized connections by observing patterns of data flows such as packet size and direction.
((For example, each web page is composed of different resources (such as images, scripts, stylesheets), and these resources are transmitted with specific data patterns. Therefore, the attacker analyzes these data patterns to generate and store a "fingerprint" for a specific web page.))
This attack can be performed by leveraging sufficient metadata (such as packet size and direction) with relatively weaker adversaries like local eavesdroppers.
웹 사이트 지문 추적 공격은 패킷 크기와 방향과 같은 데이터 흐름의 패턴을 관찰하여 암호화된 익명화된 연결의 내용(즉, 클라이언트가 접근한 웹 페이지)을 식별하는 것을 목표로 합니다.
예를 들어, 각 웹 페이지는 이미지, 스크립트, 스타일시트 등과 같은 다른 리소스로 구성되며, 이러한 리소스는 특정한 데이터 패턴으로 전송됩니다. 따라서 공격자는 이러한 데이터 패턴을 분석하여 특정 웹 페이지에 대한 "지문"을 생성하고 저장합니다.
이러한 공격은 로컬 수동 도청자에 의해 수행될 수 있으며, 익명화 네트워크인 Tor와 같은 익명 네트워크의 공격자 모델에서 가장 약한 공격자 중 하나입니다.