fbpx
维基百科

域前置

十一月 15, 2023

域前置(英語:Domain fronting),又译域名幌子[1][2],是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。[3][4]

TLS加密连接建立后,HTTP Host Header 使CDN重路由到同一CDN的另一后端网站上。

此技术的原理为在不同通信层使用不同的域名。在明文DNS请求和TLS服务器名称指示(SNI)中使用无害的域名来初始化连接、公布给审查者,而实际要连接的「敏感」域名仅在建立加密的HTTPS连接后发出,使其不以明文暴露给网络审查者。[5][6][7]

这种举动在被封锁的站点与无害站点为同一个大型服务提供商时较为可行,例如由内容分发网络提供的服务。[5][6][7]此时审查者通常很难区分被伪装流量与合法流量的特点,迫使审查者选择放行所有看似无害的流量,或者选择彻底封锁此域的流量。而彻底封锁可能带来显著的附加损害。[8][9]

使用情况 编辑

Signal加密即时通讯应用程式在 2016-2018 年内置了域前置来规避在埃及阿曼卡塔尔阿拉伯联合酋长国的屏蔽。[9]

Telegram为应对Roskomnadzor的屏蔽曾使用亚马逊云计算服务进行域前置。[10]

Tor使用一种称为meek网桥的域前置实现来规避审查。[11]俄罗斯黑客组织Cozy Bear(或称APT29)使用Tor的meek网桥来隐藏恶意流量。流量就像连接到使用CDN的普通网站一样。[12][13]

禁用 编辑

Cloudflare在2016年的一些修改让基于其CDN的域前置不再工作。[14]

Google于2018年4月宣布将在Google應用服務引擎禁用域前置,称这从未是Google有意支持的一项功能。[15][16]亞馬遜公司也在不久后决定停用CloudFront上的域前置兼容,表示这已被视为违反亞馬遜網路服務系統(AWS)服务条款。[17][18][10][19][20]有报道认为,Google和亚马逊做此决定的部分原因是来自俄罗斯政府的压力,因Telegram在当地使用这两家云服务提供商进行域前置活动。[21]

Tor早前也使用Google和亚马逊的云服务进行域前置以保护用户活动,在两者相继关闭域前置兼容后,Tor将域前置服务转移到尚未决定关闭该兼容的Microsoft Azure服务[22],但尚不知微软会否对其提供持续支持[23],微软公司没有回应CyberScoop提出的置评请求[22]

虽然域前置技术可以帮助用户绕过互联网审查,但黑客组织和恶意软件也会使用该技术。FireEye曾报道称,与俄罗斯相关的黑客组织APT29使用该技术从目标网络中窃取数据。[12]Cyber​​Ark等公司则详细介绍了恶意软件如何利用该技术控制僵尸网络賽風(Psiphon)总裁迈克尔·赫尔(Michael Hull)告诉媒体Cyber​​Scoop,他公司的产品从未依赖域前置技术,并将这种做法描述为“解决难题的一个捷径”、“域前置本身不是很有效,结合混淆、HTTP标头修改、传输碎片化等一系列技术才能击败强大的审查者,多元化审查规避工具包的重要性不容小视”,并补充道:“域前置正在击溃内容分发网络的设计,这也是亚马逊和谷歌禁止该技术的原因。”Tor发言人Whited则不太同情两公司的决定,并指责这两家公司作出了轻率的决定,终结了世界的各地记者活动家的一种非常重要的通信手段。[22]

2018年7月左右的互联网工程任务组(IETF)会议上,苹果公司CloudflareMozilla的工程师在一项名为“加密服务器名称指示(ESNI)”的新协议上取得了进展,该协议将能解决TLS SNI暴露给窃听者的问题。但是,该协议的定稿和部署可能仍需数年。[22]

兼容情况 编辑

不完全统计,目前兼容域前置的CDNAutomatticFastlyIncapsula英语IncapsulaMicrosoft AzureStackPath

不少网站未使用CDN,但是其HTTP服务器接受无SNI或不同SNI连接,因此使用者也可以使用域前置绕过对于它们的检测SNI的屏蔽。[24]

谷歌网页服务器也兼容域前置[24]

参考资料 编辑

  1. ^ . 安全牛. [2017-08-31]. (原始内容存档于2022-03-09). 
  2. ^ . 美国之音. 2018-05-09 [2022-05-04]. (原始内容存档于2022-05-04). 
  3. ^ Fifield, David; Lan, Chang; Hynes, Rod; Wegmann, Percy; Paxson, Vern. Blocking-resistant communication through domain fronting (PDF). Proceedings on Privacy Enhancing Technologies. 2015, 2015 (2): 46–64 [2017-01-03]. ISSN 2299-0984. doi:10.1515/popets-2015-0009. (原始内容 (PDF)于2020-11-08) –通过De Gruyter. 
  4. ^ MottoIN. 模拟攻击者利用“域前置”(Domain Fronting)技术逃避审查. 搜狐. 2017-07-07 [2017-08-31]. (原始内容于2017-09-01). 
  5. ^ 5.0 5.1 Encrypted chat app Signal circumvents government censorship. Engadget. [2017-01-04]. (原始内容于2019-03-23). 
  6. ^ 6.0 6.1 Greenberg, Andy. Encryption App ‘Signal’ Is Fighting Censorship With a Clever Workaround. WIRED. [2017-01-04]. (原始内容于2017-07-11) (美国英语). 
  7. ^ 7.0 7.1 Domain Fronting and You. blog.attackzero.net. [2017-01-04]. (原始内容于2018-10-21). 
  8. ^ doc/meek – Tor Bug Tracker & Wiki. [2017-01-04]. (原始内容于2016-12-13). 
  9. ^ 9.0 9.1 . signal.org. 2016-12-21 [2021-10-10]. (原始内容存档于2022-06-09) (美国英语). 
  10. ^ 10.0 10.1 Brandom, Russell. . The Verge. 2018-04-30 [2021-10-10]. (原始内容存档于2020-11-09) (英语). 
  11. ^ . [2021-04-13]. (原始内容存档于2021-07-05) (美国英语). 
  12. ^ 12.0 12.1 . FireEye. [2020-09-28]. (原始内容存档于2021-06-12) (英语). 
  13. ^ . Cofense. 2018-12-13 [2020-09-28]. (原始内容存档于2021-04-16) (美国英语). 
  14. ^ . Tor Bug Tracker. [12 May 2020]. (原始内容存档于2020-10-31). 
  15. ^ Brandom, Russell. A Google update just created a big problem for anti-censorship tools. The Verge. [2018-04-19]. (原始内容于2020-12-19) (美国英语). 
  16. ^ Google 关闭域前置,影响反审查工具. Solidot. 2018-04-19 [2018-04-22]. (原始内容于2018-08-29). 
  17. ^ Enhanced Domain Protections for Amazon CloudFront Requests. (原始内容于2020-11-01). 
  18. ^ A letter from Amazon. signal.org. 2018-05-01 [2021-10-10]. (原始内容于2019-01-03). 
  19. ^ As Google and AWS kill domain fronting, users must find a new way to fight censorship - TechRepublic. [2018-05-03]. (原始内容于2020-10-28). 
  20. ^ . [2018-05-03]. (原始内容存档于2018-05-04). 
  21. ^ Amazon and Google bow to Russian censors in Telegram battle. Fast Company. 2018-05-04 [2018-05-09]. (原始内容于2018-05-10) (美国英语). 
  22. ^ 22.0 22.1 22.2 22.3 Domain fronting has a dwindling future. cyberscoop. Scoop News Group. 2018-07-24 [2018-08-29]. (原始内容于2020-09-29). 
  23. ^ steph. Domain Fronting Is Critical to the Open Web. Tor Blog. [2021-10-10]. (原始内容于2020-12-19). 
  24. ^ 24.0 24.1 Chrisment, Isabelle; Goichot, Antoine; Cholez, Thibault; Shbair, Wazen M. Efficiently Bypassing SNI-based HTTPS Filtering (PDF). IFIP/IEEE International Symposium on Integrated Network Management (IM 2015). Ottawa, Canada: 990–995. 2015-05-11. ISBN 978-1-4799-8241-7. S2CID 14963313. doi:10.1109/INM.2015.7140423. (原始内容于2021-08-12). The evaluation also shows that most of TLS servers implement backward compatibility following RFC6066. This explains why TLS servers always go further in the handshake process. For many years, SNI has not deployed widely in browsers and client-side systems and this give the opportunity to such systems accessing HTTPS services 

参见 编辑

十一月 15, 2023
域前置, 此條目應避免有陳列雜項, 瑣碎資料的部分, 2021年6月15日, 請協助將有關資料重新編排成連貫性的文章, 安置於適當章節或條目內, 英語, domain, fronting, 又译域名幌子, 是一种隐藏连接真实端点来规避互联网审查的技术, 在应用层上运作时, 使用户能通过https连接到被屏蔽的服务, 而表面上像在与另一个完全不同的站点通信, tls加密连接建立后, http, host, header, 使cdn重路由到同一cdn的另一后端网站上, 此技术的原理为在不同通信层使用不同的域名, 在明文. 此條目應避免有陳列雜項 瑣碎資料的部分 2021年6月15日 請協助將有關資料重新編排成連貫性的文章 安置於適當章節或條目內 域前置 英語 Domain fronting 又译域名幌子 1 2 是一种隐藏连接真实端点来规避互联网审查的技术 在应用层上运作时 域前置使用户能通过HTTPS连接到被屏蔽的服务 而表面上像在与另一个完全不同的站点通信 3 4 TLS加密连接建立后 HTTP Host Header 使CDN重路由到同一CDN的另一后端网站上 此技术的原理为在不同通信层使用不同的域名 在明文的DNS请求和TLS服务器名称指示 SNI 中使用无害的域名来初始化连接 公布给审查者 而实际要连接的 敏感 域名仅在建立加密的HTTPS连接后发出 使其不以明文暴露给网络审查者 5 6 7 这种举动在被封锁的站点与无害站点为同一个大型服务提供商时较为可行 例如由内容分发网络提供的服务 5 6 7 此时审查者通常很难区分被伪装流量与合法流量的特点 迫使审查者选择放行所有看似无害的流量 或者选择彻底封锁此域的流量 而彻底封锁可能带来显著的附加损害 8 9 目录 1 使用情况 2 禁用 3 兼容情况 4 参考资料 5 参见使用情况 编辑Signal加密即时通讯应用程式在 2016 2018 年内置了域前置来规避在埃及 阿曼 卡塔尔和阿拉伯联合酋长国的屏蔽 9 Telegram为应对Roskomnadzor的屏蔽曾使用亚马逊云计算服务进行域前置 10 Tor使用一种称为meek网桥的域前置实现来规避审查 11 俄罗斯黑客组织Cozy Bear 或称APT29 使用Tor的meek网桥来隐藏恶意流量 流量就像连接到使用CDN的普通网站一样 12 13 禁用 编辑Cloudflare在2016年的一些修改让基于其CDN的域前置不再工作 14 Google于2018年4月宣布将在Google應用服務引擎禁用域前置 称这从未是Google有意支持的一项功能 15 16 亞馬遜公司也在不久后决定停用CloudFront上的域前置兼容 表示这已被视为违反亞馬遜網路服務系統 AWS 服务条款 17 18 10 19 20 有报道认为 Google和亚马逊做此决定的部分原因是来自俄罗斯政府的压力 因Telegram在当地使用这两家云服务提供商进行域前置活动 21 Tor早前也使用Google和亚马逊的云服务进行域前置以保护用户活动 在两者相继关闭域前置兼容后 Tor将域前置服务转移到尚未决定关闭该兼容的Microsoft Azure服务 22 但尚不知微软会否对其提供持续支持 23 微软公司没有回应CyberScoop提出的置评请求 22 虽然域前置技术可以帮助用户绕过互联网审查 但黑客组织和恶意软件也会使用该技术 FireEye曾报道称 与俄罗斯相关的黑客组织APT29使用该技术从目标网络中窃取数据 12 Cyber Ark等公司则详细介绍了恶意软件如何利用该技术控制僵尸网络 賽風 Psiphon 总裁迈克尔 赫尔 Michael Hull 告诉媒体Cyber Scoop 他公司的产品从未依赖域前置技术 并将这种做法描述为 解决难题的一个捷径 域前置本身不是很有效 结合混淆 HTTP标头修改 传输碎片化等一系列技术才能击败强大的审查者 多元化审查规避工具包的重要性不容小视 并补充道 域前置正在击溃内容分发网络的设计 这也是亚马逊和谷歌禁止该技术的原因 Tor发言人Whited则不太同情两公司的决定 并指责这两家公司作出了轻率的决定 终结了世界的各地记者和活动家的一种非常重要的通信手段 22 2018年7月左右的互联网工程任务组 IETF 会议上 苹果公司 Cloudflare和Mozilla的工程师在一项名为 加密服务器名称指示 ESNI 的新协议上取得了进展 该协议将能解决TLS SNI暴露给窃听者的问题 但是 该协议的定稿和部署可能仍需数年 22 兼容情况 编辑不完全统计 目前兼容域前置的CDN有 Automattic Fastly Incapsula 英语 Incapsula Microsoft Azure StackPath 不少网站未使用CDN 但是其HTTP服务器接受无SNI或不同SNI连接 因此使用者也可以使用域前置绕过对于它们的检测SNI的屏蔽 24 谷歌网页服务器也兼容域前置 24 参考资料 编辑 APT29网络间谍使用 域名幌子 技术规避检测 安全牛 2017 08 31 原始内容存档于2022 03 09 人权组织望国会说服因特网公司支持躲避新闻审查技术 美国之音 2018 05 09 2022 05 04 原始内容存档于2022 05 04 Fifield David Lan Chang Hynes Rod Wegmann Percy Paxson Vern Blocking resistant communication through domain fronting PDF Proceedings on Privacy Enhancing Technologies 2015 2015 2 46 64 2017 01 03 ISSN 2299 0984 doi 10 1515 popets 2015 0009 原始内容存档 PDF 于2020 11 08 通过De Gruyter MottoIN 模拟攻击者利用 域前置 Domain Fronting 技术逃避审查 搜狐 2017 07 07 2017 08 31 原始内容存档于2017 09 01 5 0 5 1 Encrypted chat app Signal circumvents government censorship Engadget 2017 01 04 原始内容存档于2019 03 23 6 0 6 1 Greenberg Andy Encryption App Signal Is Fighting Censorship With a Clever Workaround WIRED 2017 01 04 原始内容存档于2017 07 11 美国英语 7 0 7 1 Domain Fronting and You blog attackzero net 2017 01 04 原始内容存档于2018 10 21 doc meek Tor Bug Tracker amp Wiki 2017 01 04 原始内容存档于2016 12 13 9 0 9 1 Doodles stickers and censorship circumvention for Signal Android signal org 2016 12 21 2021 10 10 原始内容存档于2022 06 09 美国英语 10 0 10 1 Brandom Russell Amazon Web Services starts blocking domain fronting following Google s lead The Verge 2018 04 30 2021 10 10 原始内容存档于2020 11 09 英语 meek wiki 2021 04 13 原始内容存档于2021 07 05 美国英语 12 0 12 1 APT29 Domain Fronting With TOR FireEye 2020 09 28 原始内容存档于2021 06 12 英语 Domain Fronting Phishing Attacks and What CISOs Need to Know Cofense 2018 12 13 2020 09 28 原始内容存档于2021 04 16 美国英语 14256 Clarify whether Cloudflare s Universal SSL thing works with meek Tor Bug Tracker amp Wiki Tor Bug Tracker 12 May 2020 原始内容存档于2020 10 31 Brandom Russell A Google update just created a big problem for anti censorship tools The Verge 2018 04 19 原始内容存档于2020 12 19 美国英语 Google 关闭域前置 影响反审查工具 Solidot 2018 04 19 2018 04 22 原始内容存档于2018 08 29 Enhanced Domain Protections for Amazon CloudFront Requests 原始内容存档于2020 11 01 A letter from Amazon signal org 2018 05 01 2021 10 10 原始内容存档于2019 01 03 As Google and AWS kill domain fronting users must find a new way to fight censorship TechRepublic 2018 05 03 原始内容存档于2020 10 28 Amazon closes anti censorship loophole on its servers BSOD Software News 2018 05 03 原始内容存档于2018 05 04 Amazon and Google bow to Russian censors in Telegram battle Fast Company 2018 05 04 2018 05 09 原始内容存档于2018 05 10 美国英语 22 0 22 1 22 2 22 3 Domain fronting has a dwindling future cyberscoop Scoop News Group 2018 07 24 2018 08 29 原始内容存档于2020 09 29 steph Domain Fronting Is Critical to the Open Web Tor Blog 2021 10 10 原始内容存档于2020 12 19 24 0 24 1 Chrisment Isabelle Goichot Antoine Cholez Thibault Shbair Wazen M Efficiently Bypassing SNI based HTTPS Filtering PDF IFIP IEEE International Symposium on Integrated Network Management IM 2015 Ottawa Canada 990 995 2015 05 11 ISBN 978 1 4799 8241 7 S2CID 14963313 doi 10 1109 INM 2015 7140423 原始内容存档于2021 08 12 The evaluation also shows that most of TLS servers implement backward compatibility following RFC6066 This explains why TLS servers always go further in the handshake process For many years SNI has not deployed widely in browsers and client side systems and this give the opportunity to such systems accessing HTTPS services 参见 编辑Telex 依附的自由 取自 https zh wikipedia org w index php title 域前置 amp oldid 76362375, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。