域前置Cobalt Strike逃避IDS审计
域前置简介
域前置(Domain Fronting)基于HTTPS通用规避技术,也被称为域前端网络攻击技术。
这是一种用来隐藏Metasploit、Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon、Google、Akamai等大型厂商会提供一些域前端技术服务。
域前置技术原理(CDN分发)
通过CDN节点将流量转发到真实的C2服务器,其中CDN节点IP通过识别请求的HOST头进行流量转发,利用我们配置域名的高可信度,如我们可以设置一个微软的子域名,可以有效的躲避DLP、agent等流量检测。原理如下
工作原理(也就是CDN工作原理)
域前置的核心是CDN
CDN工作原理:
同一个IP可以被不同的域名进行绑定加速,再通过HTTP请求包头里的HOST域名来确定访问哪一个。
比如我们ping www.dcpc.com
得到IP:1.81.2.59
通过IP反查域名,可以看到很多域名绑定在这个IP上,这个就是CDN
www.3636.com和www.youka.la都是这个CDN服务器下的域名并且都保定了别名进行CND加速