域前置(Domain Fronting)
基于HTTPS通用规避技术,也被称为域前端网络攻击,这是一种用来隐藏Metasploit,Cobalt Strike 等团队控制服务器流量以此来一定程度绕过检查器或防火墙检测的技术,如 Amazon ,Google,Akamai 等大型厂商会提供一些域前端技术服务。
域前置技术原理
通过CDN节点将流量转发到真实的C2服务器,其中CDN节点ip通过识别请求的Host头进行流量转发。利用我们配置域名的高可信度,我们可以设置一个微软或者谷歌的子域名,可以有效的规避DLP,agent等流量检测。
CDN请求原理
在我们访问目标多个网站的时候,发现指向同一个ip,这个ip就是CDN服务器,CDN通过请求包中的host域名进行转发我们所访问的服务器。
访问实验
36.99.196.218为CDN服务器
www.xue338.com www.ysds.cn两个域名都绑定在这台服务器上。
curl测试访问
没有通过curl加入host请求字段信息,不经过CDN解析访问。
在curl里面指定CDN的IP,通过CDN转发访问域名
上面两种放法都可以访问 www.xue338.com 域名里的内容。同一个 cdn 访问不同的网址 在 host 加上你要访问的域名请求头,cdn 就可以知道你与哪个域名进行通信,就会得到指向网页的内容。当访问 www.phb123.com 这个域名时候,实际上也是访问同一个 cdn 服务器,它 的 ip 也是 36.99.196.218
在curl里把 ip替换成域名www.phb123.com 因为www.phb123.com也是指向 cdn服务器所以 www.xue338.com 访问的也是正常内容。
域前置基础就是基于这个原理,所以我们可以申请一批高信誉的域如接近microsoft baidu.com google.com amazon.cn 类似这类域名,然后在请求头里加上这种高信誉域名,另外因为是 cdn 服务器,所以 cdn 服务器会隐藏 IP,所以 C2服务器的真实得 ip 也会被自动隐藏。