“夜光”:使用域隐藏代替域前置

最新推荐文章于 2024-08-06 04:22:15 发布
最新推荐文章于 2024-08-06 04:22:15 发布
阅读量841 收藏 1
点赞数
文章标签: java http https linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/118835257
版权

文章来源|MS08067 内网安全知识星球

本文作者:Spark(Ms08067 内网小组成员)

     众所周知,谷歌云和亚马逊云于2018年宣布停止支持域前置技术。在去年8月的DEFCON28上安全研 究人员发布了一款名为“Noctilucent”(夜光)的开源工具。该工具使用TLS1.3协议从某种程度上 复活了域前置技术。这一新技术被安全研究人员称为“域隐藏”。

1、域前置

        域前置是一种隐藏连接真实端点来规避审查的技术,其原理为在不同通信层使用不同的域名:在明文的DNS请求和TLS服务器名称中使用无害的域名来初始化连接,而实际要连接的被封锁域名仅在创建加密的HTTPS连接后发出,使其不以明文暴露给网络审查者。

为了彻底地理解域前置,需要先了解一些HTTP和HTTPS的基础知识。

1.0 SNI

  • SNI(Server Name Indication)是一个TLS的扩展,用于允许多个网站托管在同一个服务器 上。

  • 对于TLS1.3来说,这个扩展是加密的,也就是ESNI(Encrypted Server Name Indication)。

1.1 HTTP基础

  • 在一次HTTP连接中,用户的第一个外部请求是向DNS请求目标web服务器的IP地址 

  • 这是一个未加密的数据包,发送到UDP协议的53端口

  • DNS会返回一个包含目标web服务器IP地址的响应包

  • 该响应包也是未加密的

  • 用户得知了该域名所部署的服务器的IP地址后,会对其发送一个GET请求,并将域名作 为“Host”请求头

  • 也是未加密的数据包,通过TCP协议发送至80端口

  • 服务器返回HTML的内容作为响应

最低0.47元/天 解锁文章
Ms08067安全实验室
关注
利用CDN前置、重定向三种技术隐藏C2的区别
Shanfenglan's blog
10-11 14万+
CATALOG前言对于三种隐藏技术的理解CDN技术隐藏C2前置技术隐藏C2重定向技术隐藏C2三者的区别的总结其他阅读推荐 前言 这个课题前段时间已经分别做过研究,但没有写三者的区别分析,以为自己可以将三种技术永远记在心里,但是事实是确实淡忘一部分知识点,导致现在对三者的理解出现偏差。 反思:以后倘若需要做技术记录,一定要详细详细再详细,有备无患。不能抱有侥幸心理,因为你永远不知道,问题与遗忘哪一个会先来 对于三种隐藏技术的理解 CDN技术隐藏C2 反溯源-cs和msf名上线 利用CDN隐藏C2地址 使用
Noctilucent:使用TLS 1.3逃避检查器,绕过网络防御并融入噪音
03-17
更新2020-08-10-持续的过程很有趣 Cloudflare现在拒绝带有ESNISNI的任何ClientHello,从而有效地打破了Noctilucent的防火墙绕过能力。 在ESNI中发送时,您仍然可以使用任何Cloudflare DNS托管来“隐藏”连接,但是您不能再将未加密的SNI值设置为任意。 作品: $ ./noctilucent-client-macOS -TLSHost www.bitdefender.com -esni -ESNIServerName defcon28.hackthis.computer -HostHeader defcon28.hackthis.computer -serverName www.bitdefender.com [+] Using resolver: https://mozilla.cloudflare-dns.com/dns
前置技术详解:隐蔽通信技术精髓
最新发布
weixin_31746149的博客
08-06 153
前置(Domain Fronting)是一种利用HTTPSCDN(内容分发网络)或其他代理服务器进行网络请求隐藏的技术。它的主要目的是绕过防火墙,隐藏真实的通信目标。以下是前置的工作原理和应用场景:工作原理:HTTPS握手:客户端向CDN发送HTTPS请求,在TLS握手阶段使用一个允许通过防火墙的名(前置名)。S...
隐藏你的C2(使用前置技术隐藏C2服务器,以及使用iptables策略来保护服务器)
Love&Share
12-17 3115
本文将会介绍使用前置技术隐藏C2服务器,以及使用iptables策略来保护服务器
JAVA隐藏、静态方法隐藏以及动态、静态绑定
记录技术成长之路
06-18 3985
1、隐藏 当子类继续父类时,出现相同字段时父类字段不
前置技术
bugsycrack的博客
06-11 303
上面的启动项里,将 example.com 映射到 example.org,然后 example.org 解析到 IP 192.0.2.0,最后是忽略证书错误。原理真的很简单,其实很多人已经在使用GPT-4o编程,当然也可以轻松用GPT-4o制作一个网页版:Chrome 前置启动项生成器,填入 Sheas-Cealer 的 YAML 格式规则,然后封包网页成app或者直接调用,应该就能在其他平台使用了。原理是发布虚假的,SNI 扩展信息里不包含上了名单的名,以绕过深度包检测。
夜光JavaScript事件拦截器「Luminous: JavaScript events blocker」-crx插件
03-09
这些工具是至关重要的,但是我们不可避免地需要做出让步来访问许多网站,因为我们在网络上大量使用JavaScript。例如,当您访问Google翻译网站(包含3个扩展名(HTTPS无处不在,uBlock Origin和ScriptSafe)和...
统计某年夜光总量、夜光增长率等夜光数据
06-17
在这个项目中,我们将探讨如何使用IDL来统计某年的夜光总量和夜光增长率,这将帮助我们理解特定地区的经济发展、人口分布以及能源消耗等信息。 首先,让我们了解夜光遥感的基本原理。通常,我们使用夜光遥感数据...
20 数据:最新·2014-2019年中国各个区县城市夜光指数数据汇总【具体分为区夜光指数和区夜光扩张活力指数】.zip
06-19
20 数据:最新·2014-2019年中国各个区县城市夜光指数数据汇总【具体分为区夜光指数和区夜光扩张活力指数】.zip
JavaEE就业班(夜光)③:SpringData开发.docx
09-19
### JavaEE就业班(夜光)③:SpringData开发 #### 一、Spring Data简介与优势 Spring Data 是一个用于简化数据库访问并支持云服务的开源框架。它旨在简化数据库访问逻辑,使得开发者能够更加关注业务逻辑而非底层...
前置技术和C2隐藏
蚁景网安学院
11-09 1516
前置又译为名幌子,是一种隐藏连接真实端点来规避的技术。在应用层上运作时,前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。
前置技术的原理与CS上的实现
热门推荐
Shanfenglan's blog
08-02 35万+
原理 参考资料:前置技术的原理以及在CS上的实现 假设有两个主机,名分别为www.a.com与www.b.com。这两个主机都是被ip为1.1.1.1的cdn进行加速的。 这时候使用curl命令请求cdn 1.1.1.1,并自定义host段为www.b.com的话。就会返回www.b.com的页面。 命令为:curl 1.1.1.1 -H "Host: www.b.com" -v 同理请求同样的cdn,但是将host改为www.a.com,这时候就会返回A页面的信息。 如果将curl 后请求的ip改为
Java隐藏使用和优势
weixin_51355516的博客
12-01 322
隐藏 Java中的即代表类中的成员变量,隐藏即为子类和父类同时存在相同的成员变量,可以和方法的覆盖形成对比进行记忆。 代码示例: 在这里插入代码片
前置通信过程和溯源思路
博客地址 www.sec0nd.top
08-08 2176
当天下午收到了一个评论,是询问关于涉及文中提到前置技术,是否达到了完美的隐藏了ip,是否真的无法溯源。对于这个问题,我没有考虑好,接连回了三条,后来又被我删了。因为也是第一次接触前置这个东西,打算写一篇关于前置的文章来解释我的理解,同时下午和晚上也翻看了一些文章,也有了一些新的理解。前置可以躲避安全设备和一般的人为发现从流量角度来说,是无法找出的(公钥加密目前还不太好破解),但是可以从其他角度入手。...
前置Cobalt Strike逃避IDS审计
m0_50526465的博客
05-10 1639
前置Cobalt Strike逃避IDS审计 前置简介 前置(Domain Fronting)基于HTTPS通用规避技术,也被称为前端网络攻击技术。 这是一种用来隐藏Metasploit、Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon、Google、Akamai等大型厂商会提供一些前端技术服务。 前置技术原理(CDN分发) 通过CDN节点将流量转发到真实的C2服务器,其中CDN节点IP通过识别请求的HOST头进行流量转发,利用我们配置
【红队APT】反朔源隐藏&C2项目&CDN前置&云函数&数据中转&DNS转发
今天是几号的博客
04-19 3308
区别于单纯的CDN隐藏IP技术;前置技术采用高权重名进行伪装,效果要更上一层楼!可以看到这里正常上线,也是简单的进行流量代理,这里我把上面的iptables转发配置清空了,避免干扰 注: 如果中转服务器被拿下的话,那么搜集信息很可能就可以发现请求重定向的痕迹,从而找到真实C2地址。 请求重定向也可以和之前的CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实的C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏的效果。
夜光遥感数据挖掘:技术优势与应用探索
2、深度学习集成:利用深度学习模型,如卷积神经网络(CNN)和递归神经网络(RNN),对夜光遥感数据进行智能解析,提高自动化程度和分析效率。 3、实时监测与预警:随着遥感卫星技术的进步,未来的夜光遥感数据更新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值