模拟攻击者利用“域前置”(Domain Fronting)技术逃避审查(重定向、CDN)

已于 2022-08-25 13:36:48 修改
阅读量1.9k 收藏 2
点赞数
分类专栏: Web/系统安全与溯源 文章标签: 网络 服务器 安全
于 2021-06-03 16:38:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/117526922
版权

前情提要

今年3月份,FireEye公司曾发表过一篇报道:《APT29 Domain Fronting with TOR》,里边描述了一种攻击者经常使用的逃避审查机制的技术 Domain Fronting。本文重点介绍一下“域前置”(Domain Fronting,也被意译为“域名幌子”)技术的基本原理和适用场景,国内在这方面的资料不多,抛砖引玉,欢迎大家交流讨论。

“域前置”技术的工作原理

“域前置”技术是一种审查规避技术,主要用于隐蔽通信中的远程端点。“域前置”发生在应用层,主要适用了HTTPS协议进行通信,通信中的远程端点原本是被禁止的,通过使用“域前置”技术,让检测器误认为是一个其他的合法地址,进而绕过检测。核心思想是在不同的通信层使用了不一样的域名。在一个HTTPS请求中,通信外层使用了一个域名:DNS请求和TLS SNI (Server Name Indication);而在通信内层,则使用了另一个域名:HTTP Host Header,这个域名由于在HTTPS加密之下,所以对检测器而言是不可见的。如下图所示:

了解本专栏 订阅专栏 解锁全文
墨痕诉清风
关注
专栏目录
订阅专栏
前置Cobalt Strike逃避IDS审计
m0_50526465的博客
05-10 1648
前置Cobalt Strike逃避IDS审计 前置简介 前置Domain Fronting)基于HTTPS通用规避技术,也被称为前端网络攻击技术。 这是一种用来隐藏Metasploit、Cobalt Strike等团队控制服务器流量,以此来一定程度绕过检查器或防火墙检测的技术,如Amazon、Google、Akamai等大型厂商会提供一些前端技术服务。 前置技术原理(CDN分发) 通过CDN节点将流量转发到真实的C2服务器,其中CDN节点IP通过识别请求的HOST头进行流量转发,利用我们配置
前置技术详解:隐蔽通信技术精髓
最新发布
weixin_31746149的博客
08-06 200
前置Domain Fronting)是一种利用HTTPS的CDN(内容分发网络)或其他代理服务器进行网络请求隐藏的技术。它的主要目的是绕过防火墙,隐藏真实的通信目标。以下是前置的工作原理和应用场景:工作原理:HTTPS握手:客户端向CDN发送HTTPS请求,在TLS握手阶段使用一个允许通过防火墙的域名前置域名)。S...
DomainFronting 域名前置
yzpbright的博客
05-26 378
参考: Domain fronting域名前置网络攻击技术 隐匿的攻击之-Domain Fronting Domain fronting域名前置网络攻击技术 暗度陈仓:基于国内某云的 Domain Fronting 技术实践 国内外CDN域名列表收集项目:DomainFrontingLists ...
前置技术
干铮的博客
03-15 5669
前置Domain Fronting) 基于HTTPS通用规避技术,也被称为前端网络攻击,这是一种用来隐藏Metasploit,Cobalt Strike 等团队控制服务器流量以此来一定程度绕过检查器或防火墙检测的技术,如 Amazon ,Google,Akamai 等大型厂商会提供一些前端技术服务。 前置技术原理 通过CDN节点将流量转发到真实的C2服务器,其中CDN节点ip通过识别请求的Host头进行流量转发。利用我们配置域名的高可信度,我们可以设置一个微软或者谷歌的子域名,可以有效的..
cobaltstrike前置
网络安全。
11-01 4174
给cobaltstrike加前置是一项非常简单而有用的技术,cobaltstrike有了前置可以大大提升其隐蔽性,同时也保护了我们cobaltstrike服务端的真实ip,增加了防守方反制的难度。 cobaltstrike前置 1、登录腾讯云,开启cdn服务。 添加高可信域名。 回源地址设置为vps地址。 添加成功。 2、修改profile文件图中两处,指定Host使得CDN把请求转发到我们的服务器。 https://github.com/rsmudge/Malleable-C2-Profil
渗透前置知识
weixin_30722589的博客
07-06 380
在介绍具体的渗透之前,有些基础知识是必须要先说的。首先Windows自带的cmd命令先过一遍,可以找个ntcmds.chm来学习下,这个在windows 2003上面是自带的,也可以网上下载。2008和2012又新增了一些命令,具体可以去微软的网站上在线看https://technet.microsoft.com/zh-cn/library/cc772390(v=ws.10).as...
DomainFrontingLists:CDN可扩展列表
05-10
域名前沿(Domain Fronting)是一种网络通信技术,它允许用户通过知名的、不受限制的域名来访问可能被审查或封锁的服务,同时隐藏实际的目标域名。这种技术主要利用CDN(内容分发网络)的特性,使得请求在传输过程...
chkdfront:检查域名前置(chkdfront)-它检查您的域名前置是否正常
01-28
chkdfront通过针对您的前端测试目标(前端)来检查您的前端是否正常运行。 MMMMMMMMMMMMMWNK0kdolc;,' ;KMMMMMMMMMMMMMMMMMMMMMMMMMMM MMMMMMMMMN0xl;'. lNMMMMMMMMMMMMMMMMMMMMMMMMMM MMMMMWKxc'. ....
信息安全_Cloudjacking.for.Command.and.Control.pptx
08-14
目录 Domain Fronting 101 什么是 domain fronting? Cloudjacking – CDN 介绍 Cloudjacking – Domain Hijacking Content Delivery ...对威胁攻击者来说有什么利益? How do we fix this issue?我们如何修补这个漏洞?
grammarFrontingpostponement前置与后置学习教案.pptx
09-30
grammarFrontingpostponement前置与后置学习教案.pptx
前置 配置cdn-解决HTTPS-SSL通讯被朔源IP封锁问题
qq_50854662的博客
06-01 416
解决HTTPS-SSL通讯被朔源IP封锁问题
黑客利用前置技术攻击缅甸政府并隐藏恶意活动
smellycat000的专栏
11-18 629
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士思科Talos 的研究人员发现攻击者正在利用合法域名使用域名前置技术隐藏命令和控制流量,攻击缅甸政府。该合法域名是缅甸政府用于路由受攻击...
domain_fronting域名前置检测调研笔记
梦想闹钟
01-04 1149
domain_fronting域名前置检测调研笔记
CDN+FaaS打造攻击前置
Jinmindong
03-27 470
随着攻防对抗形势的白热化发展,对抗升级的过程不断对OPSEC提出更高的要求。现有CDN前置、云函数转发等手段进行C2保护已经具备一定的能力,但也同时存在一些缺陷,本文将结合CDN和FaaS探讨C2保护新的实现过程。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
【基础篇】————22、隐匿攻击之Domain Fronting
Fly_鹏程万里
05-27 1601
0x01 简介 最近看到了一些关于Domain Fronting技术,感觉很有意思,其特点在于,你真正访问的域名并不是你看到的域名,即可以隐藏攻击者的真实地址,并且此技术能够让我们在一些受限制的网络中依然连接到我们的C2服务器,其关键思想是在不同的通信层使用不同的域名,在HTTP(S)请求中,目标域名通常显示在三个关键位置:DNS查询,TLS(SNI)拓展及HTTP主机头中,通常,这三个地方都...
【红队APT】反朔源隐藏&C2项目&CDN前置&云函数&数据中转&DNS转发
今天是几号的博客
04-19 3343
区别于单纯的CDN隐藏IP技术;前置技术采用高权重域名进行伪装,效果要更上一层楼!可以看到这里正常上线,也是简单的进行流量代理,这里我把上面的iptables转发配置清空了,避免干扰 注: 如果中转服务器被拿下的话,那么搜集信息很可能就可以发现请求重定向的痕迹,从而找到真实C2地址。 请求重定向也可以和之前的CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实的C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏的效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值