Фронтинг домена - Domain fronting

После того, как шифрование TLS установлено, заголовок HTTP перенаправляется на другой домен, размещенный в том же CDN.

Фронтинг домена это техника для цензура в Интернете обход, использующий разные доменные имена на разных уровнях коммуникации HTTPS соединение для незаметного подключения к другому целевому домену, который не может быть различим для третьих лиц, отслеживающих запросы и подключения.

Из-за причуд в сертификаты безопасности, системы перенаправления сети доставки контента (CDN), используемые как «доменные фронты», и защита, обеспечиваемая HTTPS: для любого данного доменного имени цензоры обычно не могут отличить обходной («доменный») трафик от открытого нефронтированного трафика. Таким образом, они вынуждены либо разрешить весь трафик к домену, включая трафик обхода, либо полностью заблокировать фронт домена, что может привести к дорогостоящему сопутствующему ущербу и было уподоблено «блокировке остальной части Интернета».[примечание 1]

Фронтинг домена не соответствует Стандарты HTTP которые требуют, чтобы расширение SNI и заголовок HTTP Host содержали один и тот же домен. Крупные поставщики облачных услуг, включая Amazon и Google, в настоящее время активно запрещают доступ к доменам, что сделало его «в значительной степени нежизнеспособным».[примечание 1] как метод обхода цензуры.

Технические детали

Основа

Основой для фронтинга домена является использование разных доменных имен на разных уровнях связи с серверами (которые поддерживают несколько целевых доменов; т.е. Альтернативные имена субъектов ) большого хостинг-провайдеры или сеть доставки контента (CDN). Сети CDN используются из-за особенностей маршрутизации трафика и запросов, что и позволяет фронттингу работать.[1][2]

Запутывание запросов

В HTTPS запроса, имя домена назначения появляется в трех соответствующих местах: DNS-запрос, TLS Индикация имени сервера (SNI) и заголовок узла HTTPS. Обычно одно и то же доменное имя указано во всех трех местах.[3]:1

В запросе HTTPS с выходом на домен один домен отображается «снаружи» HTTPS-запроса в виде обычного текста - в запросе DNS и расширении SNI, - что клиент хочет представить, что он нацелен на установление соединения, и является тот, который виден цензору, в то время как скрытый домен появляется «внутри» - в заголовке HTTP Host, невидимый для цензора при шифровании HTTPS, - который будет фактической целью соединения.[1][3]:2

Из-за шифрования заголовка хостов HTTPS протоколом HTTPS трафик обхода неотличим от «легитимного» (не входящего в сеть) трафика. Реализации доменного фронтинга дополняют HTTPS с использованием крупных сетей доставки контента (например, различных крупных CDN) в качестве своих передних доменов,[3] на которые полагаются большие части Интернета в своей функциональности.[4] Чтобы заблокировать обходной трафик, цензор должен будет полностью заблокировать передний домен.[3] Блокирование популярных сетей доставки контента для большинства цензоров экономически, политически и дипломатически невозможно;[4][1] и эквивалент «отключению интернета».[5]

Когда Telegram был заблокирован в апреле 2018 года после постановления суда в России о блокировке интернет-провайдером сетей CDN, которые Telegram использовала в качестве прикрытия для обхода блокировок собственных IP-адресов, 15,8 миллиона IP-адресов, связанных с CDN Google и Amazon, были заблокированы одновременно. Это привело к крупномасштабной сбои в сети для крупных банков, розничных сетей и многочисленных веб-сайтов; способ блокировки подвергся критике за некомпетентность.[6]

Использование пересылки запросов

Фронтинг домена работает с CDN, как если бы они обслуживались двумя разными доменами в одном запросе, они были (или исторически говоря - они были; см. § Отключение ) настроен на автоматическое выполнение запроса на просмотр / доступ к домену, указанному в заголовке Hosts, даже после обнаружения расширения SNI, имеющего другой домен. Такое поведение было и не является универсальным для хостинг-провайдеров; существуют службы, которые проверяют, используется ли один и тот же домен на разных уровнях HTTP-запроса. Вариант обычной техники фронтинга домена, известной как бездоменный В этом случае может работать фронттинг, при этом поле SNI остается пустым.[7]

Если запрос на доступ к домену заголовка Hosts выполняется цензором или третьими сторонами, отслеживающими соединения, оказывается, что сеть CDN внутренне перенаправила запрос на неинтересную страницу в своей сети; это последнее соединение, которое они обычно отслеживают. В сценариях обхода доменов в заголовке Hosts будет доверенное лицо. Домен заголовка Hosts, являющийся прокси-сервером, будет заблокирован цензором при прямом доступе; fronting скрывает свой адрес от цензора и позволяет сторонам обходить блокировку и получать к нему доступ. Никакой трафик никогда не достигает переднего домена, указанного в запросе DNS и расширении SNI; внешний сервер CDN является единственным сторонним сервером в этом взаимодействии, который может расшифровать заголовок Hosts и узнать истинное место назначения скрытого запроса. Можно имитировать то же поведение с помощью служб хоста, которые не перенаправляют запросы автоматически, через веб-приложение «отражатель».[3]:2

Как правило, веб-службы перенаправляют запросы только в домены своих клиентов, а не в произвольные. В таком случае необходимо, чтобы заблокированные домены, использующие фронтальный доступ к домену, также размещались у того же крупного провайдера, что и безобидные сайты, которые они будут использовать в качестве прикрытия в своих HTTPS-запросах (для DNS и STI).[3]:2

использование

Обход интернет-цензуры

Сигнал

Сигнал, служба безопасного обмена сообщениями, развернула доменный фронт в сборках своих приложений с 2016 по 2018 год, чтобы обойти блокировку прямых подключений к своим серверам из Египта, Омана, Катара и Объединенных Арабских Эмиратов.[5][4]

Браузер Tor

В Сеть анонимности Tor использует реализацию доменного фронтинга под названием «meek» в своем официальном веб-браузере для обхода блокировок в сети Tor.[2][4][1]

Телеграмма

Телеграмма использовал Веб-сервисы Amazon как доменный прикрытие, чтобы противостоять попыткам заблокировать сервис в России.[8]

Большой пожар

Организация антикитайской цензуры Большой пожар когда-то использовал доменное фронтирование.[4]

Кибератаки

Фронтинг домена использовался частными и спонсируемыми государством лицами и группами, чтобы замести следы и незаметно запускать кибератаки и распространять вредоносное ПО.[4][1]

Уютный медведь

Русский группа хакеров Уютный медведь, классифицируется как APT29, было замечено, что использовала фронтальную поддержку домена для незаметного получения несанкционированного доступа к системам, выдавая себя за законный трафик от CDN. В их методике использовался плагин Meek, разработанный Tor Project для его анонимной сети, для симуляции обнаружения.[9][10]

Отключение

Устойчивость фронтинга домена как метода обхода цензуры сравнивают с дорогостоящим сопутствующим ущербом, который несет его блокировка - что касается блокировки фронтинга домена, необходимо блокировать весь трафик к их фронтам и от них (CDN и крупные провайдеры), что по замыслу на них часто полагаются бесчисленное множество других веб-сервисов.[4] В Сигнальный фундамент провел аналогию, что для блокировки одного сайта, выходящего на домен, вы «должны также заблокировать остальную часть Интернета».[11]

Cloudflare отключил доступ к домену в 2015 году.[12] В апреле 2018 года Google и Amazon отключили фронтальный доступ к доменам в своих службах доставки контента, устранив идиосинкразии в схемах перенаправления, которые позволяли фронтингу происходить.[13] Google нарушил фасадное управление доменами, убрав возможность использовать google.com в качестве основного домена, изменив структуру их CDN.[14] Когда их попросили прокомментировать, они сказали, что фронтлинг домена «никогда не поддерживался» и что внесенные изменения были давно запланированными обновлениями.[15][14][16] Amazon заявила, что фронтинг «уже рассматривался как нарушение Условий обслуживания AWS», и внес ряд изменений, запрещающих обфускацию, которая позволяла сайтам маскироваться под и использовать домены CloudFront других сайтов в качестве фронтов.[17][11][18]

Реакции

В различных публикациях высказывались предположения, что усилия как Google, так и Amazon были частично вызваны давлением со стороны Правительство России и его коммуникационный орган Роскомнадзор блокирование миллионов доменов Google и Amazon в апреле 2018 года из-за Телеграмма используя их как прикрытия.[19][14][20][21]

Защитники цифровых прав отмечают, что этот шаг подрывает способность людей получать и безопасно передавать информацию в репрессивных государствах.[22]

По словам основателя Signal, Мокси Марлинспайка, руководство Google задалось вопросом, хотят ли они выступать в качестве прикрытия для сайтов и сервисов, которые целые государства хотели заблокировать, поскольку доступ к домену привлек популярное внимание с такими приложениями, как Signal, реализующими его. Он назвал фронттинг как инструмент обхода «в настоящее время в значительной степени нежизнеспособным» в странах, в которых он был необходим.[11]

Смотрите также

Примечания

  1. ^ а б Цитаты Мокси Марлинспайк, создатель Signal.[1]

Рекомендации

  1. ^ а б c d е «Конфиденциальность 2019: Tor, Meek и рост и падение доменов». SentinelOne. 2019-04-15. Получено 2020-06-30.
  2. ^ а б "doc / meek - Tor Bug Tracker & Wiki". trac.torproject.org. Получено 2017-01-04.
  3. ^ а б c d е ж Файфилд, Дэвид; Лан, Чанг; Хайнс, Род; Вегманн, Перси; Паксон, Верн (15 февраля 2015 г.). «Устойчивая к блокировкам связь через домен» (PDF). Труды по технологиям повышения конфиденциальности. 2015 (2). Дои:10.1515 / попец-2015-0009. ISSN  2299-0984. Получено 2017-01-03 - через Де Грюйтера.CS1 maint: дата и год (связь)
  4. ^ а б c d е ж грамм «Смерть фронта с доменом | Что впереди?». Блог Finjan. 2018-06-11. Получено 2020-06-30.
  5. ^ а б «Open Whisper Systems >> Блог >> Дудлы, наклейки и обход цензуры для Signal Android». Whpersystems.org. Получено 2017-01-04.
  6. ^ Савов, Влад (2018-04-17). «Запрет Telegram в России - это большая запутанная неразбериха». Грани. Получено 2020-08-10.
  7. ^ «Прокси: доменное взаимодействие, подтехника T1090.004 - Enterprise | MITER ATT & CK®». attack.mitre.org. Получено 2020-09-28.
  8. ^ Брэндом, Рассел (30.04.2018). «Amazon Web Services начинает блокировать выход на домен, следуя примеру Google». Грани. Получено 2020-08-08.
  9. ^ «Домен APT29, выходящий на фронт с TOR». FireEye. Получено 2020-09-28.
  10. ^ «Доменное взаимодействие, фишинговые атаки и что нужно знать директорам по информационной безопасности». Cofense. 2018-12-13. Получено 2020-09-28.
  11. ^ а б c signal.org https://signal.org/blog/looking-back-on-the-front/. Получено 2020-09-16. Отсутствует или пусто | название = (помощь)
  12. ^ "# 14256 (Уточните, работает ли универсальный SSL от Cloudflare с кротостью) - Tor Bug Tracker & Wiki". Отслеживание ошибок Tor. Получено 12 мая 2020.
  13. ^ «Фронтинг домена: плюсы и минусы | NordVPN». nordvpn.com. 2019-07-12. Получено 2020-09-16.
  14. ^ а б c Галлахер, Шон (2018-05-02). «Amazon блокирует доступ к домену, угрожает закрыть аккаунт Signal». Ars Technica. Получено 2020-09-16.
  15. ^ Брэндом, Рассел. «Обновление Google только что создало большую проблему для средств защиты от цензуры». Грани. Получено 2018-04-19.
  16. ^ «Google завершает» доменный доступ, «важнейший способ обхода цензуры для инструментов - доступ сейчас». 18 апреля 2018.
  17. ^ «Расширенная защита доменов для запросов Amazon CloudFront». 2018-04-27.
  18. ^ «Amazon Web Services начинает блокировать выход на домен, следуя примеру Google». 2018-04-30.
  19. ^ «Amazon и Google склоняются перед российскими цензорами в битве Telegram». Быстрая Компания. 2018-05-04. Получено 2018-05-09.
  20. ^ Бершидский, Леонид (3 мая 2018 г.). «Русскому цензору помогают Amazon и Google». www.bloomberg.com.
  21. ^ "Информация". ТАСС.ру. Получено 2018-11-14.
  22. ^ Дахир, Абди Латиф. «Действия Google и Amazon по блокированию доступа к доменам нанесут вред активистам в условиях репрессивных режимов». Кварц Африка. Получено 2020-09-16.

внешняя ссылка