本页使用了标题或全文手工转换

域前置

维基百科,自由的百科全书
跳到导航 跳到搜索

域前置(英語:Domain fronting),又译为域名幌子[1],是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。[2][3]

此技术的原理为在不同通信层使用不同的域名。在明文DNS请求和TLS服务器名称指示(SNI)中使用无害的域名来初始化连接、公布给审查者,而实际要连接的被封锁域名仅在建立加密的HTTPS连接后发出,使其不以明文暴露给网络审查者。[4][5][6]

此技术利用审查者通常很难区分被伪装流量与合法流量的特点,迫使审查者选择放行所有看似无害的流量,或者选择彻底封锁此域的流量。而彻底封锁可能带来显著的附加损害。[7][8]

这种举动在被封锁的站点与无害站点为同一个大型服务提供商时较为可行,例如由Google應用服務引擎(GAE)等提供的服务。[9][10][11]

禁用[编辑]

Google于2018年4月宣布将禁用域前置,称这从未是Google有意支持的一项功能。[12][13]亞馬遜公司也在不久后决定停用CloudFront上的域前置支持,表示这已被视为违反亞馬遜網路服務系統(AWS)服务条款。[14][15][16][17][18]有报道认为,Google和亚马逊做此决定的部分原因是来自俄罗斯政府的压力,因Telegram在当地使用这两家云服务提供商进行域前置活动。[19]

Tor早前也使用Google和亚马逊的云服务进行域前置以保护用户活动,在两者相继关闭域前置功能后,Tor将域前置服务转移到尚未决定关闭该功能的Microsoft Azure服务[20],但尚不知微软会继续为服务提供提供该功能多久[21],微软公司没有回应CyberScoop提出的置评请求[20]

虽然域前置技术可以帮助用户绕过互联网审查,但黑客组织和恶意软件也会使用该技术。FireEye曾报道称,与俄罗斯相关的黑客组织APT29使用该技术从目标网络中窃取数据。Cyber​​Ark等公司则详细介绍了恶意软件如何利用该技术控制僵尸网络賽風(Psiphon)总裁迈克尔·赫尔(Michael Hull)告诉媒体Cyber​​Scoop,他公司的产品从未依赖域前置技术,并将这种做法描述为“快速解决一个困难的问题”、“在该领域不是很有效”,并认为结合混淆、HTTP标头修改、传输碎片化等一系列复杂技术的多元化审查规避工具包的重要性不容小视,并补充道:“域前置正在击溃内容分发网络的设计,这也是亚马逊和谷歌禁止该技术的原因。”Tor发言人Whited则不太同情两公司的决定,并指责这两家公司作出了轻率的决定,终结了世界的各地记者活动家的一种非常重要的通信手段。[20]

在2018年7月左右的互联网工程任务组(IETF)会议上,苹果公司CloudflareMozilla的工程师在一项名为“加密服务器名称指示(ESNI)”的新协议上取得了进展,该协议将能解决TLS SNI暴露给窃听者的问题。但是,该协议的定稿和部署可能仍需数年。[20]

参见[编辑]

参考资料[编辑]

  1. ^ APT29网络间谍使用“域名幌子”技术规避检测. 安全牛. [2017-08-31]. 
  2. ^ Fifield, David; Lan, Chang; Hynes, Rod; Wegmann, Percy; Paxson, Vern. Blocking-resistant communication through domain fronting (PDF). Proceedings on Privacy Enhancing Technologies. 2015, 2015 (2): 46–64 [2017-01-03]. ISSN 2299-0984. doi:10.1515/popets-2015-0009 –通过De Gruyter. 
  3. ^ MottoIN. 模拟攻击者利用“域前置”(Domain Fronting)技术逃避审查. 搜狐. 2017-07-07 [2017-08-31]. 
  4. ^ Encrypted chat app Signal circumvents government censorship. [2017-01-04]. 
  5. ^ Greenberg, Andy. Encryption App ‘Signal’ Is Fighting Censorship With a Clever Workaround. WIRED. [2017-01-04] (美国英语). 
  6. ^ Domain Fronting and You. [2017-01-04]. 
  7. ^ doc/meek – Tor Bug Tracker & Wiki. [2017-01-04]. 
  8. ^ Open Whisper Systems >> Blog >> Doodles, stickers, and censorship circumvention for Signal Android. [2017-01-04]. 
  9. ^ Encrypted chat app Signal circumvents government censorship. Engadget. [2017-01-04]. 
  10. ^ Greenberg, Andy. Encryption App ‘Signal’ Is Fighting Censorship With a Clever Workaround. WIRED. [2017-01-04] (美国英语). 
  11. ^ Domain Fronting and You. blog.attackzero.net. [2017-01-04]. 
  12. ^ Brandom, Russell. A Google update just created a big problem for anti-censorship tools. The Verge. [2018-04-19] (美国英语). 
  13. ^ Google 关闭域前置,影响反审查工具. Solidot. 2018-04-19 [2018-04-22]. 
  14. ^ Enhanced Domain Protections for Amazon CloudFront Requests. 
  15. ^ https://signal.org/blog/looking-back-on-the-front/
  16. ^ https://www.theverge.com/2018/4/30/17304782/amazon-domain-fronting-google-discontinued
  17. ^ As Google and AWS kill domain fronting, users must find a new way to fight censorship - TechRepublic
  18. ^ Amazon closes anti-censorship loophole on its servers - BSOD Software News. [2018-05-03]. (原始内容存档于2018-05-04). 
  19. ^ Amazon and Google bow to Russian censors in Telegram battle. Fast Company. 2018-05-04 [2018-05-09] (美国英语). 
  20. ^ 20.0 20.1 20.2 20.3 Domain fronting has a dwindling future. cyberscoop. Scoop News Group. 2018-07-24 [2018-08-29]. 
  21. ^ Domain Fronting Is Critical to the Open Web | Tor Blog