域前置

审查规避技术

域前置(英語:Domain fronting),又譯域名幌子[1][2],是一種隱藏連接真實端點來規避網際網路審查的技術。在應用層上運作時,域前置使使用者能通過HTTPS連接到被封鎖的服務,而表面上像在與另一個完全不同的站點通訊。[3][4]

TLS加密連接建立後,HTTP Host Header 使CDN重路由到同一CDN的另一後端網站上。

此技術的原理為在不同通訊層使用不同的域名。在明文DNS請求和TLS伺服器名稱指示(SNI)中使用無害的域名來初始化連接、公布給審查者,而實際要連接的「敏感」域名僅在建立加密的HTTPS連接後發出,使其不以明文暴露給網路審查者。[5][6][7]

這種舉動在被封鎖的站點與無害站點為同一個大型服務提供商時較為可行,例如由內容傳遞網路提供的服務。[5][6][7]此時審查者通常很難區分被偽裝流量與合法流量的特點,迫使審查者選擇放行所有看似無害的流量,或者選擇徹底封鎖此域的流量。而徹底封鎖可能帶來顯著的附加損害。[8][9]

使用情況

Signal加密即時通訊應用程式在 2016-2018 年內建了域前置來規避在埃及阿曼卡達阿拉伯聯合大公國的封鎖。[9]

Telegram為應對Roskomnadzor的封鎖曾使用亞馬遜雲端運算服務進行域前置。[10]

Tor使用一種稱為meek網橋的域前置實現來規避審查。[11]俄羅斯駭客組織Cozy Bear(或稱APT29)使用Tor的meek網橋來隱藏惡意流量。流量就像連接到使用CDN的普通網站一樣。[12][13]

禁用

Cloudflare在2016年的一些修改讓基於其CDN的域前置不再工作。[14]

Google於2018年4月宣布將在Google應用服務引擎禁用域前置,稱這從未是Google有意支援的一項功能。[15][16]亞馬遜公司也在不久後決定停用CloudFront上的域前置相容,表示這已被視為違反亞馬遜網路服務系統(AWS)服務條款。[17][18][10][19][20]有報道認為,Google和亞馬遜做此決定的部分原因是來自俄羅斯政府的壓力,因Telegram在當地使用這兩家雲服務提供商進行域前置活動。[21]

Tor早前也使用Google和亞馬遜的雲服務進行域前置以保護使用者活動,在兩者相繼關閉域前置相容後,Tor將域前置服務轉移到尚未決定關閉該相容的Microsoft Azure服務[22],但尚不知微軟會否對其提供持續支援[23],微軟公司沒有回應CyberScoop提出的置評請求[22]

雖然域前置技術可以幫助使用者繞過網際網路審查,但駭客組織和惡意軟體也會使用該技術。FireEye曾報道稱,與俄羅斯相關的駭客組織APT29使用該技術從目標網路中竊取資料。[12]Cyber​​Ark等公司則詳細介紹了惡意軟體如何利用該技術控制殭屍網路賽風(Psiphon)總裁麥可·赫爾(Michael Hull)告訴媒體Cyber​​Scoop,他公司的產品從未依賴域前置技術,並將這種做法描述為「解決難題的一個捷徑」、「域前置本身不是很有效,結合混淆、HTTP檔頭修改、傳輸碎片化等一系列技術才能擊敗強大的審查者,多元化審查規避工具包的重要性不容小視」,並補充道:「域前置正在擊潰內容傳遞網路的設計,這也是亞馬遜和谷歌禁止該技術的原因。」Tor發言人Whited則不太同情兩公司的決定,並指責這兩家公司作出了輕率的決定,終結了世界的各地記者活動家的一種非常重要的通訊手段。[22]

2018年7月左右的網際網路工程任務組(IETF)會議上,蘋果公司CloudflareMozilla的工程師在一項名為「加密伺服器名稱指示(ESNI)」的新協定上取得了進展,該協定將能解決TLS SNI暴露給竊聽者的問題。但是,該協定的定稿和部署可能仍需數年。[22]

2023年10月,Fastly告知Tor Project域前置將在次年2月被禁用,這影響了Snowflake網橋的運作[24]

相容情況

不完全統計,目前相容域前置的CDNAutomatticCDN77Incapsula英語IncapsulaMicrosoft AzureStackPath[25]

不少網站未使用CDN,但是其HTTP伺服器接受無SNI或不同SNI連接,因此使用者也可以使用域前置繞過對於它們的檢測SNI的封鎖。[26]

谷歌網頁伺服器也相容域前置[26]

參考資料

  1. ^ APT29网络间谍使用“域名幌子”技术规避检测. 安全牛. [2017-08-31]. (原始內容存檔於2022-03-09). 
  2. ^ 人权组织望国会说服因特网公司支持躲避新闻审查技术. 美國之音. 2018-05-09 [2022-05-04]. (原始內容存檔於2022-05-04). 
  3. ^ Fifield, David; Lan, Chang; Hynes, Rod; Wegmann, Percy; Paxson, Vern. Blocking-resistant communication through domain fronting (PDF). Proceedings on Privacy Enhancing Technologies. 2015, 2015 (2): 46–64 [2017-01-03]. ISSN 2299-0984. doi:10.1515/popets-2015-0009. (原始內容存檔 (PDF)於2020-11-08) –透過De Gruyter. 
  4. ^ MottoIN. 模拟攻击者利用“域前置”(Domain Fronting)技术逃避审查. 搜狐. 2017-07-07 [2017-08-31]. (原始內容存檔於2017-09-01). 
  5. ^ 5.0 5.1 Encrypted chat app Signal circumvents government censorship. Engadget. [2017-01-04]. (原始內容存檔於2019-03-23). 
  6. ^ 6.0 6.1 Greenberg, Andy. Encryption App ‘Signal’ Is Fighting Censorship With a Clever Workaround. WIRED. [2017-01-04]. (原始內容存檔於2017-07-11) (美國英語). 
  7. ^ 7.0 7.1 Domain Fronting and You. blog.attackzero.net. [2017-01-04]. (原始內容存檔於2018-10-21). 
  8. ^ doc/meek – Tor Bug Tracker & Wiki. [2017-01-04]. (原始內容存檔於2016-12-13). 
  9. ^ 9.0 9.1 Doodles, stickers, and censorship circumvention for Signal Android. signal.org. 2016-12-21 [2021-10-10]. (原始內容存檔於2022-06-09) (美國英語). 
  10. ^ 10.0 10.1 Brandom, Russell. Amazon Web Services starts blocking domain-fronting, following Google's lead. The Verge. 2018-04-30 [2021-10-10]. (原始內容存檔於2020-11-09) (英語). 
  11. ^ meek • wiki. [2021-04-13]. (原始內容存檔於2021-07-05) (美國英語). 
  12. ^ 12.0 12.1 APT29 Domain Fronting With TOR. FireEye. [2020-09-28]. (原始內容存檔於2021-06-12) (英語). 
  13. ^ Domain Fronting, Phishing Attacks, and What CISOs Need to Know. Cofense. 2018-12-13 [2020-09-28]. (原始內容存檔於2021-04-16) (美國英語). 
  14. ^ #14256 (Clarify whether Cloudflare's Universal SSL thing works with meek) – Tor Bug Tracker & Wiki. Tor Bug Tracker. [12 May 2020]. (原始內容存檔於2020-10-31). 
  15. ^ Brandom, Russell. A Google update just created a big problem for anti-censorship tools. The Verge. [2018-04-19]. (原始內容存檔於2020-12-19) (美國英語). 
  16. ^ Google 关闭域前置,影响反审查工具. Solidot. 2018-04-19 [2018-04-22]. (原始內容存檔於2018-08-29). 
  17. ^ Enhanced Domain Protections for Amazon CloudFront Requests. (原始內容存檔於2020-11-01). 
  18. ^ A letter from Amazon. signal.org. 2018-05-01 [2021-10-10]. (原始內容存檔於2019-01-03). 
  19. ^ As Google and AWS kill domain fronting, users must find a new way to fight censorship - TechRepublic. [2018-05-03]. (原始內容存檔於2020-10-28). 
  20. ^ Amazon closes anti-censorship loophole on its servers - BSOD Software News. [2018-05-03]. (原始內容存檔於2018-05-04). 
  21. ^ Amazon and Google bow to Russian censors in Telegram battle. Fast Company. 2018-05-04 [2018-05-09]. (原始內容存檔於2018-05-10) (美國英語). 
  22. ^ 22.0 22.1 22.2 22.3 Domain fronting has a dwindling future. cyberscoop. Scoop News Group. 2018-07-24 [2018-08-29]. (原始內容存檔於2020-09-29). 
  23. ^ steph. Domain Fronting Is Critical to the Open Web. Tor Blog. [2021-10-10]. (原始內容存檔於2020-12-19). 
  24. ^ Cecylia Bocovich. Fastly to block domain fronting in February 2024. lists.torproject.org. 2023-10-15 [2024-03-23]. (原始內容存檔於2024-04-16). 
  25. ^ Subramani, Karthika; Perdisci, Roberto; Skafidas, Pierros; Antonakakis, Manos. Discovering and Measuring CDNs Prone to Domain Fronting. Proceedings of the ACM Web Conference 2024. WWW '24. New York, NY, USA: Association for Computing Machinery: 1859–1867. 2024. ISBN 9798400701719. doi:10.1145/3589334.3645656. 
  26. ^ 26.0 26.1 Chrisment, Isabelle; Goichot, Antoine; Cholez, Thibault; Shbair, Wazen M. Efficiently Bypassing SNI-based HTTPS Filtering (PDF). IFIP/IEEE International Symposium on Integrated Network Management (IM 2015). Ottawa, Canada: 990–995. 2015-05-11. ISBN 978-1-4799-8241-7. S2CID 14963313. doi:10.1109/INM.2015.7140423. (原始內容存檔於2021-08-12). The evaluation also shows that most of TLS servers implement backward compatibility following RFC6066. This explains why TLS servers always go further in the handshake process. For many years, SNI has not deployed widely in browsers and client-side systems and this give the opportunity to such systems accessing HTTPS services 

參見