도메인 프론팅

Domain fronting
TLS 암호화가 확립되면 HTTP 헤더는 같은 CDN에 호스트된 다른 도메인으로 재루팅됩니다.

도메인 프론팅은 HTTPS 접속의 다른 통신 레이어에서 다른 도메인 이름을 사용하여 요구 및 접속을 감시하는 서드파티가 인식할 수 없는 다른 타깃도메인에 신중하게 접속하는 인터넷 검열 회피 기법입니다.

보안 증명서, 「도메인 프런트」로서 사용되는 컨텐츠 전달 네트워크(CDN)의 리다이렉트시스템, 및 HTTPS에 의해서 제공되는 보호로 인해, 통상, 센서에서는, 특정의 도메인명에 대해서 회피("도메인 프론트")트래픽과 논프론트래픽을 구별할 수 없습니다.따라서 회피 트래픽을 포함한 도메인 프런트로의 모든 트래픽을 허용하거나 도메인 프런트 전체를 차단해야 합니다.이는 값비싼 부수적인 피해를 초래할 수 있으며 "인터넷의 나머지 부분을 차단하는 것"[note 1]으로 간주되어 왔습니다.

도메인 프론팅은 SNI 확장과 HTTP Host 헤더가 같은 도메인을 포함해야 하는HTTP 표준에 준거하지 않습니다.Amazon과 Google을 포함한 대형 클라우드 서비스 제공업체는 현재 도메인 전면화를 적극적으로 금지하고 있으며, 이로 인해 검열 우회 기법으로 "대부분 생존 불가능"[note 1]하게 되었습니다.

기술적 세부사항

근거

도메인 프론팅의 기본은 서버와의 통신 레이어마다 다른 도메인 이름을 사용하는 것입니다(복수의 타겟도메인을 서포트하고 있습니다.대규모 호스팅 프로바이더 또는 컨텐츠 전달 네트워크(CDN)의 서브젝트 대체명). CDN은 트래픽과 요구를 라우팅하는 방법의 특성에 따라 사용됩니다.이 때문에,[1][2] CDN은 프론팅이 가능하게 됩니다.

요청 난독화

HTTPS 요청에서 수신인 도메인 이름은 DNS 쿼리, TLS Server Name Indication(SNI; TLS 서버 이름 표시) 확장 및 HTTPS Host 헤더의 세 가지 관련 위치에 표시됩니다.통상, 같은 도메인명이 3개의 [3]: 1 장소 모두에 리스트 됩니다.

도메인 프론트HTTPS 요구에서는, 1개의 도메인이 플레인텍스트의 HTTPS 요구의 「외부」(DNS 요구와 SNI 확장)에 표시됩니다.이 도메인은 클라이언트가 접속 확립을 목표로 하고 있는 것으로 간주해, 센서에 표시되는 도메인이며, HTTPS 호스트의 「내부」에 표시됩니다.der, HTTPS 암호화에서는 센서에 표시되지 않습니다.이것은,[1][3]: 2 접속의 실제의 타겟이 됩니다. 

# wget은 dns 쿼리를 전송하여 www.google.com에 접속하지만 http host 헤더 www.youtube.com 웹 페이지 #를 요구합니다.이 웹 페이지를 가져오고 표시할 있습니다. 여기 www.youtube.com #는 기본적으로 www.google.com에 의해 도메인 프론화되어 있습니다.즉, www.google.com #를 차단하지만 www.google.com을 허용함으로써 도메인 프론트 요구 wget -q -O - https://www.google.com/ --syslog 'Host: www.youtube.com' grep -o '<syslog >사용하여 검열을 우회할 수 있습니다.* </filename>' </filename>유튜브 </title>

HTTPS 프로토콜에 의한 HTTPS 호스트 헤더의 암호화로 인해 회피 트래픽은 '합법적인'(비프론트) 트래픽과 구별할 수 없습니다.도메인 프론트의 실장은, HTTPS 를 보완하기 위해서, 대규모 컨텐츠 전달 네트워크(다양한 대규모 CDN 등)를 프론트 [3]도메인으로 사용합니다.이러한 네트워크들은,[4] Web의 많은 부분에서 기능을 의존하고 있습니다.우회 트래픽을 차단하려면 검열관은 전면 도메인을 [3]완전히 차단해야 합니다.인기 [4][1]있는 콘텐츠 전송 네트워크를 차단하는 것은 대부분의 검열관에게 경제적, 정치적, 외교적으로 불가능합니다.

2018년 4월 러시아 법원의 자체 IP주소 차단을 위한 ISP 차단 판결로 텔레그램이 차단되자 구글과 아마존의 CDN 관련 IP주소 1580만개가 일괄 차단됐다.이로 인해 주요 은행, 소매 체인 및 다수의 웹사이트에서 대규모 네트워크 정지가 발생하여 차단 방식이 무능하다는 [5]지적을 받았습니다.

요청 전달 활용

도메인 프론팅은 CDN과 함께 기능합니다.이러한 요구로 2개의 다른 도메인과 함께 처리되는 경우, 다른 도메인을 가지는 SNI 확장이 검출된 후에도 Hosts 헤더로 지정된 도메인을 표시/액세스 하는 요구를 자동적으로 실행하도록 설정되어 있습니다(또는 「비활성화를 참조해 주세요.이 동작은, 호스트 프로바이더간에 공통적인 것이 아니고, HTTP 요청의 다른 레이어에서 같은 도메인이 사용되고 있는지를 검증하는 서비스가 있습니다. 경우, 도메인리스 프론팅이라고 불리는 통상적인 도메인프론팅 테크닉의 변형이 기능하는 경우가 있습니다.이 경우 SNI 필드는 [6]공백이 됩니다.

Hosts 헤더 도메인에 대한 액세스 요구가 성공하면 CDN이 내부적으로 요청을 네트워크 내의 비대상 페이지로 전송한 것으로 간주됩니다.이것이 통상적으로 감시하는 최종 접속입니다.회피 시나리오에서는 호스트 헤더의 도메인이 프록시가 됩니다.Hosts 헤더 도메인은 프록시로 직접 액세스하면 센서에 의해 차단됩니다.전면에서는 주소를 센서로부터 숨기고 당사자가 블록을 회피하여 액세스할 수 있습니다.DNS 요구 및 SNI 확장으로 지정된 프론트 도메인에 도달하는 트래픽은 없습니다.CDN 프런트엔드 서버는 이 인터랙션에서 Hosts 헤더를 복호화할 수 있는 유일한 서드 파티이며, 은닉 요구의 진정한 수신처를 알 수 있습니다.리플렉터 웹 애플리케이션을 [3]: 2 통해 요청을 자동으로 전송하지 않는 호스트 서비스에서 동일한 동작을 에뮬레이트할 수 있습니다.

일반적으로 웹 서비스는 자신의 고객 도메인으로만 요청을 전달하고 임의 도메인은 전달하지 않습니다.도메인 프론팅을 사용하는 블록도메인은 HTTPS 요구(DNS 및 STI의 [3]: 2 경우)에서 프런트로서 사용하는 무해한 사이트와 같은 대규모 프로바이더에 의해서 호스트 되는 것이 필요합니다.

사용.

인터넷 검열 회피

신호.

시큐어 메시징 서비스인 Signal은 2016년부터 2018년까지 앱 빌드에 도메인을 배치하여 이집트, 오만, 카타르 [7][4]및 아랍에미리트로부터 서버에 직접 연결되는 블록을 우회했습니다.

Tor 브라우저

Tor 익명 네트워크는 공식 웹 브라우저에 'meek'라고 불리는 도메인 프론팅 구현을 사용하여 Tor [2][4][1]네트워크에 블록을 바이패스합니다.

전보

텔레그램[8]Amazon Web Services를 도메인 전선으로 사용하여 러시아에서의 서비스 차단 시도에 저항했습니다.

그레이트 파이어

Great Fire는 사용자가 Great Firewall을 회피할 수 있도록 지원하는 비영리 단체로 [4]한때 도메인 프론트를 사용했다.

사이버 공격

도메인 프론팅은 개인 및 국가가 후원하는 개인 및 그룹이 자신의 흔적을 숨기고 신중하게 사이버 공격을 시작하고 악성 프로그램을 [4][1]유포하기 위해 사용해 왔습니다.

코지 베어

APT29로 분류되는 러시아 해커 그룹 코지 베어(Cozy Bear)는 CDN에서 합법적인 트래픽을 가장하여 시스템에 대한 무단 액세스를 신중하게 얻기 위해 도메인을 사용한 것으로 관측되고 있습니다.이들의 기술은 익명 네트워크를 위해 Tor Project에 의해 개발된 meek 플러그인을 사용하여 [9][10]탐지를 가장했습니다.

무효화

검열 회피 수단으로서의 도메인 프론팅의 내구성은 도메인 프론팅을 차단하기 위해 많은 다른 웹 [4]서비스에 의해 사용되는 프런트(CDN 및 대규모 프로바이더)와의 모든 트래픽을 차단해야 하는 고가의 부수적 피해에 비유되어 왔습니다.Signal Foundation은 하나의 도메인 전면 사이트를 차단하려면 "다른 인터넷도 [11]차단해야 한다"고 비유했습니다.

Cloudflare는 [12]2015년에 도메인 전면을 비활성화했습니다.2018년 4월, Google과 Amazon은 모두 [13]전면화를 가능하게 한 리다이렉트 방식의 특이성을 제거함으로써 콘텐츠 전송 서비스에서 전면화된 도메인을 비활성화했습니다.구글은 CDN의 [14]구조를 바꿔 전면 도메인으로 사용할 수 있는 'google.com'을 제거함으로써 도메인의 전면을 무너뜨렸다.코멘트를 요구받았을 때, 그들은 도메인 프론팅이 "지원되는 기능이 된 적이 없다"며, 변경은 오랫동안 계획된 [15][14][16]업그레이드라고 말했다.Amazon은 "이미 AWS 서비스 약관 위반으로 처리되었다"고 주장하며 사이트가 다른 웹사이트의 CloudFront 도메인을 [17][11][18]가장하고 프런트로 사용할 수 있도록 하는 난독화를 금지하는 일련의 변경을 구현했다.

반응

각종 출판물들은 구글과 아마존의 노력이 2018년 4월 러시아 정부와 통신당국 로스콤나드조르로부터 수백만 개의 구글과 아마존 도메인을 차단당한 데 따른 이라고 추측하고 있으며 텔레그램은 이들을 [19][14][20][21]전선으로 삼았다.

디지털 권리 옹호론자들은 이러한 움직임이 억압적인 [22]상태에서 자유롭고 안전하게 정보에 접근하고 정보를 전송하는 사람들의 능력을 저해한다고 논평했다.

시그널의 설립자인 Moxie Marlinspike에 따르면, 구글 경영진은 도메인 프론팅이 시그널과 같은 앱으로 대중의 관심을 끌면서 국가 전체가 차단하고자 하는 사이트와 서비스의 전선이 되고 싶은지 의문을 품게 되었다.그는 정면을 회피하는 도구가 [11]필요한 국가에서 "지금은 거의 생존할 수 없다"고 말했다.

「 」를 참조해 주세요.

메모들

  1. ^ a b 시그널 제작자 Moxie Marlinspike의 인용문.[1]

레퍼런스

  1. ^ a b c d e "Privacy 2019: Tor, Meek & The Rise And Fall Of Domain Fronting". SentinelOne. 2019-04-15. Retrieved 2020-06-30.
  2. ^ a b "doc/meek – Tor Bug Tracker & Wiki". trac.torproject.org. Retrieved 2017-01-04.
  3. ^ a b c d e f Fifield, David; Lan, Chang; Hynes, Rod; Wegmann, Percy; Paxson, Vern (15 February 2015). "Blocking-resistant communication through domain fronting" (PDF). Proceedings on Privacy Enhancing Technologies. 2015 (2): 46–64. doi:10.1515/popets-2015-0009. ISSN 2299-0984. S2CID 5626265. Retrieved 2017-01-03 – via De Gruyter.
  4. ^ a b c d e f g "The Death of Domain Fronting What Lies Ahead?". Finjan Blog. 2018-06-11. Retrieved 2020-06-30.
  5. ^ Savov, Vlad (2018-04-17). "Russia's Telegram ban is a big, convoluted mess". The Verge. Retrieved 2020-08-10.
  6. ^ "Proxy: Domain Fronting, Sub-technique T1090.004 - Enterprise MITRE ATT&CK®". attack.mitre.org. Retrieved 2020-09-28.
  7. ^ "Open Whisper Systems >> Blog >> Doodles, stickers, and censorship circumvention for Signal Android". whispersystems.org. Retrieved 2017-01-04.
  8. ^ Brandom, Russell (2018-04-30). "Amazon Web Services starts blocking domain-fronting, following Google's lead". The Verge. Retrieved 2020-08-08.
  9. ^ "APT29 Domain Fronting With TOR". FireEye. Retrieved 2020-09-28.
  10. ^ "Domain Fronting, Phishing Attacks, and What CISOs Need to Know". Cofense. 2018-12-13. Retrieved 2020-09-28.
  11. ^ a b c Marlinspike, Moxie (2018-05-01). "A letter from Amazon". Signal. Archived from the original on 2018-05-01. Retrieved 2020-09-16.
  12. ^ "#14256 (Clarify whether Cloudflare's Universal SSL thing works with meek) – Tor Bug Tracker & Wiki". Tor Bug Tracker. Retrieved 12 May 2020.
  13. ^ "Domain fronting: pros and cons NordVPN". nordvpn.com. 2019-07-12. Retrieved 2020-09-16.
  14. ^ a b c Gallagher, Sean (2018-05-02). "Amazon blocks domain fronting, threatens to shut down Signal's account". Ars Technica. Retrieved 2020-09-16.
  15. ^ Brandom, Russell. "A Google update just created a big problem for anti-censorship tools". The Verge. Retrieved 2018-04-19.
  16. ^ "Google ends "domain fronting," a crucial way for tools to evade censors - Access Now". 18 April 2018.
  17. ^ "Enhanced Domain Protections for Amazon CloudFront Requests". 2018-04-27.
  18. ^ "Amazon Web Services starts blocking domain-fronting, following Google's lead". 2018-04-30.
  19. ^ "Amazon and Google bow to Russian censors in Telegram battle". Fast Company. 2018-05-04. Retrieved 2018-05-09.
  20. ^ Bershidsky, Leonid (May 3, 2018). "Russian Censor Gets Help From Amazon and Google". www.bloomberg.com.
  21. ^ "Info". Tass.ru. Retrieved 2018-11-14.
  22. ^ Dahir, Abdi Latif. "Google and Amazon's move to block domain fronting will hurt activists under repressive regimes". Quartz Africa. Retrieved 2020-09-16.

외부 링크