域前置

域前置英語:),是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。[1][2]

TLS加密连接建立后,HTTP请求头将其重路由到同一CDN的另一域名上。

此技术的原理为在不同通信层使用不同的域名。在明文DNS请求和TLS服务器名称指示(SNI)中使用无害的域名来初始化连接、公布给审查者,而实际要连接的被封锁域名仅在建立加密的HTTPS连接后发出,使其不以明文暴露给网络审查者。[3][4][5]

此技术利用审查者通常很难区分被伪装流量与合法流量的特点,迫使审查者选择放行所有看似无害的流量,或者选择彻底封锁此域的流量。而彻底封锁可能带来显著的附加损害。[6][7]

这种举动在被封锁的站点与无害站点为同一个大型服务提供商时较为可行,例如由Google應用服務引擎(GAE)等提供的服务。[8][9][10]

禁用

Google于2018年4月宣布将禁用域前置,称这从未是Google有意支持的一项功能。[11][12]亞馬遜公司也在不久后决定停用CloudFront上的域前置支持,表示这已被视为违反亞馬遜網路服務系統(AWS)服务条款。[13][14][15][16][17]有报道认为,Google和亚马逊做此决定的部分原因是来自俄罗斯政府的压力,因Telegram在当地使用这两家云服务提供商进行域前置活动。[18]

Tor早前也使用Google和亚马逊的云服务进行域前置以保护用户活动,在两者相继关闭域前置功能后,Tor将域前置服务转移到尚未决定关闭该功能的Microsoft Azure服务[19],但尚不知微软会否对其提供持续支持[20],微软公司没有回应CyberScoop提出的置评请求[19]

虽然域前置技术可以帮助用户绕过互联网审查,但黑客组织和恶意软件也会使用该技术。FireEye曾报道称,与俄罗斯相关的黑客组织APT29使用该技术从目标网络中窃取数据。Cyber​​Ark等公司则详细介绍了恶意软件如何利用该技术控制僵尸网络賽風(Psiphon)总裁迈克尔·赫尔(Michael Hull)告诉媒体Cyber​​Scoop,他公司的产品从未依赖域前置技术,并将这种做法描述为“快速解决一个困难的问题”、“在该领域不是很有效”,并认为结合混淆、HTTP标头修改、传输碎片化等一系列复杂技术的多元化审查规避工具包的重要性不容小视,并补充道:“域前置正在击溃内容分发网络的设计,这也是亚马逊和谷歌禁止该技术的原因。”Tor发言人Whited则不太同情两公司的决定,并指责这两家公司作出了轻率的决定,终结了世界的各地记者活动家的一种非常重要的通信手段。[19]

在2018年7月左右的互联网工程任务组(IETF)会议上,苹果公司CloudflareMozilla的工程师在一项名为“加密服务器名称指示(ESNI)”的新协议上取得了进展,该协议将能解决TLS SNI暴露给窃听者的问题。但是,该协议的定稿和部署可能仍需数年。[19]

参见

参考资料
  1. Fifield, David; Lan, Chang; Hynes, Rod; Wegmann, Percy; Paxson, Vern. (PDF). Proceedings on Privacy Enhancing Technologies. 2015, 2015 (2): 46–64 [2017-01-03]. ISSN 2299-0984. doi:10.1515/popets-2015-0009. (原始内容存档 (PDF)于2020-11-08) De Gruyter.
  2. MottoIN. . 搜狐. 2017-07-07 [2017-08-31]. (原始内容存档于2017-09-01).
  3. . [2017-01-04]. (原始内容存档于2019-03-23).
  4. Greenberg, Andy. . WIRED. [2017-01-04]. (原始内容存档于2017-07-11) (美国英语).
  5. . [2017-01-04]. (原始内容存档于2018-10-21).
  6. . [2017-01-04]. (原始内容存档于2016-12-13).
  7. . [2017-01-04]. (原始内容存档于2016-12-28).
  8. . Engadget. [2017-01-04]. (原始内容存档于2019-03-23).
  9. Greenberg, Andy. . WIRED. [2017-01-04]. (原始内容存档于2017-07-11) (美国英语).
  10. . blog.attackzero.net. [2017-01-04]. (原始内容存档于2018-10-21).
  11. Brandom, Russell. . The Verge. [2018-04-19]. (原始内容存档于2020-12-19) (美国英语).
  12. . Solidot. 2018-04-19 [2018-04-22]. (原始内容存档于2018-08-29).
  13. . (原始内容存档于2020-11-01).
  14. . [2018-05-03]. (原始内容存档于2019-01-03).
  15. . [2018-05-03]. (原始内容存档于2020-11-09).
  16. . [2018-05-03]. (原始内容存档于2020-10-28).
  17. . [2018-05-03]. (原始内容存档于2018-05-04).
  18. . Fast Company. 2018-05-04 [2018-05-09]. (原始内容存档于2018-05-10) (美国英语).
  19. . cyberscoop. Scoop News Group. 2018-07-24 [2018-08-29]. (原始内容存档于2020-09-29).
  20. . [2018-08-29]. (原始内容存档于2020-12-19).
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.