تُوضح هذه المقالة كيف تقوم Cato بحجب استخدام واجهة النطاق تلقائيًا من خلال إعادة تقييم اسم المضيف الحقيقي بشكل مستمر عبر مراحل الفحص الثلاث: DNS، TLS، وHTTP. يضمن ذلك اكتشاف وحجب الاتصالات المستترة بين أنظمة القيادة والتحكم (CnC) على الفور.
واجهة النطاق هي تقنية يستخدمها المهاجمون للتخفي في حركة المرور الخبيثة على أنها اتصال مشروع. تستغل هذه التقنية كيفية معالجة HTTPS وشبكات توصيل المحتوى (CDNs) لأسماء النطاقات. أثناء اتصال HTTPS القياسي، يكون هناك معرفي نطاق مرئيين في مراحل مختلفة:
- إشارة اسم الخادم (SNI): يتم إرسالها كنص عادي أثناء مصافحة TLS، تشير إلى اسم المضيف المقصود الذي يريد العميل الاتصال به.
- عنوان المضيف: يتم إرساله لاحقًا في الطلب المشفر لـ HTTP، محددًا النطاق الفعلي الذي يتم الوصول إليه.
في استخدام واجهة النطاق، يقوم المهاجمون عمداً بعدم مطابقة هذين الحقلين، على سبيل المثال، باستخدام نطاق مشروع في SNI (مثل example.com) وخبيث في عنوان المضيف (مثل malicious-cnc.com). السماح بأن تظهر حركة المرور من أنظمة القيادة والتحكم (CnC) كما لو أنها موجهة إلى خدمة شرعية، وغالبًا ما تكون مخفية وراء مقدمي خدمات السحابة الكبيرة أو CDN.
على عكس الحلول الأخرى التي تتطلب قواعد خاصة أو تحديثات للتعامل مع استخدام واجهة النطاق، فإن بنية Cato تكتشف وتحجب محاولات استخدام واجهة النطاق بشكل متأصل. تقوم بذلك من خلال إعادة تقييم هوية التدفق الحقيقية بشكل مستمر كلما توفرت معلومات أكثر (للمزيد من المعلومات، انظر فهم تدفق الحزم مع بنية Cato SPACE والتي توضح عملية إعادة التقييم الديناميكية هذه).
تستخدم Cato مفهوم يسمى اسم المضيف الموحد، وهو معرف يتم تحديثه ديناميكيًا ليمثل الوجهة الحقيقية لتدفق البيانات. يتم تحسين هذا المعرف في كل مرحلة من مراحل الفحص:
- خلال مرحلة حل DNS، تقوم Cato بتحديد DNAME، النطاق المرتبط بعنوان IP الوجهة
- أثناء مصافحة TLS، تلاحظ Cato إشارة اسم الخادم (SNI) التي توضح اسم المضيف الذي يحاول العميل الوصول إليه
- بعد فحص TLS، بمجرد فك تشفير حركة المرور المشفرة، يمكن لـ Cato رؤية عنوان المضيف في HTTP، مما يكشف النطاق الفعلي الذي يتم الوصول إليه
تعيد Cato تقييم اسم المضيف الموحد في كل واحدة من هذه المراحل. إذا كان نطاق عنوان المضيف يتناقض أو يختلف عن SNI الأصلي، تعامل Cato الأمر كمعلومات جديدة وتقوم بتشغيل إعادة التقييم عبر محركات الجدار الناري (FW) ونظام منع التسلل (IPS).
هذا يعني أن كلا المنتجين يتم تطبيقهما بشكل فعال مع سياق اسم المضيف الجديد. إذ كانت المضيف المكتشف حديثًا خبيثًا (أي، مُعد ليتم حظره بواسطة الجدار الناري أو مشمول في توقيع حظر IPS)، تقوم Cato بحظره فورًا، على الرغم من أن SNI الأصلي وعنوان IP الوجهة كانا يبدوان سليمين.
تضمن هذه الطبقة المتراكمة من الفحص أن القنوات الخفية لمحاولة الاختباء وراء نطاقات موثوقة يتم حظرها بمجرد الكشف عن الوجهة الحقيقية.
للتحقق من حماية Cato ضد استخدام واجهة النطاق، يمكنك تكرار عملية الكشف بنفسك:
- إنشاء قاعدة جدار ناري: تأكد من وجود قاعدة في الجدار الناري تم تكوينها لحظر المجهزين (أو أنشئ واحدة إذا لم تكن موجودة بالفعل).
-
إرسال طلب اختبار: شغل أمر curl التالي:
curl -v https://example.com -H 'Host: expressvpn.com'يتم حظر الأمر من قبل الجدار الناري
-
التحقق من الحظر: في CMA، تحقق من صفحة الأحداث ضمن ضربات قواعد الجدار الناري لتأكيد الحظر. في سمات الحدث، يكون حقل عنوان IP الوجهة هو عنوانexamplee.com IP، بينما يتم تحديث حقل اسم المجال بالنطاق الذي ظهر مؤخرًا في رأس HTTP للمضيف: expressvpn.com.
اختياري: يمكنك أيضًا التقاط حركة المرور في Wireshark (إذا تم إرسالها كنص عادي بدلًا من HTTPS) لتصور رأس المضيف وتأكيد حدث الحظر.
بعد تطبيق التكوين، يمكنك التحقق من السلوك عن طريق تشغيل الأمر التالي:curl -v https://chatgpt.com -H 'Host: echo.free.beeceptor.com'
تُوفر هذه الخطوات طريقة شفافة لملاحظة كيفية تحييد Cato لمحاولات استخدام واجهة النطاق من خلال عملية إعادة التقييم بعد الفحص.
فيما يلي مثال على التقاط Wireshark يوضح تدفقات DNS وHTTP من الاختبار:
يظهر استعلام DNS لـ examplee.com، يليه طلب HTTP حيث يشير رأس المضيف إلى expressvpn.com. يُرجع رد HTTP 403 ممنوع، مما يؤكد أن Cato حظر الطلب عبر واجهة النطاق بنجاح.
واجهة النطاق هي تقنية تُستخدم لإخفاء الاتصالات الخبيثة خلف نطاقات شرعية. بينما تكافح بعض الحلول لتحديد حركة المرور الخفية خلف نطاقات شرعية، فإن بنية Cato، مع إعادة تقييم اسم المضيف الموحد وإعادة التحقق بمحرك مزدوج، تحجب هذه المحاولات بشكل متأصل. من خلال تحديث SNI وعنوان المضيف ومعلومات IP بشكل مستمر عبر مراحل الفحص، تضمن Cato أن قنوات القيادة والسيطرة المتخفية خلف نطاقات موثوقة لا تتمكن من المرور.
لا توجد تعليقات
المقال مغلق أمام التعليقات.