ডোমেইন ফ্রন্টিং বোঝা

এই আর্টিকেলে ব্যাখ্যা করা হয়েছে কিভাবে Cato স্বয়ংক্রিয়ভাবে ডোমেইন ফ্রন্টিং ব্লক করে DNS, TLS, এবং HTTP পরিদর্শন পর্যায়গুলির মধ্যে সত্যিকারের হোস্টনেম ধারাবাহিকভাবে পুনর্মূল্যায়ন করার মাধ্যমে। এটি নিশ্চিত করে যে ছদ্মবেশিত কমান্ড-অ্যান্ড-কন্ট্রোল (CnC) ট্রাফিক অবিলম্বে সনাক্ত এবং ব্লক করা হয়।

ওভারভিউ

ডোমেইন ফ্রন্টিং একটি পদ্ধতি যা হুমকি প্রবর্তক ক্ষতিকারক ট্রাফিককে বৈধ যোগাযোগ হিসাবে ছদ্মবেশিত করতে ব্যবহার করে। এটি HTTPS এবং কন্টেন্ট ডেলিভারি নেটওয়ার্কগুলি (CDNs) ডোমেইন নামগুলি যেভাবে প্রক্রিয়া করে তা ব্যবহার করে। একটি স্ট্যান্ডার্ড HTTPS সংযোগের সময়, দুটি ডোমেইন আইডেন্টিফায়ার বিভিন্ন পর্যায়ে দৃশ্যমান হয়:

  • SNI (Server Name Indication): TLS হ্যান্ডশেকের সময় সাধারণ পাঠ্য হিসাবে প্রেরিত হয়, যা ক্লায়েন্টের সংযোগ দিতে ইচ্ছুক গন্তব্য হোস্টনেম নির্দেশ করে
  • Host Header: এনক্রিপ্টেড HTTP অনুরোধের মধ্যে পরে প্রেরিত হয়, প্রকৃত অ্যাক্সেস ডোমেইন নির্দিষ্ট করে

ডোমেইন ফ্রন্টিংয়ের সাথে, আক্রমণকারী সচেতনভাবে এই দুটি ক্ষেত্রের মধ্যে পার্থক্য তৈরি করে, উদাহরণস্বরূপ, SNI-তে একটি নিরাপদ ডোমেইন ব্যবহার করে (যেমন, example.com) এবং হোস্ট হেডারে একটি ক্ষতিকারক ডোমেইন (যেমন, malicious-cnc.com)। এটি কমান্ড-অ্যান্ড-কন্ট্রোল (CnC) ট্রাফিককে দেখায় যেন এটি একটি বৈধ সেবার জন্য নির্ধারিত, প্রায়শই প্রধান ক্লাউড বা CDN প্রদানকারী পিছনে লুকানো থাকে।

কাটো কিভাবে ডোমেইন ফ্রন্টিং ব্লক করে

অন্যান্য সমাধানগুলির সাথে যা বিশেষ নিয়ম বা আপডেটের প্রয়োজন হয় ডোমেইন ফ্রন্টিং পরিচালনা করতে, Cato এর স্থাপত্য স্বতঃস্ফূর্তভাবে ডোমেইন ফ্রন্টিংয়ের প্রচেষ্টা সনাক্ত এবং ব্লক করে। এটি করে ধারাবাহিকভাবে একটি প্রবাহের সত্য পরিচয় পুনর্মূল্যায়ন করে যখন আরও তথ্য উপলব্ধ হয় (আরও তথ্যের জন্য, দেখুন Understanding Packet Flow with Cato SPACE Architecture, যা এই গতিশীল পুনর্মূল্যায়ন প্রক্রিয়াটি ব্যাখ্যা করে)।

একীভূত হোস্টনেম মূল্যায়ন

Cato একীভূত হোস্টনেম নামে একটি ধারণা ব্যবহার করে, একটি গতিশীলভাবে আপডেট করা পরিচিতি যা একটি প্রবাহের সত্যিকারের গন্তব্য প্রতিনিধিত্ব করে। এই পরিচিতিটি প্রতিটি পরিদর্শন পর্যায়ে উন্নত করা হয়:

  1. DNS রেজোলুশন পর্যায়ে, Cato DNAME চিহ্নিত করে, গন্তব্য IP ঠিকানার সাথে সম্বন্ধযুক্ত ডোমেইন
  2. TLS হ্যান্ডশেকের সময়, Cato সার্ভার নাম ইন্ডিকেশন (SNI) পর্যবেক্ষণ করে, যা গন্তব্য হোস্টনেম ক্লায়েন্ট চেষ্টা করছে তা দেখায়
  3. TLS পরিদর্শনের পরে, একবার এনক্রিপ্টেড ট্রাফিক ডিক্রিপ্ট করা হলে, Cato HTTP হোস্ট হেডার দেখেন, প্রকৃত অ্যাক্সেস ডোমেইন প্রকাশ করে

Cato প্রতিটি পর্যায়ে একীভূত হোস্টনেম পুনর্মূল্যায়ন করে। যদি হোস্ট হেডার ডোমেইন মূল SNI থেকে সংঘর্ষ করে বা ভিন্ন হয়, Cato এটি নতুন গোয়েন্দা তথ্য হিসাবে গণ্য করে এবং ফায়ারওয়াল (FW) এবং ইনট্রুশন প্রিভেনশন সিস্টেম (IPS) ইঞ্জিন দ্বারা পুনর্মূল্যায়ন ট্রিগার করে।

এটি মানে উভয় পণ্য কার্যকরভাবে নতুন হোস্টনেম প্রসঙ্গের সাথে পুনরায় প্রয়োগ করা হয়। যদি নতুন প্রকাশিত হোস্ট ক্ষতিকারক হয় (অর্থাৎ, ফায়ারওয়াল দ্বারা অবরুদ্ধ হওয়ার জন্য কনফিগার করা হয়েছে বা একটি ব্লকিং IPS সিগনেচারে অন্তর্ভুক্ত), Cato অবিলম্বে এটি ব্লক করে, যদিও মূল SNI এবং গন্তব্য IP নিরাপদ মনে হয়েছে।

এই স্তরিত পরিদর্শন নিশ্চিত করে যে বিশ্বাসযোগ্য ডোমেইনস পিছনে লুকানোর চেষ্টা করা CnC চ্যানেলগুলি সত্যিকারের গন্তব্য প্রকাশের সাথে সাথে ব্লক করা হয়।

ডোমেইন ফ্রন্টিং প্রোটেকশন পরীক্ষা করা

কাটো এর ডোমেইন ফ্রন্টিংয়ের প্রোটেকশন যাচাই করতে, আপনি নিজে সনাক্তকরণ প্রক্রিয়াটি পুনরুত্পাদন করতে পারেন:

  1. একটি ফায়ারওয়াল নিয়ম তৈরি করুন: নিশ্চিত করুন যে আপনার কাছে অ্যানোনিমাইজারগুলি ব্লক করতে একটি ফায়ারওয়াল নিয়ম কনফিগার করা আছে (অথবা যদি না থাকে তবে একটি তৈরি করুন)।

  2. একটি পরীক্ষার অনুরোধ পাঠান: নিম্নলিখিত কার্ল কমান্ড চালান:

    curl -v https://example.com -H 'Host: expressvpn.com'

    এই কমান্ডটি ফায়ারওয়াল দ্বারা ব্লক করা হয়েছে

  3. ব্লকটি নিশ্চিত করুন: CMA-তে, ইভেন্ট পৃষ্ঠা পরীক্ষা করুন ফায়ারওয়াল নিয়ম হিটের নিচে ব্লকটি নিশ্চিত করতে। ইভেন্টের বৈশিষ্ট্যগুলির মধ্যে, গন্তব্য IP ক্ষেত্রটি examplee.com IP ঠিকানা, যেখানে ডোমেইন নাম ক্ষেত্রটি সর্বশেষ HTTP হোস্ট হেডারে প্রকাশিত ডোমেইন দিয়ে আপডেট হয়েছে: expressvpn.com।

ঐচ্ছিক: আপনি Wireshark-এ ট্রাফিক ধরতে পারেন (যদি HTTPS এর পরিবর্তে সাধারণ পাঠ্য হিসাবে প্রেরিত হয়) হোস্ট হেডার চিত্রিত করতে এবং ব্লক ইভেন্ট নিশ্চিত করতে।

কনফিগারেশন প্রয়োগ করার পরে, আপনি নিম্নলিখিত কমান্ড চালিয়ে আচরণ যাচাই করতে পারেন:
curl -v https://chatgpt.com -H 'Host: echo.free.beeceptor.com'

এই পদক্ষেপগুলি স্বচ্ছ উপায় প্রদান করে পর্যবেক্ষণ করতে কিভাবে Cato তার পরিদর্শন পরবর্তী পুনর্মূল্যায়ন প্রক্রিয়ার মাধ্যমে ডোমেইন ফ্রন্টিং প্রচেষ্টা নিরপেক্ষ করে।

উদাহরণ ধরপাকড়

নীচে একটি উদাহরণ Wireshark ধরপাকড় দেখানো হয়েছে ডিএনএস এবং HTTP ফ্লো পরীক্ষার থেকে:

Domain_Forwarding1.png

এটি একটি DNS প্রশ্ন দেখায় examplee.com-এ, তারপরে একটি HTTP অনুরোধ যেখানে হোস্ট হেডার expressvpn.com নির্দেশ করে। HTTP প্রতিক্রিয়া 403 নিষিদ্ধ ফেরত দেয়, নিশ্চিত করে যে Cato সফলভাবে ডোমেইন-ফ্রন্টেড অনুরোধটি ব্লক করেছে।

ডোমেইন ফ্রন্টিং একটি কৌশল যা বৈধ ডোমেইনের পিছনে ক্ষতিকারক যোগাযোগ লুকানোর জন্য ব্যবহার করা হয়। যেখানে কিছু সমাধান বৈধ ডোমেইনের পিছনে লুকানো ট্রাফিক সনাক্ত করতে লড়াই করে, Cato এর স্থাপত্য, একীকৃত হোস্টনেম পুনর্মূল্যায়ন এবং দ্বৈত ইঞ্জিন পুনর্বৈধতা সহ, সহজাতভাবে এই প্রচেষ্টাগুলি ব্লক করে। SNI, হোস্ট হেডার, এবং IP তথ্য পরিদর্শন পর্যায়গুলির মধ্যে ধারাবাহিকভাবে আপডেট করে, Cato নিশ্চিত করে যে বিশ্বাসযোগ্য ডোমেইনের পিছনে লুকানো CnC চ্যানেলগুলি কখনও পেরিয়ে যায় না।

এই নিবন্ধটি কি সহায়ক ছিল?

0 জনের মধ্যে 0 জন এটিকে সহায়ক বলে মনে করেছেন

0 মন্তব্য