डोमेन फ्रंटिंग की समझ

यह लेख बताता है कि Cato स्वचालित रूप से डोमेन फ्रंटिंग को कैसे रोकता है, DNS, TLS, और हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल निरीक्षण चरणों के दौरान वास्तविक होस्ट का नाम लगातार पुनर्मूल्यांकन करके। यह सुनिश्चित करता है कि छुपाया गया कमांड-एंड-कंट्रोल (CnC) ट्रैफ़िक तुरंत पता लगाया जा सके और अवरुद्ध किया जा सके।

अवलोकन

डोमेन फ्रंटिंग एक तकनीक है जिसका उपयोग धमकी देने वाले तत्वों द्वारा दुर्भावनापूर्ण ट्रैफ़िक को वैध संचार के रूप में छुपाने के लिए किया जाता है। यह हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सुरक्षित और कंटेंट डिलीवरी नेटवर्क्स (CDNs) द्वारा डोमेन नामों को कैसे संसाधित किया जाता है का दोहन करता है। एक मानक हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सुरक्षित कनेक्शन के दौरान, दो डोमेन पहचानकर्ता विभिन्न चरणों में दिखाई देते हैं:

  • सर्वर नाम संकेत: TLS हैंडशेक के दौरान साधारण पाठ में भेजा जाता है, यह दिखाते हुए कि क्लाइंट किस होस्ट का नाम कनेक्ट करने का इरादा रखता है
  • होस्ट हेडर: एन्क्रिप्टेड हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल अनुरोध के भीतर बाद में भेजा जाता है, यह बताते हुए कि वास्तव में कौन सा डोमेन एक्सेस किया जा रहा है

डोमेन फ्रंटिंग के साथ, हमलावर जानबूझकर इन दो फ़ील्ड्स का मेल नहीं बैठाते हैं, उदाहरण के लिए, SNI में एक सौम्य डोमेन (उदा., example.com) और होस्ट हेडर में एक दुर्भावनापूर्ण डोमेन (उदा., malicious-cnc.com) का उपयोग करते हुए। यह कमांड-एंड-कंट्रोल (CnC) ट्रैफ़िक को ऐसा दिखाने की अनुमति देता है जैसे कि यह किसी वैध सेवा के लिए निर्धारित हो, अक्सर प्रमुख क्लाउड या CDN प्रदाताओं के पीछे छुपा हुआ।

कैटो डोमेन फ्रंटिंग को कैसे ब्लॉक करता है

अन्य समाधान जो डोमेन फ्रंटिंग से निपटने के लिए विशेष नियम या अपडेट की आवश्यकता होती है, उसके विपरीत, Cato की वास्तुकला इनहेरेंट रूप से डोमेन फ्रंटिंग प्रयासों का पता लगाती है और उन्हें रोकती है। यह ऐसा करता है वास्तविक पहचान को लगातार पुनर्मूल्यांकन करके क्योंकि अधिक जानकारी उपलब्ध होती है (अधिक जानकारी के लिए, देखें कैटो स्पेस आर्किटेक्चर के साथ पैकेट फ्लो को समझना, जो इस गतिशील पुनर्मूल्यांकन प्रक्रिया को बताता है)।

統一ホスト名評価

कैटो एक अवधारणा का उपयोग करता है जिसे एकीकृत होस्ट का नाम कहा जाता है, एक गतिशील रूप से अपडेट किया गया पहचानकर्ता जो प्रवाह के सच्चे गंतव्य का प्रतिनिधित्व करता है। यह पहचानकर्ता प्रत्येक निरीक्षण चरण में परिशोधित होता है:

  1. डीएनएस समाधान चरण के दौरान, Cato DNAME की पहचान करता है, गंतव्य आईपी के साथ संबद्ध डोमेन
  2. TLS हैंडशेक के दौरान, Cato सर्वर नाम संकेत (SNI) का अवलोकन करता है, जो होस्ट का नाम दिखाता है जिससे क्लाइंट पहुंचने की कोशिश कर रहा है
  3. TLS निरीक्षण के बाद, एक बार एन्क्रिप्टेड ट्रैफ़िक डिक्रिप्ट हो जाने के बाद, Cato होस्ट हेडर को देख सकता है, जिससे वास्तव में कौन सा डोमेन एक्सेस किया जा रहा है का पता चलता है

कैटो इन चरणों में से प्रत्येक में एकीकृत होस्ट नाम को पुनर्मूल्यांकन करता है। यदि होस्ट हेडर डोमेन मूल SNI से टकराव करता है या उससे भिन्न होता है, तो Cato इसे नई बुद्धिमत्ता के रूप में मानता है और फ़ायरवॉल (FW) और आई.पी.एस. इंजन में पुनर्मूल्यांकन को ट्रिगर करता है।

इसका मतलब है कि दोनों उत्पादों को नए होस्टनाम संदर्भ के साथ प्रभावी तरीके से फिर से लागू किया जाता है। यदि नए उजागर होस्ट हानिकारक है (यानी, फ़ायरवॉल द्वारा अवरुद्ध करने के लिए कॉन्फ़िगर किया गया है या एक अवरोधक IPS हस्ताक्षर में शामिल किया गया है), Cato इसे तुरंत रोकता है, भले ही मूल SNI और गंतव्य आईपी सौम्य दिखाई देते थे।

यह स्तरित निरीक्षण सुनिश्चित करता है कि CnC चैनल जो विश्वसनीय डोमेन के पीछे छुपने का प्रयास कर रहे हैं, जैसे ही सच्चा गंतव्य उजागर होता है, उन्हें रोक दिया जाता है।

डोमेन फ्रंटिंग सुरक्षा का परीक्षण

कैटो की डोमेन फ्रंटिंग के खिलाफ सुरक्षा को मान्य करने के लिए, आप स्वयं जांच प्रक्रिया को पुन: उत्पन्न कर सकते हैं:

  1. फ़ायरवॉल नियम बनाएँ: सुनिश्चित करें कि आपके पास एनोनिमाइज़र को अवरुद्ध करने के लिए फ़ायरवॉल नियम कॉन्फ़िगर है (या यदि पहले से मौजूद नहीं है तो एक बना लें)।

  2. परीक्षण अनुरोध भेजें: निम्नलिखित curl कमांड चलाएं:

    curl -v https://example.com -H 'Host: expressvpn.com'

    कमांड फ़ायरवॉल द्वारा अवरुद्ध कर दिया गया है

  3. ब्लॉक की पुष्टि करें: CMA में, फ़ायरवॉल नियम हिट्स के तहत इवेंट्स पृष्ठ में जाकर ब्लॉक की पुष्टि करें। घटना गुणों में, गंतव्य IP फ़ील्ड examplee.com आईपी पता है, जबकि डोमेन नाम फ़ील्ड HTTP होस्ट हेडर में अंतिम बार दिखाई देने वाले डोमेन के साथ अपडेट कर दिया गया है: expressvpn.com।

वैकल्पिक: आप ट्रैफ़िक को Wireshark में भी कैप्चर कर सकते हैं (यदि यह हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सुरक्षित के बजाय साधारण पाठ में भेजा जाता है) होस्ट हेडर को देखने के लिए और ब्लॉक ईवेंट की पुष्टि करने के लिए।

कॉन्फ़िगरेशन लागू करने के बाद, आप निम्नलिखित कमांड चलाकर व्यवहार सत्यापित कर सकते हैं:
curl -v https://chatgpt.com -H 'Host: echo.free.beeceptor.com'

ये चरण एक पारदर्शी तरीका प्रदान करते हैं कि कैसे कैटो अपने पश्च-निरीक्षण पुनर्मूल्यांकन प्रक्रिया के माध्यम से डोमेन फ्रंटिंग प्रयासों को निष्प्रभावी करता है।

उदाहरण कैप्चर

नीचे एक उदाहरण Wireshark कैप्चर है जो परीक्षण से DNS और HTTP प्रवाह दिखाता है:

Domain_Forwarding1.png

यह examplee.com के लिए एक DNS क्वेरी दिखाता है, इसके बाद एक हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल अनुरोध जहां होस्ट हेडर expressvpn.com की ओर इंगित करता है। HTTP प्रतिक्रिया 403 निषिद्ध लौटाता है, पुष्टि करते हुए कि कैटो ने सफलतापूर्वक डोमेन-फ्रंटेड अनुरोध को रोक दिया।

डोमेन फ्रंटिंग एक तकनीक है जिसका उपयोग वैध डोमेन के पीछे दुर्भावनापूर्ण संचार को छुपाने के लिए किया जाता है। जबकि कुछ समाधान वैध डोमेन के पीछे छुपे ट्रैफ़िक की पहचान करने में संघर्ष करते हैं, कैटो की वास्तुकला, एकीकृत होस्टनाम पुनर्मूल्यांकन और दोहरे इंजन पुनर्सत्यापन के साथ, इन प्रयासों को बुनियादी तौर पर रोक देती है। SNI, होस्ट हेडर, और निरीक्षण चरणों के दौरान IP जानकारी को लगातार अपडेट करके, कैटो सुनिश्चित करता है कि CnC चैनल जो विश्वसनीय डोमेन्स के पीछे छुपने का प्रयास कर रहे हैं, कभी सफल नहीं हो पाते।

क्या यह लेख उपयोगी था?

0 में से 0 के लिए उपयोगी रहा

0 टिप्पणियां