流量隐藏-域前置和云函数

域前置

本质上就是一种利用cdn 达成流量隐藏的一个方法

其核心思想是利用不同网络层的信息差异，使审查者难以识别实际访问的目标

整个流程可以这么理解

首先我们访问一个url

如果这个url 对应的服务配置了cdn 那么那就先去走一个cdn 的域名解析

这个域名解析的结果是cdn 对应的ip

然后拿这个ip 去访问cdn 的时候，cdn 会将http 头 中的 “host:addr” 中的addr 找到对应的一个ip，也就是c2 server 的ip

但是对于外部来说，如果没有tls 加密（http）的一个请求包的话，也是可以很方便发现Host 是否是恶意的

但是只要通过tls 加密之后，整个包就是加密的了，并且ip(cdn) 通过host 查询ip 的过程也是在cdn 后台完成的也就完成了流量隐藏

云函数

核心思想其实很简单，就是由第三方提供的服务接收C2客户端流量，转发给C2服务端，避免直接暴露服务端

总结

域前置？转发器换成 CDN；

云函数？转发器换成云函数转发；

代理隐藏？转发器换成代理机；

网关隐藏？转发器换成网关；

参考

域前置攻击复现 | 域前置水太深，偷学六娃来隐身 - FreeBuf网络安全行业门户

文章 - C2隐匿-云函数&域前置 - 先知社区 (aliyun.com)