文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

【安全研究】Domain fronting域名前置网络攻击技术

背景 在虚拟主机中搭建多个网站服务,为了方便我们区分它们,可以 IP+Port名称 等方式去访问它们,但是如果是SSL/TLS的话。...建立连接的第一步就是请求服务器的证书。而服务器在发送证书时,是不知道浏览器访问的是哪个域名的,所以不能根据不同域名发送不同的证书。...因此就引入一个扩展叫SNI,SNI是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展,做法就是在 Client Hello 中补上 Host 信息。 ?...在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。 此技术的原理为在不同通信层使用不同的域名。...如图所示,可以看到相关请求如下,以此方法来隐藏真实C&C服务器地址,在Wireshark 中查看传输流量包Host头也同样指向我们Cloudfront服务器,一定程度上隐蔽了真实攻击机地址。 ?

9.2K22

使用Amazon Cloudfront进行全球加速和增强网站防御功能

Route 53 无缝协作,创建了灵活的分层安全边界来抵御多种类型的攻击,包括网络和应用层 DDoS 攻击 2.SSL/TLS 加密和 HTTPS 使用 Amazon CloudFront,可以使用最新版本的传输层安全...(TLSv1.3)通过 HTTPS 传递内容、API 或应用程序,以加密和保护查看器客户端与 CloudFront 之间的通信 3.访问控制 利用 Amazon CloudFront,您可以通过大量功能来限制对您的内容的访问...注意:该源是 源站的SSL证书必须与指定的域名匹配。 源路径:(默认不填就行)如果源站内容有多层目录,且又希望回源的时候路径上不体现这些目录,可以在此设置要隐藏的目录层级。...源站不会因为不同用户、不同终端等返回不同的内容,内容默认进行了压缩。 CachingOptimizedForUncompressedObjects 和上面策略相同,但不进行压缩。...我们需要到自定义SSL证书中验证域名所有权。 验证证书成功我们再添加域名。 最后关闭标准日记记录,打开ipv6。点击创建分配即可完成配置。

3.3K10
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于CDN加速后端服务

    通过将后端接口部署在CDN的边缘节点上,可以将部分请求负载分散到不同的节点,减轻源服务器的负载,提高了系统的可扩展性和稳定性。...CDN通常具备抗DDoS攻击的能力,也可以结合WAF以及类似亚马逊sheild实现高防能力,它们通过分布式节点来吸收和过滤攻击流量,只将正常的流量转发到源服务器,从而保护后端接口的可用性和安全性。...它们通过缓存和就近交付内容,有效地减少了后端服务器所需处理的请求数量,提高了整体系统的性能和吞吐量。 数据安全和隐私保护:有些CDN提供商提供额外的数据安全和隐私保护功能。...它们可能提供加密通信、身份验证、防篡改和内容权限控制等功能,确保数据在传输和交付过程中的安全性和保密性。...以亚马逊的CloudFront为例。 1.创建分配 在CloudFront服务页面点击创建分配,选择分发行为源配置,以及其他域名和证书、支持的协议等等。

    9.6K20

    用AWS部署一个无服务架构的个人网站

    注意在创建成功的那个画面上会显示Access Key ID和Secret access key两个值。务必要将这两个复制保存下来,稍后要用它们来设置本地环境。...AWS的Certificate Manager服务提供免费的证书。生成证书之后就可以在AWS的API Gateway里自定义域名了。...从上面的图中可以看出,API服务的实际域名为dgt9opldriaup.cloudfront.net(因为我选择了CloudFront服务)。...给静态网站设置CloudFront和自定义域名 最后一步就是给前端设置CloudFront并绑定自定义域名。前面我们已经申请了*.example.com的证书,所以这一步就很容易了。...桶可以用作静态网站使用; 要想使用HTTPS,可以通过AWS ACM申请证书; API Gateway和CloudFront都支持自定义域名。

    4.8K40

    Amazon CloudFront 亚马逊云CDN开通和设置网站加速

    Amazon CloudFront,是一项快速内容分发网络(CDN)服务,能够以低延迟和高传输速度安全地向全球客户分发数据、视频、应用程序和 API。...比如我们可以用于网站、S3对象存储的加速,默认 CloudFront 每个账户拥有每月1TB数据流量。...如果有开通WAF安全的也可以选择策略启动,同时如果我们用的HTTPS,也可以选择关联证书。 这里需要注意的是,那我们如何绑定自己的真需要CDN的域名呢?...验证证书成功我们再添加域名是可以的。根据提示我们添加CNAME解析验证当前域名所有权,等待验证完毕才可以继续。 只有等待SSL认证通过才可以添加域名,否则不会通过。...Cloudfront会通过443端口和80端口,即https和http协议去请求你的服务器,你必须在你的服务器配置前面所说的CDN套用域名和源域名。我们需要在NGINX配置站点的域名添加解析。

    10.7K30

    Cloudflare:让SSL重新变得“无聊”

    这将在关于网络钓鱼的争论中产生一个新的角度,因为通配符证书的独特能力掩盖了它们的预期用途:犯罪分子和钓鱼者很可能将会使用通配符证书来加强他们隐藏主机名的能力,使这种能力更加通用。...通配符证书甚至可以取代单域证书作为首选工具。 ” 通配符证书×钓鱼者 使用传统的SSL证书,完整的主机名被列在证书中。...客户端检查这些主机名,以确保在访问这些站点时只使用该证书——如果使用其他主机名,则将其视为无效。 通配符证书的工作原理不同。使用通配符证书,域名中最左边的标签将被一个星号替换。...下面的主机名与真实世界的钓鱼网站相似,但它们无法利用通配符证书进行钓鱼: paypal-com-update.net 多年来,网络钓鱼者一直在使用通配符证书。...这些日志的另一个好处是,它们可以被用作发现新的钓鱼网站的检测系统。通过定期查询可能用于钓鱼的术语,比如“paypal”,你可以快速找到新的钓鱼网站的主机名,并屏蔽或标记它们。

    1.5K100

    IIS7不支持sni,图形界面不支持单域名证书的https站点指定hostname

    IIS7到底支持SNI吗?...p=80 通配证书(*.domain.com)通过特殊手段可以指定主机名,可以生效(同一个泛域名证书,多个子域名配到多个站点上,只用这一个泛域名证书是可以的) 单域名证书通过特殊手段虽然可以指定主机名了但是不生效...总之,IIS7上的SNI支持是不完整的,不适用多个单独的域名和单独的证书,只适用通配型证书。...如果是双域名证书,即主域名和www子域名的这种,可以通过下面的方式给证书列表显示的字符串前面显示个*号出来,这样就可以配置2个相同端口的站点分别绑定主域名和www子域名了。...6.最关键的一步,上一步设置*是为这一步铺垫 选了证书后,主机名可以写了,在设置*之前是不能的 7.行了,不同的证书就通过这种方式写上主机名了,然并卵 以上步骤是为通配证书而写的,单域名证书没办法

    3.1K140

    CDN负载均衡设置教程

    重写回源URL配置 读取IP变量值 设置教程 CDN负载均衡设置教程 CDN负载均衡设置教程 CDN负载均衡可以帮助您在多个CDN提供商之间分配流量,提高网站可用性和性能。...准备源站服务器(所有CDN将回源至此) 二、基于DNS的负载均衡设置 方法1:使用DNS服务商的负载均衡功能(以Cloudflare为例) 登录Cloudflare控制台 进入DNS设置 为同一主机名添加多条...A/CNAME记录,指向不同CDN的入口 example.com A 300 1.1.1.1 (CDN1入口IP) example.com A 300 1.1.1.2 (CDN2入口IP) example.com...- 'cdn3.example.com' 故障转移策略: 设置自动故障检测阈值(如连续3次失败) 配置备用源站 实现渐进式回退机制 六、商业解决方案推荐 AWS CloudFront...测试时使用小流量逐步验证 注意各CDN的计费方式差异 确保SSL证书在所有CDN上正确配置 监控切换过程中的SEO影响 通过以上设置,您可以实现多CDN之间的自动负载均衡和故障转移

    59310

    Fireball恶意程序已袭击全球将近2.5亿台PC,背后推手是一家中国电子营销机构

    “从技术的角度来看,Fireball非常复杂精细,有一些绕过杀毒软件和防检测的手段,它使用了多层架构和C&C服务器,这不输任何真正的恶意软件。”研究人员称。...根据卿烨科技官网的资料,公司的业务主要针对两类客户:出版商和广告商。...检测防御 你可以尝试回答以下的这些问题,如果结果都是“不”,那很有可能中招了(即便不是Fireball,也应该是其他流氓软件) 打开浏览器检查 你有没有改过主页? 你能否更改主页?...你对默认的搜索引擎熟悉吗?可以更改吗? 浏览器插件你都认识吗? 要删除这款恶意软件,你只需要卸载相应程序,然后重置浏览器到初始状态。 要进行防范也很简单——安装软件时要格外小心,不要装上捆绑软件。...[.]net d5ou3dytze6uf[.]cloudfront[.]net d1vh0xkmncek4z[.]cloudfront[.]net d26r15y2ken1t9[.]cloudfront

    1.4K100

    【RAG落地利器】向量数据库Milvus教程:如何实现MetaData检索过滤

    milvus-minio容器使用默认身份验证凭据在本地服务端口9090和9091 ,并将其数据映射到当前文件夹中的volumes/minio 。.../路径/到/根/证书 否 可选,根证书的路径 PRIVATE_KEY_PATH /路径/到/私人/密钥 否 可选,私钥路径 CERT_CHAIN_PATH /路径/到/证书/链 否 可选,证书链的路径...对于每个文档,我们简单地用“#”来分隔文件中的内容,这样可以粗略地区分markdown文件各个主体部分的内容。...如果您想使用Milvus的完全托管云服务Zilliz Cloud,请调整uri和token,它们对应于Zilliz Cloud中的公共端点和Api密钥。 检查该集合是否已存在,如果存在则将其删除。...这里新增了一个字段text,是集合架构中未定义的字段,它将被自动添加到保留的JSON动态字段中,在高层次上可以将其视为普通字段。

    1.6K10

    2020前端性能优化清单(六)

    通过在服务器上启用 OCSP stapling[2],可以加快 TLS 握手的速度。联机证书状态协议(OCSP)被创建为证书吊销列表(CRL)协议的替代品。...两种协议都用于检查 SSL 证书是否已被吊销。但是,OCSP 协议不需要浏览器花时间下载和搜索证书信息列表,因此减少了握手所需的时间。 54. 适配 IPv6 了吗?...进行实验和测量为您的网站找到适合的平衡。 57. 您的服务器和 CDN 支持 HTTP/2 吗? 不同的服务器和 CDN 对 HTTP/2 的支持不同。使用TLS 快了吗?...[41]您可以在切换到 HTTP/2 时检查服务器和 CDN 的选项。 59. 正在使用 HPACK 压缩吗?...当我们说到交互的快速响应时,通常我们指的是用户通过点击链接和按钮与页面交互的速度。屏幕阅读器略有不同。

    1.7K20

    谁给了你第一个手机病毒?安卓手机病毒来源分析

    我们分析了其中两个主要病毒推广源com.sms.sys.manager与com.al.alarm.controller,它们属于同一家族, 这些病毒应用进入用户手机之后,会疯狂推广安装其他对用户无用的应用...其次是印度尼西亚和菲律宾,可见受灾最严重的国家主要集中在亚洲。 ? 病毒恶意行为分析 ?...通过代码结构可以看到基本属于同一变种,其它的样本大多用了GhostPush相同的root模块,目前为止此病毒家族感染量一直稳居首位。...root,关键代码以加密的方式放于assets目录或服务器中,用时动态加载,放于系统目录伪装成系统内置应用,su的调用加入多个不同的参数防止第三方获取root。...所以其推广app的量甚至可以和一些第三方的应用市场持平,加上root病毒难以清除并经常自动从服务器更新广告/root sdk数据,会有一批稳定的“用户”量,通过广告,推广app等形式来获取收益。

    2.4K100

    如何在Ubuntu 16.04上安装Webmin控制面板和模块

    许多第三方模块适用于不同的用例,这有助于提高Webmin控制面板的灵活性。 准备 本教程中的命令适用于Debian 8或Ubuntu 16.04。 设置腾讯云CVM服务器主机名和时区。...更新您的系统: sudo apt-get update && sudo apt-get upgrade 检查主机名 在开始安装和配置本教程中描述的组件之前,请确保已设置主机名。...关于自签名证书,你可以参考为Apache创建自签名SSL证书和如何为Nginx创建自签名SSL证书这两篇文章。 在登录屏幕上,输入您的root用户凭据,或任何能够执行sudo命令的用户的凭据。...从控制面板中选择端口和地址,然后将侦听端口更改为您将记住的端口。 单击“ 保存”时,Webmin将更改其运行的端口并将您重定向到新页面。 您现在可以使用Webmin自由配置其余服务。...虽然提供这些是希望它们有用,但请注意,我们无法保证外部托管材料的准确性或及时性。

    3K30

    从混合云到分布式云 (下篇)

    这种平台面向企业云服务和资源的管理者,向他们提供一个集中的平台,展示私有云和所使用的公有云上的资源,以及部署在其上的应用。 但是,这里又引申出另一个经久不衰的话题,“私有云是云吗?”。...好吧,这个话题其实和“混合云存在吗?”是同一个类型。就像莎士比亚的名言:“一千个读者眼中就会有一千个哈姆雷特”,也就是说,每个立场不同的人可以在《哈姆雷特》这本书里看出完全不同的意境。...国内大型企业,比如大型银行的私有云,可能会拥有几千甚至几万台服务器,其实也拥有不错的弹性和规模性了。 2、如果一个应用无法同时使用私有云和公有云,混合云还有存在的意义吗?...从名字上就可以看出,它们的父区域为us-west-2,即AWS美国西部(俄勒冈州)区域;“lax”表示其所在地区为洛杉矶;“1a”和“1b”是本地区域的编号,类似可用区的编号。...本地区域、Wavelength区域和Outposts环境都被它们的父区域中的控制平面所管理。

    1.8K50

    命令控制之Octopus

    ,您还可以通过为您的域提供有效的证书并配置Octopus C2服务器以使用它来选择使用SSL/TLS 功能特性 Octopus具有许多功能,可让您在部署实际需要的军械库、工具和技术之前了解可能会涉及到的点有哪些...生成不同类型的有效载荷 支持Powershell 2.0或更高版本的所有Windows版本 在不触摸powershell.exe进程的情况下运行Octopus Windows可执行代理 创建自定义配置文件...同时您可以根据需要来生成任意数量的侦听器,然后可以开始与连接到它们的代理进行交互。...: BindIP:侦听器将使用的IP地址 BindPort:要监听的端口 主机名:您将用于与之通信的主机名 时间间隔:代理在检查命令之前将等待的秒数 URL:承载有效负载的页面的名称(例如:index.php...他们启用了Sysmon吗? 他们正在使用哪个SIEM收集器?

    1.1K20

    ssh 连接Linux确实很安全,这6种身份验证方法很强!

    这种身份验证方法不同于密码身份验证,因为口令可以是一句话或者一个短语,而不仅仅是一个单词。基于口令的身份验证比密码身份验证更安全,因为短语或代码比单个单词更难破解。...但是,基于口令的身份验证仍然存在安全问题,因为口令可以被人猜测或者窃取。基于主机的身份验证基于主机的身份验证是一种基于主机名和 IP 地址的身份验证方法。...在使用基于主机的身份验证时,用户需要先将主机名和 IP 地址存储在本地计算机上,并将它们与远程服务器进行匹配。如果匹配成功,则用户可以成功连接到服务器。...基于主机的身份验证比其他身份验证方法更容易被攻击,因为攻击者可以伪造主机名和 IP 地址。因此,这种身份验证方法不建议在安全性要求较高的环境中使用。...总的来说,不同的身份验证方法具有不同的安全性和易用性。在选择身份验证方法时,应该根据实际需求进行选择,并综合考虑安全性、易用性和管理成本等方面的因素。

    2K01

    使用体验与心得——

    SSL 加密:EdgeOne 标准版支持全站 HTTPS 加密,用户可以轻松配置 SSL 证书,保障数据传输的安全性。...功能对比不同的 CDN 和边缘计算产品在功能上各有特色,满足不同用户的需求。...Cloudflare CDN简单易用:Cloudflare 的控制面板简洁直观,适合技术水平不同的用户。广泛的社区支持:Cloudflare 拥有活跃的用户社区,用户可以轻松找到帮助和支持。...AWS CloudFront按使用量计费:CloudFront 的计费模式基于使用量,用户只需为实际使用的流量和请求次数付费。...全天候安全监控:企业版用户可以享受全天候的安全监控和响应服务,确保业务的持续安全。适用场景对比不同版本适用于不同的业务场景,用户可以根据自己的需求选择最合适的版本。

    1.6K20

    解决urllib.error.URLError urlopen error Errno 11004 getaddrinfo failed

    该错误表示​​urlopen​​函数在解析URL时无法获取到正确的主机名和IP地址。这篇博客将帮助你了解这个错误的原因,并提供解决方案。...使用IP地址替代主机名如果DNS解析出现问题,你可以尝试使用IP地址替代主机名。...具体的应用场景和代码逻辑会根据实际需求而有所不同。​​urlopen​​是Python中urllib库中的一个函数,用于发送HTTP请求并获取响应。...它可以发送GET、POST等不同类型的请求,并可以设置超时时间、验证证书等参数。...除了发送GET请求,​​urlopen​​函数还可以发送POST等不同类型的请求。具体的使用方式和参数设置会有所不同,可以根据实际需求进行调整。

    2.7K20
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券