TLS 1.3 પર આધારિત ડોમેન ફ્રન્ટિંગ

પરિચય

Cisco, BlueCoat, FireEye જેવા પ્રખ્યાત ઉત્પાદકોની આધુનિક કોર્પોરેટ સામગ્રી ફિલ્ટરિંગ સિસ્ટમો તેમના વધુ શક્તિશાળી સમકક્ષો - DPI સિસ્ટમો સાથે ઘણી સામ્યતા ધરાવે છે, જે રાષ્ટ્રીય સ્તરે સક્રિયપણે અમલમાં છે. બંનેના કાર્યનો સાર એ છે કે ઇનકમિંગ અને આઉટગોઇંગ ઇન્ટરનેટ ટ્રાફિકનું નિરીક્ષણ કરવું અને બ્લેક/વ્હાઇટ લિસ્ટના આધારે, ઇન્ટરનેટ કનેક્શન પર પ્રતિબંધ મૂકવાનો નિર્ણય લેવો. અને કારણ કે તે બંને તેમના કાર્યની મૂળભૂત બાબતોમાં સમાન સિદ્ધાંતો પર આધાર રાખે છે, તેથી તેમને અટકાવવાની પદ્ધતિઓમાં પણ ઘણું સામ્ય હશે.

એક એવી તકનીક કે જે તમને DPI અને કોર્પોરેટ સિસ્ટમ બંનેને અસરકારક રીતે બાયપાસ કરવાની મંજૂરી આપે છે તે ડોમેન-ફ્રન્ટિંગ તકનીક છે. તેનો સાર એ છે કે આપણે અવરોધિત સંસાધન પર જઈએ છીએ, બીજાની પાછળ છુપાઈને, સારી પ્રતિષ્ઠા સાથે સાર્વજનિક ડોમેન, જે દેખીતી રીતે કોઈપણ સિસ્ટમ દ્વારા અવરોધિત કરવામાં આવશે નહીં, ઉદાહરણ તરીકે google.com.

આ ટેક્નોલોજી વિશે પહેલાથી જ ઘણા બધા લેખો લખવામાં આવ્યા છે અને ઘણા ઉદાહરણો આપવામાં આવ્યા છે. જો કે, લોકપ્રિય અને તાજેતરમાં ચર્ચા થયેલ DNS-ઓવર-HTTPS અને એન્ક્રિપ્ટેડ-SNI ટેક્નોલોજીઓ, તેમજ TLS 1.3 પ્રોટોકોલનું નવું સંસ્કરણ, ડોમેન ફ્રન્ટિંગ માટે બીજા વિકલ્પને ધ્યાનમાં લેવાનું શક્ય બનાવે છે.

ટેક્નોલોજીની સમજ

પ્રથમ, ચાલો થોડી મૂળભૂત વિભાવનાઓને વ્યાખ્યાયિત કરીએ જેથી દરેકને સમજાય કે કોણ કોણ છે અને શા માટે આ બધાની જરૂર છે. અમે eSNI મિકેનિઝમનો ઉલ્લેખ કર્યો છે, જેની કામગીરીની આગળ ચર્ચા કરવામાં આવશે. eSNI (એનક્રિપ્ટેડ સર્વર નેમ ઇન્ડિકેશન) મિકેનિઝમ એ SNI નું સુરક્ષિત સંસ્કરણ છે, જે ફક્ત TLS 1.3 પ્રોટોકોલ માટે ઉપલબ્ધ છે. મુખ્ય વિચાર અન્ય બાબતોની સાથે, વિનંતી કયા ડોમેન પર મોકલવામાં આવે છે તે વિશેની માહિતીને એન્ક્રિપ્ટ કરવાનો છે.

હવે ચાલો જોઈએ કે વ્યવહારમાં eSNI મિકેનિઝમ કેવી રીતે કાર્ય કરે છે.

ચાલો કહીએ કે અમારી પાસે એક ઇન્ટરનેટ સંસાધન છે જે આધુનિક DPI સોલ્યુશન દ્વારા અવરોધિત છે (ચાલો, ઉદાહરણ તરીકે, પ્રખ્યાત ટોરેન્ટ ટ્રેકર rutracker.nl લઈએ). જ્યારે અમે ટોરેન્ટ ટ્રેકરની વેબસાઈટને એક્સેસ કરવાનો પ્રયાસ કરીએ છીએ, ત્યારે અમે પ્રદાતાનું માનક સ્ટબ જોઈએ છીએ જે દર્શાવે છે કે સંસાધન અવરોધિત છે:

RKN વેબસાઇટ પર આ ડોમેન ખરેખર સ્ટોપ લિસ્ટમાં સૂચિબદ્ધ છે:

જ્યારે તમે whois ક્વેરી કરો છો, ત્યારે તમે જોઈ શકો છો કે મેઘ પ્રદાતા Cloudflare પાછળ ડોમેન પોતે "છુપાયેલ" છે.

પરંતુ RKN ના "નિષ્ણાતો" થી વિપરીત, Beeline (અથવા અમારા પ્રખ્યાત નિયમનકારના કડવા અનુભવ દ્વારા શીખવવામાં આવેલા) ના વધુ તકનીકી રીતે સમજદાર કર્મચારીઓએ IP એડ્રેસ દ્વારા સાઇટ પર મૂર્ખતાપૂર્વક પ્રતિબંધ મૂક્યો નથી, પરંતુ સ્ટોપ લિસ્ટમાં ડોમેન નામ ઉમેર્યું છે. તમે આને સરળતાથી ચકાસી શકો છો જો તમે સમાન IP સરનામાં પાછળ અન્ય કયા ડોમેન્સ છુપાયેલા છે તે જુઓ, તેમાંથી એકની મુલાકાત લો અને જુઓ કે ઍક્સેસ અવરોધિત નથી:

આ કેવી રીતે થાય છે? પ્રદાતાના DPIને કેવી રીતે ખબર પડે છે કે મારું બ્રાઉઝર કયા ડોમેન પર છે, કારણ કે તમામ સંચાર https પ્રોટોકોલ દ્વારા થાય છે, અને અમે હજી સુધી બીલાઇનમાંથી https પ્રમાણપત્રોની અવેજીમાં નોંધ્યું નથી? શું તે દાવેદાર છે અથવા મને અનુસરવામાં આવે છે?

ચાલો વાયરશાર્ક દ્વારા ટ્રાફિકને જોઈને આ પ્રશ્નનો જવાબ આપવાનો પ્રયાસ કરીએ

સ્ક્રીનશોટ બતાવે છે કે પ્રથમ બ્રાઉઝર સર્વરનું IP સરનામું DNS દ્વારા મેળવે છે, પછી ગંતવ્ય સર્વર સાથે પ્રમાણભૂત TCP હેન્ડશેક થાય છે, અને પછી બ્રાઉઝર સર્વર સાથે SSL કનેક્શન સ્થાપિત કરવાનો પ્રયાસ કરે છે. આ કરવા માટે, તે એક SSL ક્લાયંટ હેલો પેકેટ મોકલે છે, જેમાં સ્પષ્ટ લખાણમાં સ્ત્રોત ડોમેનનું નામ હોય છે. કનેક્શનને યોગ્ય રીતે રૂટ કરવા માટે આ ફીલ્ડ ક્લાઉડફ્લેર ફ્રન્ટએન્ડ સર્વર દ્વારા જરૂરી છે. આ તે છે જ્યાં પ્રદાતા DPI અમારું જોડાણ તોડીને અમને પકડે છે. તે જ સમયે, અમને પ્રદાતા તરફથી કોઈ સ્ટબ પ્રાપ્ત થતો નથી, અને અમે માનક બ્રાઉઝર ભૂલને જોતા હોઈએ છીએ કે જો સાઇટ અક્ષમ છે અથવા ફક્ત કામ કરતી નથી:

હવે ચાલો બ્રાઉઝરમાં eSNI મિકેનિઝમને સક્ષમ કરીએ, જે માટેની સૂચનાઓમાં લખેલું છે ફાયરફોક્સ :
આ કરવા માટે આપણે ફાયરફોક્સ રૂપરેખાંકન પૃષ્ઠ ખોલીએ છીએ about: config અને નીચેની સેટિંગ્સને સક્રિય કરો:

network.trr.mode = 2;
network.trr.uri = https://mozilla.cloudflare-dns.com/dns-query
network.security.esni.enabled = true

આ પછી, અમે તપાસ કરીશું કે ક્લાઉડફ્લેર વેબસાઇટ પર સેટિંગ્સ યોગ્ય રીતે કાર્ય કરી રહી છે. કડી અને ચાલો ફરીથી અમારા ટોરેન્ટ ટ્રેકર સાથે યુક્તિ અજમાવીએ.

વોઇલા. અમારું મનપસંદ ટ્રેકર કોઈપણ VPN અથવા પ્રોક્સી સર્વર વિના ખુલ્યું. ચાલો હવે શું થયું તે જોવા માટે વાયરશાર્કમાં ટ્રાફિક ડમ્પ જોઈએ.

આ વખતે, ssl ક્લાયંટ હેલો પેકેજ સ્પષ્ટપણે ગંતવ્ય ડોમેન સમાવતું નથી, પરંતુ તેના બદલે, પેકેજમાં એક નવું ફીલ્ડ દેખાયું છે - encrypted_server_name - આ તે છે જ્યાં rutracker.nl નું મૂલ્ય સમાયેલું છે, અને ફક્ત ક્લાઉડફ્લેર ફ્રન્ટએન્ડ સર્વર આને ડિક્રિપ્ટ કરી શકે છે. ક્ષેત્ર અને જો એમ હોય, તો પછી પ્રદાતા DPI પાસે હાથ ધોવા અને આવા ટ્રાફિકને મંજૂરી આપવા સિવાય કોઈ વિકલ્પ નથી. એન્ક્રિપ્શન સાથે અન્ય કોઈ વિકલ્પો નથી.

તેથી, અમે બ્રાઉઝરમાં ટેક્નોલોજી કેવી રીતે કામ કરે છે તે જોયું. હવે ચાલો તેને વધુ ચોક્કસ અને રસપ્રદ વસ્તુઓ પર લાગુ કરવાનો પ્રયાસ કરીએ. અને પ્રથમ, અમે સમાન કર્લને TLS 1.3 સાથે કામ કરવા માટે eSNI નો ઉપયોગ કરવાનું શીખવીશું, અને તે જ સમયે અમે જોઈશું કે eSNI-આધારિત ડોમેન ફ્રન્ટિંગ પોતે કેવી રીતે કાર્ય કરે છે.

eSNI સાથે ડોમેન ફ્રન્ટિંગ

હકીકત એ છે કે curl https પ્રોટોકોલ દ્વારા કનેક્ટ કરવા માટે પ્રમાણભૂત openssl લાઇબ્રેરીનો ઉપયોગ કરે છે, સૌ પ્રથમ આપણે ત્યાં eSNI સપોર્ટ પ્રદાન કરવાની જરૂર છે. હજુ સુધી openssl માસ્ટર બ્રાન્ચમાં કોઈ eSNI સપોર્ટ નથી, તેથી અમારે એક ખાસ openssl બ્રાન્ચ ડાઉનલોડ કરવાની, તેને કમ્પાઈલ કરીને ઇન્સ્ટોલ કરવાની જરૂર છે.

અમે GitHub માંથી રીપોઝીટરીને ક્લોન કરીએ છીએ અને હંમેશની જેમ કમ્પાઇલ કરીએ છીએ:

$ git clone https://github.com/sftcd/openssl
$ cd openssl
$ ./config

$ make
$ cd esnistuff
$ make

આગળ, અમે રિપોઝીટરીને કર્લ વડે ક્લોન કરીએ છીએ અને અમારી સંકલિત ઓપનએસએલ લાઇબ્રેરીનો ઉપયોગ કરીને તેનું સંકલન ગોઠવીએ છીએ:

$ cd $HOME/code
$ git clone https://github.com/niallor/curl.git curl-esni
$ cd curl-esni

$ export LD_LIBRARY_PATH=/opt/openssl
$ ./buildconf
$ LDFLAGS="-L/opt/openssl" ./configure --with-ssl=/opt/openssl --enable-esni --enable-debug

અહીં તે બધી ડિરેક્ટરીઓનો યોગ્ય રીતે ઉલ્લેખ કરવો મહત્વપૂર્ણ છે જ્યાં openssl સ્થિત છે (અમારા કિસ્સામાં, આ /opt/openssl/ છે) અને ખાતરી કરો કે રૂપરેખાંકન પ્રક્રિયા ભૂલો વિના પસાર થાય છે.

જો રૂપરેખાંકન સફળ થાય, તો આપણે લીટી જોશું:

ચેતવણી: esni ESNI સક્ષમ છે પરંતુ પ્રાયોગિક તરીકે ચિહ્નિત થયેલ છે. સાવધાની સાથે ઉપયોગ કરો!

$ make

સફળતાપૂર્વક પેકેજ બનાવ્યા પછી, અમે curl રૂપરેખાંકિત કરવા અને ચલાવવા માટે openssl માંથી વિશિષ્ટ bash ફાઇલનો ઉપયોગ કરીશું. ચાલો તેને સગવડ માટે curl સાથે ડિરેક્ટરીમાં કૉપિ કરીએ:

cp /opt/openssl/esnistuff/curl-esni 

અને Wireshark માં DNS અને TLS પેકેટો રેકોર્ડ કરતી વખતે, ક્લાઉડફ્લેર સર્વરને એક પરીક્ષણ https વિનંતી કરો.

$ ESNI_COVER="www.hello-rkn.ru" ./curl-esni https://cloudflare.com/

સર્વર પ્રતિસાદમાં, ઓપનએસએલ અને કર્લમાંથી ઘણી બધી ડીબગીંગ માહિતી ઉપરાંત, અમને ક્લાઉડફ્લેર તરફથી કોડ 301 સાથે HTTP પ્રતિસાદ પ્રાપ્ત થશે.

HTTP/1.1 301 Moved Permanently
< Date: Sun, 03 Nov 2019 13:12:55 GMT
< Transfer-Encoding: chunked
< Connection: keep-alive
< Cache-Control: max-age=3600
< Expires: Sun, 03 Nov 2019 14:12:55 GMT
< Location: https://www.cloudflare.com/

જે સૂચવે છે કે અમારી વિનંતી સફળતાપૂર્વક ગંતવ્ય સર્વર પર પહોંચાડવામાં આવી હતી, સાંભળવામાં આવી હતી અને પ્રક્રિયા કરવામાં આવી હતી.

હવે ચાલો વાયરશાર્કમાં ટ્રાફિક ડમ્પ જોઈએ, એટલે કે. આ કેસમાં પ્રદાતા DPIએ શું જોયું.

તે જોઈ શકાય છે કે ક્લાઉડફ્લેર સર્વર માટેની સાર્વજનિક eSNI કી માટે કર્લ પ્રથમ DNS સર્વર તરફ વળ્યું - _esni.cloudflare.com (પેકેજ નંબર 13) પર TXT DNS વિનંતી. પછી, openssl લાઇબ્રેરીનો ઉપયોગ કરીને, curl એ ક્લાઉડફ્લેર સર્વરને TLS 1.3 વિનંતી મોકલી જેમાં SNI ફીલ્ડને પાછલા પગલા (પેકેટ #22) માં મેળવેલી સાર્વજનિક કી સાથે એન્ક્રિપ્ટ કરવામાં આવ્યું હતું. પરંતુ, eSNI ફીલ્ડ ઉપરાંત, SSL-hello પેકેટમાં સામાન્ય - ઓપન SNI સાથેનું ફીલ્ડ પણ સામેલ છે, જેને આપણે કોઈપણ ક્રમમાં સ્પષ્ટ કરી શકીએ છીએ (આ કિસ્સામાં - www.hello-rkn.ru).

જ્યારે ક્લાઉડફ્લેર સર્વર્સ દ્વારા પ્રક્રિયા કરવામાં આવે ત્યારે આ ઓપન SNI ફીલ્ડને કોઈપણ રીતે ધ્યાનમાં લેવામાં આવતું ન હતું અને માત્ર પ્રદાતા DPI માટે માસ્ક તરીકે સેવા આપવામાં આવી હતી. ક્લાઉડફ્લેર સર્વરે અમારું ssl-hello પેકેટ મેળવ્યું, eSNI ને ડિક્રિપ્ટ કર્યું, ત્યાંથી અસલ SNI કાઢ્યું અને જાણે કંઈ થયું જ ન હોય તેમ તેની પ્રક્રિયા કરી (eSNI વિકસાવતી વખતે તે બધું બરાબર આયોજન પ્રમાણે કર્યું).

DPI દૃષ્ટિકોણથી આ કેસમાં માત્ર એક જ વસ્તુ પકડી શકાય છે તે છે _esni.cloudflare.com ને પ્રાથમિક DNS વિનંતી. પરંતુ અમે DNS વિનંતિ ફક્ત તે બતાવવા માટે ખોલી છે કે આ મિકેનિઝમ અંદરથી કેવી રીતે કાર્ય કરે છે.

આખરે DPI ની નીચેથી ગાદલાને બહાર કાઢવા માટે, અમે પહેલાથી જ ઉલ્લેખિત DNS-ઓવર-HTTPS મિકેનિઝમનો ઉપયોગ કરીએ છીએ. થોડી સમજૂતી - DOH એ એક પ્રોટોકોલ છે જે તમને HTTPS પર DNS વિનંતી મોકલીને મેન-ઇન-ધ-મિડલ હુમલા સામે રક્ષણ આપવા દે છે.

ચાલો ફરીથી વિનંતીનો અમલ કરીએ, પરંતુ આ વખતે અમે https પ્રોટોકોલ દ્વારા જાહેર eSNI કી પ્રાપ્ત કરીશું, DNS નહીં:

ESNI_COVER="www.hello-rkn.ru" DOH_URL=https://mozilla.cloudflare-dns.com/dns-query ./curl-esni https://cloudflare.com/

વિનંતી ટ્રાફિક ડમ્પ નીચેના સ્ક્રીનશોટમાં બતાવવામાં આવે છે:

તે જોઈ શકાય છે કે કર્લ સૌપ્રથમ DoH પ્રોટોકોલ (સર્વર 104.16.249.249 સાથે https કનેક્શન) દ્વારા mozilla.cloudflare-dns.com સર્વરને એક્સેસ કરે છે અને તેમની પાસેથી SNI એન્ક્રિપ્શન માટેની સાર્વજનિક કીના મૂલ્યો મેળવવા માટે અને પછી ગંતવ્ય સ્થાન સુધી પહોંચે છે. સર્વર, ડોમેનની પાછળ છુપાયેલું www.hello-rkn.ru.

ઉપરોક્ત DoH રિઝોલ્વર mozilla.cloudflare-dns.com ઉપરાંત, અમે અન્ય લોકપ્રિય DoH સેવાઓનો ઉપયોગ કરી શકીએ છીએ, ઉદાહરણ તરીકે, પ્રખ્યાત દુષ્ટ કોર્પોરેશન તરફથી.
ચાલો નીચેની ક્વેરી ચલાવીએ:

ESNI_COVER="www.kremlin.ru" DOH_URL=https://dns.google/dns-query ./curl-esni https://rutracker.nl/

અને અમને જવાબ મળે છે:

< HTTP/1.1 301 Moved Permanently
< Date: Sun, 03 Nov 2019 14:10:22 GMT
< Content-Type: text/html
< Transfer-Encoding: chunked
< Connection: keep-alive
< Set-Cookie: __cfduid=da0144d982437e77b0b37af7d00438b1a1572790222; expires=Mon, 02-Nov-20 14:10:22 GMT; path=/; domain=.rutracker.nl; HttpOnly; Secure
< Location: https://rutracker.nl/forum/index.php
< CF-Cache-Status: DYNAMIC
< Expect-CT: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
< Server: cloudflare
< CF-RAY: 52feee696f42d891-CPH

આ કિસ્સામાં, અમે DoH રિઝોલ્વર dns.google નો ઉપયોગ કરીને અવરોધિત rutracker.nl સર્વર તરફ વળ્યા (અહીં કોઈ ટાઇપો નથી, હવે પ્રખ્યાત કોર્પોરેશનનું પોતાનું પ્રથમ-સ્તરનું ડોમેન છે) અને અન્ય ડોમેન સાથે અમારી જાતને આવરી લીધી, જે સખત રીતે તમામ DPIs માટે મૃત્યુની પીડા હેઠળ અવરોધિત કરવા માટે પ્રતિબંધિત છે. પ્રાપ્ત પ્રતિસાદના આધારે, તમે સમજી શકો છો કે અમારી વિનંતી પર સફળતાપૂર્વક પ્રક્રિયા કરવામાં આવી હતી.

પ્રદાતાનો DPI ઓપન SNI ને પ્રતિસાદ આપે છે તેની વધારાની તપાસ તરીકે, જેને અમે કવર તરીકે ટ્રાન્સમિટ કરીએ છીએ, અમે કેટલાક અન્ય પ્રતિબંધિત સંસાધનોની આડમાં rutracker.nl ને વિનંતી કરી શકીએ છીએ, ઉદાહરણ તરીકે, અન્ય "સારા" ટોરેન્ટ ટ્રેકર:

$ ESNI_COVER="rutor.info" DOH_URL=https://dns.google/dns-query ./curl-esni https://rutracker.nl/

અમને સર્વર તરફથી પ્રતિસાદ પ્રાપ્ત થશે નહીં, કારણ કે... અમારી વિનંતી DPI સિસ્ટમ દ્વારા અવરોધિત કરવામાં આવશે.

પ્રથમ ભાગનો ટૂંકો નિષ્કર્ષ

તેથી, અમે openssl અને curl નો ઉપયોગ કરીને eSNI ની કાર્યક્ષમતા દર્શાવવામાં અને eSNI પર આધારિત ડોમેન ફ્રન્ટિંગની કામગીરીનું પરીક્ષણ કરવામાં સક્ષમ હતા. એ જ રીતે, અમે અમારા મનપસંદ ટૂલ્સને અનુકૂલિત કરી શકીએ છીએ જે ઓપનએસએલ લાઇબ્રેરીનો ઉપયોગ અન્ય ડોમેન્સની "આડમાં" કરવા માટે કરે છે. અમારા આગામી લેખોમાં આ વિશે વધુ વિગતો.

સોર્સ: www.habr.com