Научная статья на тему 'Технология сокрытия конечного адреса Domain Fronting'

Технология сокрытия конечного адреса Domain Fronting Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
4604
245
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
АНОНИМИЗАЦИЯ / ДЕАНОНИМИЗАЦИЯ / ПРОКСИ-СЕРВЕР / СИСТЕМА TOR / СКРЫТАЯПЕРЕДАЧА ИНФОРМАЦИИ / ГЛУБОКИЙ АНАЛИЗ ПАКЕТОВ / СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ / СИСТЕМЫ ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ / СЕТЬ ДОСТАВКИ СОДЕРЖИМОГО / КАНАЛ УТЕЧКИ ИНФОРМАЦИИ / ОБХОД БЛОКИРОВОК ИНТЕРНЕТРЕСУРСОВ / MEEK / ЗАГОЛОВКИ HTTP / TLS / HTTPS / ANONYMIZATION / DEANONYMIZATION / PROXY-SERVER / TOR SYSTEM / HIDDEN DATA TRANSFER / DEEP PACKET INSPECTION / INTRUSION PREVENTION SYSTEM / INTRUSION DETECTION SYSTEM / CONTENT DELIVERY NETWORK / DATA LEAK CHANNEL / BYPASSING THE INTERNET RESOURCES BLOCK / HTTP HEADERS

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Тюрин Кай Андреевич, Черкесова Лариса Владимировна, Сафарьян Ольга Александровна

Сеть Интернет в современном представлении является очень большой и сложной системой, состоящей из множества промежуточных узлов, которые могут контролироваться различными людьми, организациями или государственными структурами. Этот факт предъявляет особенные требования к передаче данных, содержание которых может быть конфиденциальным. Существует большое число различных технологий, позволяющих скрывать содержимое передаваемых данных при помощи средств криптографии. Тем не менее, часто возникает задача сокрытия не только передаваемых данных, но и самого факта их передачи. Для достижения этой цели необходимо сокрыть факт обращения к ресурсу, на который(илискоторого) будетпроизводитьсяпередачаданных. Внастоящеевремядляэтогоприменяются технологии ретрансляции трафика в реальном времени, иначе называемые проксированием. Однако, использование узлов ретрансляции может не решать проблему полностью, к тому же требует сложных технических и административных мер по поддержке необходимой инфраструктуры ретрансляции. В статье предложенопрактическоеприменениеметодапостроениятуннеляретрансляции, позволяющегоскрывать факт обращения к удаленному ресурсу за обращением к публичным ресурсам. Этот метод заключается в особенности некоторых серверов перенаправлять принятые запросы по адресу, переданному через заголовки пакета запроса. Так как заголовки пакета могут быть зашифрованы целевой домен может быть скрыт за публичным. Несмотря на то, что обратиться таким образом к произвольному домену не представляется возможным, это позволяет разместить сервер ретрансляции в зоне, доверенной для публичного сервера. Такой сервер ретрансляции, в свою очередь, может осуществлять запросы к произвольным адресам. Экспериментальные исследования показали эффективность использования этого метода и возможность его применения для практических задач.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Тюрин Кай Андреевич, Черкесова Лариса Владимировна, Сафарьян Ольга Александровна

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

The Technology of Hiding the Destination Address Domain Fronting

Modern Internet network is big and complex system that consists of many intermediate nodes. These nodes may be under the control of different people, organizations or governments. Because of this, the data transfer is very important to be confidential. There are exist many technologies that provide to encrypt data with cryptography methods. But some cases require hiding not only data but the fact of transferring. To do this it is necessary to disguise the requesting resource. For this purpose are used technologies of real-time traffic relaying. These technologies are called proxying. But using of proxy servers may not completely solve the problem and require technical and administrative measures to maintain the relaying infrastructure. In this paper, we present the application of creating a relaying tunnel that masks request to the forbidden resources with the public resources. This method is based on the fact that some servers could redirect some requests to the address from request header. It cause opportunity to hide required domain behind the public one. One cannot make request to arbitrary address this way, but it possible to place some retranslation server in some public server trust zone. This proxy-server should allow to connect to any Internet address. Experimental research showed that this method can be used for any practical needs.

Текст научной работы на тему «Технология сокрытия конечного адреса Domain Fronting»

I ТЕХНОЛОГИЯ СОКРЫТИЯ КОНЕЧНОГО АДРЕСА DOMAIN FRONTING

Тюрин К.А.1, Черкесова Л.В.2, Сафарьян О.А.3

Сеть Интернет в современном представлении является очень большой и сложной системой, состоящей из множества промежуточных узлов, которые могут контролироваться различными людьми, организациями или государственными структурами. Этот факт предъявляет особенные требования к передаче данных, содержание которых может быть конфиденциальным. Существует большое число различных технологий, позволяющих скрывать содержимое передаваемых данных при помощи средств криптографии. Тем не менее, часто возникает задача сокрытия не только передаваемых данных, но и самого факта их передачи. Для достижения этой цели необходимо сокрыть факт обращения к ресурсу, на который (или с которого) будет производиться передача данных. В настоящее время для этого применяются технологии ретрансляции трафика в реальном времени, иначе называемые проксированием. Однако, использование узлов ретрансляции может не решать проблему полностью, к тому же требует сложных технических и административных мер по поддержке необходимой инфраструктуры ретрансляции. В статье предложено практическое применение метода построения туннеля ретрансляции, позволяющего скрывать факт обращения к удаленному ресурсу за обращением к публичным ресурсам. Этот метод заключается в особенности некоторых серверов перенаправлять принятые запросы по адресу, переданному через заголовки пакета запроса. Так как заголовки пакета могут быть зашифрованы целевой домен может быть скрыт за публичным. Несмотря на то, что обратиться таким образом к произвольному домену не представляется возможным, это позволяет разместить сервер ретрансляции в зоне, доверенной для публичного сервера. Такой сервер ретрансляции, в свою очередь, может осуществлять запросы к произвольным адресам. Экспериментальные исследования показали эффективность использования этого метода и возможность его применения для практических задач.

Ключевые слова: анонимизация, деанонимизация, прокси-сервер, система TOR, скрытая передача информации, глубокий анализ пакетов, системы обнаружения вторжений, системы предотвращения вторжений, сеть доставки содержимого, канал утечки информации, обход блокировок Интернет-ресурсов, meek, заголовки HTTP, TLS, HTTPS.

DOI: 10.21581/2311-3456-2017-3-43-48

Введение. С ростом и развитием интернет-технологий возникли требования по их регулированию. Сеть Интернет представляет собой развитую инфраструктуру и становится важным контроль доступа пользователей к различным ресурсам. В частности, появляются задачи ограничения доступа или установления факта обращения пользователей к конкретным ресурсам. Такие мероприятия производятся в различных масштабах, начиная от небольших корпоративных сетей и заканчивая государственным уровнем. Необходимость контроля объясняется требованиями к безопасности.

Так, для корпоративных сетей важным является устранение возможности утечки конфиденциальной информации, что выделяет две важные подзадачи: предотвращение вторжения злоумышленника и вредоносного ПО во внутреннюю сеть

и предотвращение отправки чувствительной информации сотрудниками.

Для государственных нужд контроль передачи информации необходим с целью обнаружения преступных действий. Как правило, контроль осуществляется путем анализа передаваемого трафика.

В качестве другой меры обеспечения безопасности на различных уровнях применяются методы блокировки доступа к ресурсам [1]. Их можно разделить на две категории: «белые» и «черные» списки.

Наличие «черных» списков подразумевает запрет доступа пользователей на определенные ресурсы, в то время как доступ к ресурсам, отсутствующим в этом списке, не подвергается ограничению. Политика «белых» списков является более строгой за счет того, что доступ к произвольному

1 Тюрин Кай Андреевич, научный сотрудник, Федеральное государственное автономное научное учреждение «Научно-исследовательский институт «Специализированные вычислительные устройства защиты и автоматика» (ФГАНУ НИИ «Спецвузавтоматика»), Ростов-на- Дону, Россия. E-mail: [email protected]

2 Черкесова Лариса Владимировна, профессор, доктор физико-математических наук, Донской государственный технический университет, Ростов-на-Дону, Россия. E-mail: [email protected]

3 Сафарьян Ольга Александровна, доцент, кандидат технических наук, Донской государственный технический университет, Ростов-на-Дону, Россия. E-mail: [email protected]

ресурсу по умолчанию запрещен, за исключением ресурсов, находящихся в списке. Таким образом, можно выделить следующие возможные варианты стороннего наблюдателя:

- локальный администратор сети;

- IDS (англ. Intrusion Détection System — системы обнаружения вторжений) — программное обеспечение, предназначенное для анализа сетевых соединений и передаваемых через них данных с целью обнаружения попыток проникновения злоумышленником [2];

- IPS (англ. Intrusion Prévention System — системы предотвращения вторжений) — программное обеспечение, обладающее функционалом IDS, которое, кроме возможности обнаружения вторжений, предоставляет также возможность автоматизированного противодействия с целью защиты внутренней сети [3];

- DLP (англ. Data Leak Prevention — предотвращение утечек информации) — системы анализа передаваемых пользователем во внешнюю сеть данных, совершающие их анализ на предмет чувствительной информации [4];

- системы обнаружения аномалий — программное обеспечение, предназначенное для анализа действий пользователя и обнаружения отклонений в его поведении [5];

- СОРМ (Системы оперативно-розыскных мероприятий) — аппаратно-программные комплексы, предназначенные для анализа передаваемых пользователями сети данных [6];

- другие системы и субъекты сети, имеющие доступ к передаваемым данным.

При разработке методов построения скрытых каналов передачи необходимо учитывать, что все вышеперечисленные варианты стороннего наблюдателя могут использовать технологии DPI (англ. Deep Packet Inspection - глубокий анализ пакета), которые позволяют анализировать не только заголовки, но и содержимое передаваемых пакетов [7].

Несмотря на то, что контроль передаваемой информации производится с целью обеспечения безопасности, существуют ситуации, в которых необходимо сохранить конфиденциальность передаваемых данных и скрыть факт их передачи. В качестве противодействия методам ограничения или контроля доступа к ресурсу используется технология ретрансляции сетевого трафика через промежуточные узлы сети.

Однако технологии ретрансляции сетевого трафика в большинстве случаев не обладают способами сокрытия факта их использования от

стороннего наблюдателя. Так, обращение к некоторому прокси -серверу может расцениваться как аномальное поведение для пользователя (особенно если при этом необходимо пользоваться нетипичным для данного пользователя протоколом). Регулярность обращения так же может представлять собой подозрительное поведение.

В данной статье рассматривается именно задача сокрытия подключения к первому узлу цепочки ретрансляции (или единственному).

Перед тем, как рассматривать методы сокрытия использования средств ретрансляции, необходимо рассмотреть основные стратегии их использования.

Основные методы использования технологий ретрансляции. К системам ретрансляции могут применяться различные требования в зависимости от поставленных задач. Рассмотрим подробнее проксирование трафика на примере трех основных векторов его применения: анони-мизация, обход блокировок ресурсов и сокрытие обращения.

Применение технологии ретрансляции трафика в рамках задач анонимизации основывается на том факте, что свойства профиля пользователя, информация о котором известна ресурсу назначения, будут отличаться от свойств клиента (например, ресурс будет обладать информацией об 1Р-адресе последнего узла цепочки ретрансляции, а не о настоящем адресе пользователя).

Обход блокировки ресурса подразумевает, что для пользователей из определенного государства (или пользователей определенной сети) может быть запрещен доступ к некоторому ресурсу. Тем не менее, они могут иметь свободный доступ к использованию некоторого узла ретрансляции, который, в свою очередь, может иметь доступ к ресурсу. В таком случае компьютер пользователя и узел ретрансляции находятся в различных сегментах сети.

В рамках задачи сокрытия посещения ресурса становится необходимо «замаскировать» использование одного ресурса под использование другого. При этом может быть несущественным, что будет знать о пользователе сам ресурс. Также не является значимым наличие или запрет непосредственного доступа к ресурсу из локальной сети пользователя.

Несмотря на то, что сокрытие факта посещения часто является одним из этапов анонимизации, в данной работе эти задачи рассматриваются отдельно.

Domain Fronting. Рассматриваемая в статье технология основывается на особенности протокола HTTPS. Пакеты данного протокола содержат два набора заголовков. Часть заголовков, относящихся к протоколу TLS [8], находятся в открытой части сообщения, в то время как другая часть, относящаяся к протоколу HTTP, находится в зашифрованной части пакета. В обоих множествах заголовков существует поле, содержащее доменное имя ресурса назначения, значения которого могут отличаться в пределах одного пакета. Стороннему наблюдателю доступно только открытое множество заголовков. Таким образом, возможно скрывать реальный адрес обращения в шифрованную область HTTPS-пакета, в то время как открытая часть содержит адрес другого сервера, обращение к которому не запрещено.

TLS

SNI: allowed.example

HTTP

Host: forbidden.example

Рис. 1. Схематичное изображение HTTPS пакета

На рисунке 1 изображено схематичное изображения HTTPS пакета, где протокол TLS инкапсулирует HTTP. Протокол TLS содержит заголовок SNI (Server Name Indication) — указание имени сервера. Этот заголовок используется для аутентификации и содержит адрес сервера, к которому напрямую подключается клиент. Так как значение заголовка SNI совпадает с реальным адресом сервера, оно не представляет никакого интереса для стороннего наблюдателя. В свою очередь, зашиф-

рованный HTTP пакет не доступен для наблюдателя и может содержать в качестве значения заголовка Host доменное имя (или адрес) ресурса, к которому клиент действительно хочет произвести запрос. При получении такого пакета ресурс, обладающий необходимым функционалом, может ретранслировать запрос на нужный сервер.

Для использования исследуемого метода на практике возникает необходимость в наличии разрешенного домена, позволяющего получить доступ к узлу ретрансляции. В качестве таких серверов могут применяться ресурсы, использующие технологию CDN (Content Delivery Network — Сеть доставки данных), в основе которой лежит идея распределения серверов отправки данных для сглаживания географических и региональных особенностей обращения клиентов к ресурсам [9]. Так, обращение к одному и тому же ресурсу из различных мест может повлечь за собой получение ответа с ближайших серверов (за счет технологии anycast), несмотря на то, что со стороны клиента соединение выглядит так же, как и при соединении с единственным сервером (за счет технологии проксирования). Таким образом, благодаря Domain Fronting можно обращаться к общеизвестному домену, отправляя через него запросы к узлу ретрансляции, который, в свою очередь, может осуществлять соединение с запрещенными ресурсами.

В качестве примеров использования CDN можно представить облачных провайдеров, например, Google, Amazon или Azure. Они могут предоставлять доступ к серверам приложений, размещенных в их инфраструктуре.

Существующие реализации. Описываемая в данной статье технология используется в пакете расширения возможностей системы анонимиза-ции Tor [10]. Этот пакет называется meek и состоит из нескольких частей:

• meek-client реализует возможность соединения с сетью Tor с использованием Domain Fronting на стороне клиента;

• meek-browser-client предназначен для решения проблемы возможности обнаружения

в ~ □ X

llser@Acer ~ $ wget -q -0 - https://aO.awsstafic.com/ --header 'Host: I'm just a happy little web server. d2zfqthxsdq309.cloudfront.net' A

llser@Acer ~ $ 1 V

Рис.2. Пример обращения к ресурсу

£ *Беспроводная сеть [Wireshark 1.12.7 (v1.12.7-0-g7fc8978 from master-1.12)] File Edit View Go Capture Analyze Statistics Telephony Tools Internals □ X Help

Filter: ip.dst = = 54.192.130.89 || ip.src == 54.192.130.89 Expression.,. Clear Apply Save

Time

Source

Desti natío

Protocol Length Info

1123 3.900007000 192.168.1.8

1124 3.900549000 192.168.1.t

12 34

1236

1237

1238

1239

1240 1260

3.978515000 3.987897000 3.987900000 3.987901000 3.988060000 3.991277000 3.991627000

54.192.130.89

54.192.130.89

54.192.130.89

54.192.130.89

192.168.1.8

54.192.130.89

192.168.1.8

54.192.130.89

54.192.130. 89

192.168.1.8

192.168.1.8

192.168.1.8

192.168.1.8

54.192.130. 89

192.168.1.8

54.192.130. 89

54 53833-443 [ACK] Seq=l Ack=l W

TCP

TLSvl.2 575 Client hello

TCP 54 443-53833 [ACK] 5eq=l Ack=522

TLSvl.2 1434 server Hello

TLSvl.2 1434 certificate

TCP 1434 [TCP segment of a reassembled

TCP 54 53833-443 [ACK] Seq-522 Ack=4

TLSvl.2 557 certificate Status

TCP 54 53833-443 [ACKl Seq=522 Ack-4

OOaO 00 35 00 3d 00 41 00 ba 00 84 00 CO 00 Oa 00 05

OObO 00 04 00 9e 00 9t CO 7c CO 7d 00 33 00 67 00 39

OOcO 00 6b 00 45 00 be 00 88 00 c4 00 16 00 a2 00 a3

OOdO CO 80 CO 81 00 32 00 40 00 38 00 6a 00 44 00 bd

OOeO 00 87 00 c3 00 13 00 66 01 00 01 53 00 05 00 05

OOfO 111 UU ou uu ou UO ou UO lb OU 13 OU UO 1U L2J Eh

0100 MS [¡Jl [$] 141 [¡59 1*1* rr til

0110 00 01 00 00 23 00 00 UO Oa 00 Oc 00 Oa 00 17 00

0120 18 00 19 00 15 Û0 13 Û0 Ob 00 02 01 00 00 Od 00

. 5. =. A. .

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

.......

.k.E____

EB

. }. 3. g. 9

. 8.j. D. .

___s____

О Server Name (s-sl.handshake.extensions_server_name), 16 bytes Packets: 5126 ■ Displayed: 18 (0,4%) - Dropp...

Рис.3. Доменное имя в клиентском пакете

Profile: Default

использования технологии Domain Fronting на основе анализа TLS-отпечатков;

• meek server устанавливается на сервер в инфраструктуре CDN и служит для проксирова-ния соединения ко входным узлам сети Tor.

На момент написания статьи пакет meek поддерживает использование следующих CDN: Google App Engine (meek-google); Amazon CloudFront (meek-amazon); Microsoft Azure (meek-azure). Экспериментальное исследование. Для проверки использования данного метода было произведено обращение к серверу meek, находящемуся в CDN Amazon CloudFront (рис.2).

Весь трафик, передаваемый в процессе данного соединения, был записан при помощи ПО Wire-

shark 1.12.7. Анализ пакетов показал, что они не содержат информации о ресурсе, с которого были непосредственно получены данные.

При этом пакеты, передаваемые в начале сессии, содержат доменное имя сервера CDN (рис. 3, 4).

Выводы. Рассмотренная в данной статье технология Domain Fronting может быть использована для сокрытия факта обращения к определенному ресурсу или для обхода блокировок, использующих анализ содержимого передаваемых пакетов. Данный метод может быть полезен для задач:

1. Анонимизации. Сокрытие факта использования средств ретрансляции и маскирование сессии усложняет задачу сопоставления пользователя и ресурса.

Ж ^Беспроводная сеть [Wireshark 1.12.7 (v1.12.7-0-g7fc8978 from master-1.12)]

File Edit View Go Capture Analyze Statistics Telephony Tools internals Help

«ill 0

% I 0

Filter: ip.dst == 54.192,130.89|| ip.src == 54.192.130,® No. Time

Source

.l.S

J Expression.,. Clear Protocol Length Info

Apply

1122 3.899808000 54.192.130.89

192.168.1.8

TCP

66 443-53833 [SYN, ACK] Seq<"0 Ac

1123 3.900007000 192.168.1.8

1124 3.900549000 192.168.1.8 1234 3.978515000 54.192.130.B9

1236 3.987897000 54.192.130.89

1237 3.987900000 54.192.130.89

1238 3.987901000 54.192.130.89

1239 3.988060000 192.168.1.8

1240 3.991277000 54.192.130.89 1260 3.991627000 192.168.1.8

54.192.130.89 54.192.130.89 192.168.1.8

192.168.1.8

192.168.1.8

54.192.130.89

192.168.1.8

54.192.130.89

TCP 54 53833-443 [ACK] seq=l Ack=l w

TLSvl.2 575 client Hello

TCP 54 443-53833 [ACK] Seq=l Ack=522

TLSvl.2 1434 Server Hello

tlsvI.2 1434 certificate

тер 1434 [тер segment of a reassembled

TCP 54 53833-443 [ACK] Seq.522 Ack-4

TLSvl.2 557 Certificate Status

TCP 54 53833-443 fACKl Seq.522 Ack-4 v

0170 0180 0190 OlaO OlbO OlcO OldO 01 eO OlfO

06 03 55 04 08 Oc Oa 57

6e 31 10 30 Oe 06 03 55

74 6c 65 31 19 30 17 06

61 7a 6f 6e 2e 63 6f 6d

30 16 06 03 55 04 03 Oc

ГДЖДгйЖгЯ 2e 63 6f 6d

2a 86 46 86 f7 Od 01 01

30 82 01 Oa 02 82 01 01

67 Ь4 36 29 15 4f 26 5d

61 73 68 69 6e 67 74 6f 04 07 Oc 07 53 65 61 74 03 55 04 Oa Oc 10 41 6d 2c 20 49 6e 63 2e 31 18 Of 2a 2e ai

30 82 01 22 30^5cH>6 09 01 05 00 03 82 01 Of 00 00 92 42 e7 49 00 82 3f 25 C2 bf Ь7 03 Oa 19 12

..u....w ashlngto

nl.O...0____Seat

tlel.O.. .u....Am azon.com , inc.1. 0. . . U. . . . " . hgfcb» FTm. com 0. . 0. . .

H.............

0.........B. I. .?

q.6)■0&] %.......

О & Secure Sockets Layer [ssl), 1380 bytes

Packets: 5126 • Displayed: 18 (0,4%)

Profile: Default

Рис.4. Доменное имя в серверном пакете

2. Обхода блокировок. Изменение назначения запроса на удаленном сервере и шифрование содержимого не позволяет провайдеру запретить доступ к ресурсу, так как с его стороны соединение будет выглядеть легитимным.

3. Сокрытие факта посещения. Подключение через прокси такого типа не вызывает подозре-

ний у администратора сети или средств контроля. Таким образом, Domain Fronting может применяться для построения скрытых (или маскированных) каналов передачи информации.

На текущий момент времени не существует устойчивых способов противодействия использованию данного метода.

Рецензент: Габриэльян Дмитрий Давыдович, профессор, доктор технических наук, заместитель начальника по науке научно-производственного комплекса ФГУП «Ростовский НИИ Радиосвязи», г. Ростов-на-Дону, Россия. E-mail: [email protected]

Литература:

1. Костырная О.Г., Максимов П.В. Ограничение доступа к сети Интернет: правовые аспекты и техническая реализация. Екатеринбург. Международный научно-исследовательский журнал. 2014. № 8-1 (27). С. 60 - 61.

2. Слугин И.А. Регуляция сетевого пространства в России: текущая ситуация и возможные перспективы. // Бизнес. Общество. Власть. М.: Национальный исследовательский университет «Высшая школа экономики». 2012. №12. С. 95-105.

3. Силантьева К.Ю. Системы обнаружения вторжений (IDS): Сборник статей международной научно-практической конференции, Уфа, 2015. С. 78 - 80.

4. Дугин Андрей Проектирование инфраструктуры IDS/IPS. архитектура сетевых систем // Системный администратор. М.: Синдикат 13. 2012. № 1 - 2 (110 - 111). С. 64-66.

5. Фаткиева Р. Р. Разработка метрик для обнаружения атак на основе анализа сетевого трафика. // Вестник Бурятского государственного университета. Математика, информатика. - 2013. - Вып. 9. - С. 81-86.

6. Слугин И.А. Регуляция сетевого пространства в России: текущая ситуация и возможные перспективы // Бизнес. Общество. Власть. М.: Национальный исследовательский университет «Высшая школа экономики». 2012. № 12. С. 95 - 105.

7. Чемодуров А.С., Карпутина А. Ю. Обзор средств фильтрации трафика в корпоративной сети // Научно-методический электронный журнал Концепт. Киров: Межрегиональный центр инновационных технологий в образовании. 2015. № 2. С. 71 - 75.

8. Рахманова З.Ч. Применение SSL/TLS-протокола и других способов защиты данных в WEB-приложениях: сб. научн. тр. Информационные технологии в экономике и управлении. Махачкала: Дагестанский государственный технический университет. 2015. С. 51 - 57.

9. Южанинов Р.И., Кокоулин А.Н., Даденков С.А. Сравнительный анализ методов моделирования сети доставки контента (CDN) // Наука и бизнес: пути развития. Тамбов: Фонд развития науки и культуры. 2016. №3. С. 42 - 44.

10. Кузичкина О.А. Сеть TOR как способ подключения к «глубокому» интернету // Интеллектуальный потенциал XXI века: ступени познания. Новосибирск: Общество с ограниченной ответственностью «Центр развития научного сотрудничества». 2014. № 25. С. 129-131.

THE TECHNOLOGY OF HIDING THE DESTINATION ADDRESS

DOMAIN FRONTING

K. Tyurin4, L. Cherckesova5, O. Safaryan6

Modern Internet network is big and complex system that consists of many intermediate nodes. These nodes may be under the control of different people, organizations or governments. Because of this, the data transfer is very important to be confidential. There are exist many technologies that provide to encrypt data with cryptography methods. But some cases require hiding not only data but the fact of transferring. To do this it is necessary to disguise the requesting resource. For this purpose are used technologies of real-time traffic relaying. These technologies are called proxying. But using of proxy servers may not completely solve the problem and require technical and administrative measures to maintain the relaying infrastructure. In this paper, we present the application of creating a relaying tunnel that masks request to the forbidden re-

4 Kay Tyurin, researcher, «Federal State Autonomous Scientific Establishment «Scientific Research Institute «Specialized Security Computing Devices and Automation» (FSASE «Spetsvuzavtomatika»), Rostov-on-Don, Russia. E-mail: [email protected]

5 Larissa Cherckesova, Dr. Sc., Prof., Don State Technical University, Rostov-on-Don, Russia. E-mail: [email protected]

6 Olga Safaryan, Ph.D., Associate Professor, Don State Technical University, Rostov-on-Don, Russia. E-mail: [email protected]

sources with the public resources. This method is based on the fact that some servers could redirect some requests to the address from request header. It cause opportunity to hide required domain behind the public one. One cannot make request to arbitrary address this way, but it possible to place some retranslation server in some public server trust zone. This proxy-server should allow to connect to any Internet address. Experimental research showed that this method can be used for any practical needs.

Keywords: anonymization, deanonymization, proxy -server, TOR system, hidden data transfer, deep packet inspection, intrusion prevention system, intrusion detection system, content delivery network, data leak channel, bypassing the Internet resources block, meek, HTTP headers, TLS, HTTPS.

References

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

1. Kostyrnaya O.G., Maksimov P.V. Ogranichenie dostupa k seti Internet: pravovye aspekty i tekhnicheskaya realizaciya. Ekaterinburg. Mezhdunarodnyj nauchno - issledovatel'skij zhurnal. 2014. № 8-1 (27). Pp. 60-61.

2. Slugin I.A. Regulyaciya setevogo prostranstva v Rossii: tekushchaya situaciya i vozmozhnye perspektivy. // Biznes. Obshchestvo. Vlast'. Moscow.: Nacional'nyj issledovatel'skij universitet «Vysshaya shkola ehkonomiki». 2012. №12. Pp. 95 - 105.

3. Silant'eva K.YU. Cistemy obnaruzheniya vtorzhenij (IDS): Sbornik statej mezhdunarodnoj nauchno-prakticheskoj konferencii, Ufa, 2015. Pp. 78 - 80.

4. Dugin Andrej Proektirovanie infrastruktury IDS / IPS. arhitektura setevyh system // Sistemnyj administrator. M.: Sindikat 13. 2012. № 1-2 (110-111). Pp. 64 - 66.

5. Fatkieva R.R. Razrabotka metrik dlya obnaruzheniya atak na osnove analiza setevogo trafika // Vestnik Buryatskogo gosudarstvennogo universiteta. Matematika, informatika, 2013, iss. 9, pp. 81-86.

6. Slugin I.A. Regulyaciya setevogo prostranstva v Rossii: tekushchaya situaciya i vozmozhnye perspektivy // Biznes. Obshchestvo. Vlast'. Moscow: Nacional'nyj issledovatel'skij universitet «Vysshaya shkola ehkonomiki». 2012. № 12. Pp. 95-105.

7. Chemodurov A., Karputina A. Obzor sredstv fil'tracii trafika v korporativnoj seti // nauchno-metodicheskij ehlektronnyj zhurnal Koncept. Kirov: Mezhregional'nyj centr innovacionnyh tekhnologij v obrazovanii. 2015. № 2. Pp. 71-75.

8. Rahmanova Z.CH. Primenenie SSL/TLS-protokola i drugih sposobov zashchity dannyh v WEB-prilozheniyah: sb. nauchn. tr. Informacionnye tekhnologii v ehkonomike i upravlenii. Mahachkala: Dagestanskij gosudarstvennyj tekhnicheskij universitet. 2015. Pp. 51 - 57.

9. Yuzhaninov R.I., Kokoulin A.N., Dadenkov S.A. Sravnitel'nyj analiz metodov modelirovaniya seti dostavki kontenta (CDN) // Nauka i biznes: puti razvitiya. Tambov: Fond razvitiya nauki i kul'tury. 2016. №3. Pp. 42 - 44.

10. Kuzichkina O.A. Set' TOR kak sposob podklyucheniya k «glubokomu» internetu // Intellektual'nyj potencial XXI veka: stupeni poznaniya. Novosibirsk: Obshchestvo s ogranichennoj otvetstvennost'yu «Centr razvitiya nauchnogo sotrudnichestva». 2014. № 25. Pp. 129 - 131.

i Надоели баннеры? Вы всегда можете отключить рекламу.