域前置
审查规避技术 / 維基百科,自由的 encyclopedia
域前置(英語:Domain fronting),又譯域名幌子[1][2],是一種隱藏連接真實端點來規避互聯網審查的技術。在應用層上運作時,域前置使用戶能通過HTTPS連接到被屏蔽的服務,而表面上像在與另一個完全不同的站點通信。[3][4]
此條目應避免有陳列雜項、瑣碎資料的部分。 (2021年6月15日) |
此技術的原理為在不同通信層使用不同的域名。在明文的DNS請求和TLS服務器名稱指示(SNI)中使用無害的域名來初始化連接、公布給審查者,而實際要連接的「敏感」域名僅在建立加密的HTTPS連接後發出,使其不以明文暴露給網絡審查者。[5][6][7]
這種舉動在被封鎖的站點與無害站點為同一個大型服務提供商時較為可行,例如由內容分發網絡提供的服務。[5][6][7]此時審查者通常很難區分被偽裝流量與合法流量的特點,迫使審查者選擇放行所有看似無害的流量,或者選擇徹底封鎖此域的流量。而徹底封鎖可能帶來顯著的附加損害。[8][9]