域前置
审查规避技术 / 维基百科,自由的 encyclopedia
域前置(英语:Domain fronting),又译域名幌子[1][2],是一种隐藏连接真实端点来规避互联网审查的技术。在应用层上运作时,域前置使用户能通过HTTPS连接到被屏蔽的服务,而表面上像在与另一个完全不同的站点通信。[3][4]
此条目应避免有陈列杂项、琐碎资料的部分。 (2021年6月15日) |
此技术的原理为在不同通信层使用不同的域名。在明文的DNS请求和TLS伺服器名称指示(SNI)中使用无害的域名来初始化连接、公布给审查者,而实际要连接的“敏感”域名仅在建立加密的HTTPS连接后发出,使其不以明文暴露给网络审查者。[5][6][7]
这种举动在被封锁的站点与无害站点为同一个大型服务提供商时较为可行,例如由内容分发网络提供的服务。[5][6][7]此时审查者通常很难区分被伪装流量与合法流量的特点,迫使审查者选择放行所有看似无害的流量,或者选择彻底封锁此域的流量。而彻底封锁可能带来显著的附加损害。[8][9]