O que é fronting de domínio?
O fronting de domínio oculta seu tráfego para um site específico, camuflando-o como um domínio diferente.
Ao tentar entrar em um site, você envia três tipos de solicitações:
- Uma solicitação de DNS : o DNS (Domain Name System) é como o catálogo de endereços da internet. Ele traduz nomes de domínio em endereços IP;
- O protocolo HTTP (Hypertext Transfer Protocol) conecta usuários a hipertextos e à rede mundial de computadores;
- Uma conexão TLS (Transport Layer Security) que protege as comunicações HTTP transformando-as em HTTPS (Hypertext Transfer Protocol Secure) e protege as conexões entre servidores e navegadores da web.
O nome de domínio é traduzido em um IP por um servidor DNS e o navegador estabelece uma conexão via HTTP ou HTTPS. O domínio permanece o mesmo em todos esses níveis e você se conecta ao site.
No entanto, no caso de fronting de domínio, DNS e TLS farão referência ao mesmo domínio, enquanto o nível HTTPS contém um domínio diferente. O domínio HTTPS é criptografado, portanto, pode contornar as barreiras de censura, fazendo parecer que suas solicitações de DNS e TLS contêm um domínio irrestrito.
Por exemplo, imagine que você está na China continental e deseja acessar o YouTube, que está bloqueado. Nesse caso, você ofusca o YouTube em um domínio que não é proibido. Suas solicitações de DNS e TLS se referirão ao China Daily, enquanto seu HTTPS o redirecionará para o YouTube.
É assim que o fronting de domínio oculta o verdadeiro destino da sua conexão.
Como usar o fronting de domínio
Para implementar o domínio fronting, ambos os domínios devem ser hospedados por um servidor CDN (rede de entrega de conteúdo). Um CDN é uma rede de servidores proxy que distribuem conteúdo online criando cópias dele em diferentes servidores. Um único CDN pode hospedar vários domínios e um usuário pode solicitar conteúdo do servidor CDN mais próximo a eles.
Quando os dados HTTP são criptografados, parece que todos os dados são provenientes de um CDN legítimo.
Para que serve o fronting de domínio?
- Se você mora em um país restritivo, pode usar o fronting de domínio para acessar conteúdo restrito. Repórteres Sem Fronteiras lista 19 países como Inimigos da Internet devido à censura. A lista inclui países grandes como a Rússia e os Estados Unidos.
- Aplicativos de mensagens privadas como Signal ou Telegram empregam domínio fronteiriço para garantir a privacidade e contornar a censura. Como resultado, as pessoas podem usar esses aplicativos em países com restrições severas da Web, como China, Rússia etc.
- Você também pode ocultar seu tráfego de internet usando-o junto com o plug-in Meek do Tor. Isso pode ser útil se você quiser navegar livremente em áreas opressivas, mas também pode ser usado para atividades ilegais.
Abuso de fronting de domínio
Os hackers podem usar o fronting de domínio para ocultar seu tráfego sob o manto de um site legítimo. O grupo de hackers russo APT29 usou a rede Tor para se comunicar com máquinas infectadas e retirar dados. Para fazer seu tráfego parecer legítimo, eles usaram o fronting de domínio com o plugin Tor’s Meek.
Os golpistas também podem usar o fronting de domínio para fraudes de taxa zero. Alguns planos de ofertas de rede móvel permitem que você use a internet gratuitamente apenas para determinados sites (por exemplo, Facebook). Os golpistas podem disfarçar seu tráfego usando o fronting de domínio para fazer parecer que está vindo de um desses sites com classificação zero e navegar de graça.
Serviços Google e Amazon
Em abril de 2018, o Google e a Amazon fecharam seus serviços de fronting de domínio. Até então, o Google permitia usar seus servidores como proxies para se conectar a outros sites. No entanto, isso era mais uma brecha no sistema do que um recurso formalmente suportado.
O serviço do Amazon CloudFront implementa recursos de segurança aprimorados contra fronting de domínio. Eles também desencorajam ativamente o uso de seu serviço para esses fins.
Como resultado, os serviços do Google e da Amazon não podem mais ser usados para contornar a censura. Empresas por trás de aplicativos focados em privacidade, como Signal, WickR ou Telegram, usam opções alternativas.
