域阴影：利用CDN进行强大的阻塞通信

我们邀请Guest博客作者Mingkui Wei，本周向博客提交他们的研究摘要。此博客文章基于即将到来的USENIX安全文件（此处完整版本）。请注意，此处呈现的域阴影思想旨在成为未来系统的构建块，该系统尚未存在于最终用户。我们希望这篇文章能够帮助系统设计师以新的方式思考，并使用这些想法来构建新的审查规避工具。

什么是域阴影？域阴影是一种新的审查规避技术，它使用内容分发网络（CDN）作为实现其目标的杠杆，这类似于域面前。然而，域阴影从域面向域面完全不同，并且在阻塞抗性方面都更强烈。与域面向域相比，许多人之间的一个很大的差异是域阴影中的用户负责整个过程。换句话说，完整的系统可以单独由用户配置，无需审查网站和反审查组织都不是必要的帮助。

域阴影工作如何通过解释如何解决域名和翻译CDN来启动本节。

CDNS就像一个反向代理，它隐藏后端域并仅向公众提供前端域。 CDN通常采用两种方法来完成名称翻译，如以下两个数字所示。我们做出以下假设来促进插图：假设发布者＆＃39; s（即希望使用CDN的人分发其网站内容）Origin服务器托管在Amazon Web服务（AWS）上，并分配了一个规范名称abc.aws.com和出版商希望使用域名＆＃39; s name服务器上托管的域example.com宣传网站。

图1显示了大多数CDN使用的名称翻译过程，我们以速度迅速使用。要使用速度和＃39; Service，Publisher将首先登录其速度帐户并将example.com设置为前端，Abc.aws.com作为后端。然后，发布者将在其Godaddy＆＃39; s name服务器中创建一个新的CNAME记录，它将域example.com解析为固定域Global.ssl.fastly.net。图1中的其余步骤是直观的。

还有一些CDN托管自己的TLD名称服务器，如CloudFlare。如果是这种情况，则可以跳过图1中的步骤2和步骤3（如图2所示）。

请注意，两个数字的最后四个步骤都显示了CDN如何进行名称解析的差异。具体地，常规DNS服务器将仅响应具有原始服务器的位置的DNS查询，并且必须由客户端自行获取文档，而CDN将实际获取客户端的Web文档。

基于以上介绍，我们现在可以介绍域阴影的工作原理。域阴影利用创建域绑定（即前端和后端域之间的连接）时的事实，CDN允许在后端设置任意域。因此，用户可以自由地将前端域自由绑定到任何后端域。要在审查的区域内访问被阻止的域（例如C ensored.com），则审查的用户只需要执行以下步骤：

用户将随机域注册为＆＃34;阴影＆＃34;域名，例如：shadow.com。我们假设审查员赢得＆＃39; t阻止这个新注册的域。

用户订阅可在审查区域中访问的CDN服务，但未审查CDN本身。实际的例子是CDN将其所有边缘服务器部署在审查的区域之外。

通过将阴影域设置为前端，用户将阴影域绑定到CDN服务中的义域中的阴义域。

用户在CDN帐户中创建规则，以重写来自主机的传入请求的主机头：shadow.com到主机：cissored.com。这是一个重要的步骤，因为否则，Censored.com的原点服务器将收到一个无法识别的主机标题，无法满足请求。

最后，要访问被审查的域，用户将在审查的区域内向Https://shadow.com发送请求。该请求将被发送到CDN，该CDN将重写主机标头并将请求转发为CISCOREND.COM。从cissoned.com收到响应后，CDN将返回对用户＆＃34的响应;在名称＆＃34; https://shadow.com。

在此过程中，审查表只能看到用户使用HTTPS连接到CDN并从Shadow.com请求资源，因此不会阻止流量。

在仍然支持域面前的CDN上，我们可以应用域面前的技术来制作域阴影潜力。为此，我们仍然将Shadow.com设置为前端并被C博伪的元件作为后端，但是当从审查区域内发出HTTPS请求时，用户将请求前域FROFT.com并将主机标头设置为是shadow.com。这样，审查员只会看到用户与前域通信，甚至不会怀疑用户＆＃39; s行为。

域阴影的好处是什么？与其兄弟姐妹，域名fronting相比，域阴影的明显好处是它可以使用任何CDN（只要CDN支持域阴影，并且基于我们的实验大多数CDNS DO）访问任何域。被审查的域不需要在同一CDN上，这是域面前的巨大限制。实际上，审查的域不需要成为一个域，它根本不必使用CDN。与域Fronting相比，这是一个大的飞跃，它只能访问与前域同一CDN上的域。

域Fronting的另一个缺点是，通过CDN通过CDN授权HTTPS请求的主机标题可以毫无痛地禁用它，必须匹配TLS握手的SNI。另一方面，域阴影更难被禁用，因为允许用户配置后端域是CDN的合法特征。

与其他基于VPS的方案相比，域阴影（可能）更快，不需要专用的第三方支持。它更快，因为与使用自部署代理中继流量的代理-on-vps方案相比，域阴影＆＃39;实际上是所有在CDN＆＃39上运行的CDN＆＃39; SEDED服务器; S高速骨干网，整个基础设施专门针对快速且可靠地分配内容。下图比较了使用PSIPHON使用PSIPHON使用PSIPHON的获取Web文档的延迟使用PSIPHON（基于不同的硬件配置），并使用基于5个不同的CDN提供程序（速度）使用域阴影（速度， Azure CDN，Google CDN，AWS CloudFront和StakePath）。从图中，我们可以看到域阴影大部分时间都会击败其他方案。

复杂性：用户必须在CDN帐户中配置前端和后端域，了解他们想要访问的每个审查的域。虽然可以使用CDN的API自动化这种配置，但是用户仍然需要具有足够的知识，诸如如何向CDN注册，使能API配置以及获取API凭据以及如何注册域。

成本：根据我们的调查，为500 GB的每月数据使用量，使用具有信誉良好的CDN的域阴影的成本约为40美元，这与一般数据使用线性增加或线性地减少。如果用户选择使用廉价的CDN，则可以将成本降至每月10美元。但是，这仍然可以＆＃39; t击败了PSIPHON和TOR等免费工具。

安全性：通过使用域阴影，浏览器＆＃34;思考＆＃34;它只是与阴影域沟通，而Web文档实际上是来自所有不同的审查域（参见我们使用Forbes.com作为阴影域访问Facebook的下图。此类域名转换使得同样的原始政策不再是可执行的。虽然我们可以使用浏览器扩展为在某种程度上帮助解决此问题，但用户必须了解和谨慎对待哪些网站访问。

隐私：CDN拦截所有HTTP和HTTPS流量。 也就是说，当涉及CDN时，HTTPS不再在客户端和原始服务器之间，而是在客户端和CDN边缘服务器之间。 因此，CDN能够在用户和目标服务器之间查看和修改任何和所有流量。 虽然这是非常不可能的，但对于大型和信誉良好的CDN，用户应该意识到这种可能性。 结论我们解释了域阴影，这是一种新技术，实现了使用CDN作为杠杆的审查规避。 它与域面重构不同，但可以用畴内携手合作，以实现更好的阻塞性。 虽然仍然需要大量的工作来解决所有挑战并使其部署，但我们将域阴影视为实现更好的审查规避的有希望的技术。