Страницы

Domain fronting


Domain fronting весьма любопытная техника обхода сетевых средств мониторинга, которая эксплуатирует особенности современной архитектуры крупных интернет узлов (Google, Amazon...). Домеин фронтинг использовал Тор, использовал Телеграмм чтобы мимикрировать свой трафик под гуглозапросы, но лавочку прикрыли. Точнее не прикрыли, а сузили до родных сервисов.

В кратце суть такова:

Как работает HTTPS:

curl -H "Host: <real-host.com>" "https://www.host.com/path"

Весь пакет HTTP целиком со всеми хэдэрами шифруется. При этом "www.host.com" копируется в открытом виде в SNI header (это, кстати, опционально). Именно SNI хэдэр - это то, что вы видите на файрволе/прокси/DNS если не заглядываете в HTTPS.

Если вам нужен любой из сервисов Гугла (Ютюб, Драйв, ДНС..) - вы кидаете пакеты на один и тот же центральны сервер-терминатор SSL Гугла, и он уже дальше роутит траффик внутри локальной сети ГуглоДЦ. Этот SSL терминатор использует "Host" хэдэр из тела HTTP пакета чтобы определить, куда отправить пакет дальше.

Вот мы и добрались к самому интересному: СЗИ работает с SNI хэдэром (который есть копия домена из URL), а сервера Гугла работают с Хост хэдэром (который часть HTTPS пакета и зашифован по пути до ).

То же самое справедливо для всех крупных облачных провайдеров.

Для чего оно надо?
  • во-первых для малвари чтобы скрытно качать/выкладывать файлы с/на Google Drive, маскируя траффик под YouTube (я такое, пока что, не встречал)
  • во-вторых для DNS-over-HTTPS если компания блокирует гуглоDNS (8.8.8.8).  Можно спокойно достучаться до гуглоДНС так:
curl -s -H 'Host: dns.google.com' 'https://youtube.com/resolve?name=internetbadguys.com'

такой запрос сгенерирует один DNS пакет с доменом youtube.com, в ответ вебсервер вернёт вам IP заблокированного сайта internetbadguys.com. К сожалению/к счастью, браузеры пока такой фокус не поддерживают :( / :)

Сортируем фоточки


Написал два скритпа на питоне:
  • первый можно натравить на папку с фоточками и он ее рассортирует по дате и по типу
  • второй - найдет все старые видео и пережмёт их в HEVC дабы освободить место
Третий уже не мой - https://github.com/instaloader/instaloader. Поможет выкачать все инстаграмки. Тоже для бэкапа, на всякий случай.. 

Оч люблю моменты, когда можно "покодить по хозяйству": использовать питон для решения повседневных задач. Раньше как-то питон был только на работе (надо будет про это отдельно написать), а сейчас вот SublimeText + Anaconda Python вошли в стандартный набор и на домашних ПК. Кстати, редактор SublimeText может запускать питоновские скрипты по нажатию Ctrl+B, если кто не знал.

А вот PowerShell так и не прижился. Да, для внутренней кухни продуктов Microsoft ему замены то нет, но для всего остального - bash через Windows Subsystem for Linux или python через Sublime. У меня даже есть питон скрипт, который позволяет запускать PowerShell через Python и работать с выводом, так как в один прекрасный день я понял, что PowerShell'а с меня хватит.

Типичное применение питона для меня: POST/GET запросы к какому-нибудь серверу или СЗИ. "Пробить по базе" хэш или айпи, сложить результат в csv файл или отобразить на экране. Это гораздо удобней сделать из командной строки одной строчкой, чем ждать пока загрузится вебконсоль СЗИ и 10 раз повторять одни и те же действия снова снова.

Второе любимое дело для питона - собирать дневную статистику с СЗИ и хранить историю. Пришел утром на почту, а у тебя свежее письмо от бота со всей аналитикой, которая тебе нужна. Клеартекст, 0 булщит. И графики уже готовые лежат для квартальных отчётов. Класс!