위키백과

도메인 프론팅: 두 판 사이의 차이

도매인 정보를 난독화하여 인터넷 검열을 우회하는 기법
다음 편집 →
내용 삭제됨 내용 추가됨
시각위키텍스트
Cyberkagami (토론 | 기여)
277 편집
"Domain fronting" 문서를 번역하여 만듦
(차이 없음)

2019년 2월 14일 (목) 20:45 판

도메인 프론팅HTTPS 연결의 도메인 정보를 난독화하여 인터넷 검열을 우회하는 기법이다. 도메인 프론팅은 응용 프로그램 계층에서 작동하며, 이를 이용하면 DNS 차단, IP 차단 또는 심층 패킷 검사에 의해 차단된 서비스에 접속할 수 있다.[1]

기술적 설명

Amazon S3Google App Engine과 같은 대규모 호스팅 서비스를 사용할 경우, 공통 및 대상 HTTPS 도메인을 모두 포함하는 공유 SNI 인증서를 사용하는 방법이 있다. 이때, 실제 차단된 엔드포인트의 도메인 네임은 암호화된 HTTPS 연결 성립 후에야 HTTP Host 헤더를 통해 전달되므로 검열에 걸리지 않게 된다. 차단된 사이트와 차단되지 않은 사이트가 서로 같은 대규모 호스팅 서비스에 의해 호스팅되는 경우에 한해 이와 같은 작업을 수행할 수 있다.[2][3][4]

이외에 컨텐츠 전달 네트워크의 공통 HTTPS 인증서 및 인프라를 이용해 대상 서버로 통하는 프록시 서버 역할을 하도록 만드는 방법도 있다.[1]

위와 같은 기법을 사용하면 서로 다른 통신 계층에서 서로 다른 도메인 네임을 쓰게 된다. 우선 연결 생성 과정 초기에는 차단되지 않은 사이트의 도메인 네임을 쓴다. DNS 요청TLS 서버 네임 인디케이션 과정에서 이 도메인 네임이 평문으로 전송되고, 따라서 검열에 노출되는 것도 이 도메인 네임이 된다. 이때 검열을 시도하는 측에서는 방금 읽은 도메인 네임이 우회 트래픽에서 나온 것인지 정상적인 트래픽에서 나온 것인지 거의 구분할 수 없다. 따라서 해당 도메인을 사용하는 트래픽을 모두 허용하든가 아니면 해당 도메인 네임을 원천 차단하든가 두 가지 선택지밖에 없게 되는데, 후자는 부작용이 너무 크므로 실질적으로 시행하기는 어렵다.[5][6]

사용 금지

구글은 2018년 4월에 "구글은 이 기법을 공식적으로 지원한 적이 없다"라며 도메인 프론팅 기법의 사용을 금지했다.[7][8] 아마존 또한 2018년 4월 "이미 이 기법을 AWS 서비스 약관 위반 행위로 간주하고 있다"라며 도메인 프론팅을 금지하기로 결정했다.[9][10][11] 양사의 클라우드 서비스를 이용하는 텔레그램이 도메인 프론팅 기법을 활용하는 것이 불만스러웠던 러시아 정부가 러시아 내 구글과 아마존 접속을 모두 차단하는 등 양사에 압력을 가한 이후 발생한 일이다.[12][13][14]

또한보십시오

참고 문헌

  1. Fifield, David; Lan, Chang; Hynes, Rod; Wegmann, Percy; Paxson, Vern (2015). “Blocking-resistant communication through domain fronting” (PDF). 《Proceedings on Privacy Enhancing Technologies》 2015 (2): 46–64. doi:10.1515/popets-2015-0009. ISSN 2299-0984. 2017년 1월 3일에 확인함. 
  2. “Encrypted chat app Signal circumvents government censorship”. 《Engadget》. 2017년 1월 4일에 확인함. 
  3. Greenberg, Andy. “Encryption App ‘Signal’ Is Fighting Censorship With a Clever Workaround”. 《WIRED》 (미국 영어). 2017년 1월 4일에 확인함. 
  4. “Domain Fronting and You”. 《blog.attackzero.net》. 2017년 1월 4일에 확인함. 
  5. “doc/meek – Tor Bug Tracker & Wiki”. 《trac.torproject.org》. 2017년 1월 4일에 확인함. 
  6. “Open Whisper Systems >> Blog >> Doodles, stickers, and censorship circumvention for Signal Android”. 《whispersystems.org》. 2017년 1월 4일에 확인함. 
  7. Brandom, Russell. “A Google update just created a big problem for anti-censorship tools” (미국 영어). 2018년 4월 19일에 확인함. 
  8. “Google ends "domain fronting," a crucial way for tools to evade censors - Access Now”. 2018년 4월 18일. 
  9. “Enhanced Domain Protections for Amazon CloudFront Requests”. 2018년 4월 27일. 
  10. “Signal >> Blog >> A letter from Amazon”. 《signal.org》. 
  11. “Amazon Web Services starts blocking domain-fronting, following Google's lead”. 2018년 4월 30일. 
  12. “Amazon and Google bow to Russian censors in Telegram battle”. 《Fast Company》 (미국 영어). 2018년 5월 4일. 2018년 5월 9일에 확인함. 
  13. Bershidsky, Leonid (2018년 5월 3일). “Russian Censor Gets Help From Amazon and Google”. 《www.bloomberg.com》. 
  14. “Info”. Tass.ru. 2018년 11월 14일에 확인함. 
원본 주소 "https://ko.wikipedia.org/w/index.php?title=도메인_프론팅&oldid=23702614"