域前置

域前置利用内容分发网络 (CDNs) 和其他托管多个域的服务中的路由方案来混淆 HTTPS 流量或通过 HTTPS 隧道传输的流量的预期目的地。
该技术在 TLS 报头的 SNI 字段和 HTTP 报头的 Host 字段中使用不同的域名。
如果两个域名来自相同的 CDN，那么 CDN 可以在打开 TLS 报头后路由到 HTTP 报头中指定的地址。
该技术的变体“domainless”前置使用空白的 SNI 字段；即使 CDN 试图验证 SNI 和 HTTP Host 字段是否匹配（如果忽略空白 SNI 字段），前置也可以工作。
例如，如果域名 x 和域名 y 是同一个 CDN 的客户，可以将域名 x 放在 TLS 报头中，域名 y 放在 HTTP 报头中。
流量看起来会流向域名 x，但是 CDN 可能将其路由到域名 y。

缓解

如果可以检查 HTTPS 流量，则可以分析流量以查找显示为域前置的连接。
为了使用域前置，攻击者可能需要将额外的工具部署到受攻击的系统中。
可以使用基于主机的解决方案检测或阻止这些工具的安装。

检测

如果 SSL 检查适当或流量未加密，则可以检查 HTTP 报头的 Host 字段是否与 HTTPS SNI 匹配或与域名的黑名单或白名单匹配。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn