领域前沿如何在实践中发挥作用

Question

在阅读有关领域前沿(以及谷歌和亚马逊禁止域名的决定)时，我偶然发现了这个博客，作者在那里发现了允许前沿的领域。

在博客里，做一些类似的事情

curl -s -H "Host: images-na.ssl-images-amazon.com" -H "Connection: close" "https://cdn.atlassian.com/images/I/01rgQ3jqo7L.css"

将允许我们从images-na.ssl-images-amazon.com域访问上述CSS文件，尽管所有监视系统都将显示我们已连接到cdn.atlassian.com系统。我试图将主机更改为其他内容(比如维基百科)，Cloudfront给出了一个“糟糕的请求”错误，因此推测这两个子域必须位于同一个域上。(cdn.atlassian.com由dig记录托管在cloudfront上)。

我的问题是：

1. 如果亚马逊已经禁止正面，为什么可以成功地提出上述要求？
2. 实际上，恶意用户如何利用前端托管恶意软件C&C服务？
3. 是否有任何最佳实践，以确保个人客户确保他的子域(例如xyzabc.cloudfront.com)不容易面对？

编辑

补充问题：

1. 域是要面对只有can才需要担心的东西，还是一个配置不当的独立web服务器也可以作为一个前端使用？

Answer 1

如果亚马逊已经禁止正面，为什么可以成功地提出上述要求？

亚马逊还没有禁止开放域名。

实际上，恶意用户如何利用前端托管恶意软件C&C服务？

没有域前端，代理可以通过SNI看到目标主机，并可以选择阻止请求以保护用户。

域-前端工作，因为它是伪造主机在SNI。如果假主机足够重要，比如google.com，流量就不会被阻塞。

单个客户是否能够确保他的子域(比如xyzabc.cloudfront.com)不容易暴露在正面？

在同一主机上创建另一个子域，并使用cURL检查：

curl -s -H "Host: subdomain2.host.com" -H "Connection: close" "https://subdomain1.host.com/"

Answer 2

您可以使用openssl查看域前端的工作示例。此示例将演示如何创建到Google的TLS连接，该连接使用颁发给*.google.com的证书进行保护。然后，我们将通过由www.youtube.com证书保护的连接从另一个域( *.google.com )请求一个资源。

从下面的openssl命令开始。注google.com是在-connect参数中指定的。这意味着openssl进行DNS查找以获取google.com指向的IP地址，然后将openssl连接到位于该IP地址的服务器。还要注意，google.com是在-servername参数中指定的。这意味着openssl在SNI请求中发送google.com，告诉服务器使用google.com证书来保护连接(如果这个IP地址存在多个域)。

openssl s_client -showcerts -crlf -servername google.com -connect google.com:443

建立了TLS连接。查看这些证书，我们可以看到叶证书中的SAN确实是*.google.com。对于观察该连接的人来说，这将显示为到google.com的普通TLS连接。

接下来，键入以下HTTP请求(第二行后面跟着两个linefeed)：

GET / HTTP/1.1
HOST: www.youtube.com

这是对/上的资源的GET请求，来自主机www.youtube.com (不是www.google.com!)。请注意，请求是通过与服务器的安全连接发送的，该连接使用*.google.com的证书进行保护。

如您所见，服务器通过连接到使用www.youtube.com证书保护的服务器来响应*.google.com的主页。