一、 概念
主要是一种隐蔽连接真实2c来躲避互联网审查的技术。在应用层运作是,域名前置可以使用户通过https来连接到被屏蔽的服务,而表面上像是预另一个完全不同的站点通讯。
二、常见的远控模型
当客户端运行恶意程序是会联系cc.com,一般情况下,cc.com是一个生僻的域名,部署在网络边界的行为检测系统就会发现异常流量并进行预警或者阻止,那么就没有办法与cc进行正常的通讯。
三、支持Domain Fronting的恶意代码远控模型
为啥可以绕过行为检测呢?1
2
31.白名单域名
2.https
3.即使知道google可能是恶意cc,也不能封禁