Category: آموزش

دامین فرانتینگ (Domain Fronting) به زبان ساده

دامین فرانتینگ به کاربر این امکان را می‌دهد تا با استفاده از رمزگذاری SSL/TLS و در پوششِ اتصال به یک سایت معروف مانند گوگل، داده‌های سایت یا سرویس دیگری را دریافت کند.

برای آشنایی با اصطلاح دامین فرانتینگ و نحوه‌ی استفاده از آن در اپلیکیشن‌های پیام‌رسان و یا فیلترشکن‌ها، ابتدا باید با نحوه‌ی تعامل اپلیکیشن‌ها و سرورها و همین‌طور با شیوه‌ی عملکرد سیستم فیلترینگ آشنا شویم.

۱. بازدید از سایت بدون استفاده از HTTPS

برای بازدید از سایت‌ها و سرویس‌هایی که از رمزگذاری استفاده نمی‌کنند، اپلیکیشن یا مرورگر ابتدا باید آدرسِ دامنه را به آی‌پی (IP) تبدیل کند و برای این کار یک درخواست DNS به سرویس‌های نام دامنه (مانند سرویس نام دامنه راه‌اندازی شده توسط گوگل، سرویس OpenDNS و یا حتی سرویس‌های مشابه که سرویس‌دهنده‌های اینترنت به کاربران خود ارائه می‌کنند) ارسال می‌شود. فرض کنید که قصد مشاهده‌ی سایت 9gag.com را داریم، برای این منظور ابتدا از سرویس‌های DNS می‌پرسیم که آی‌پی متناظر با این دامنه چیست. پس از دریافتِ آدرس آی‌پی (که در این مثال 151.101.194.133 است) اپلیکیشن و یا مرورگر، درخواستِ دریافتِ اطلاعات را به این آی‌پی می‌فرستد و بازدید از سایت و استفاده از آن انجام می‌شود.

سیستم فیلترینگ ایران از روش‌های مختلف برای ایجاد محدودیت استفاده می‌کند. در یکی از این روش‌ها، فیلترینگ در سطح DNS انجام می‌شود و در ابتدای روند، فیلترینگ با شنودِ درخواستِ آدرس آی‌پی از سرویس‌های DNS، متوجه می‌شود که کاربر قصد بازدید از چه سایتی را دارد و به این طریق می‌تواند جلوی درخواست آدرس آی‌پی را بگیرد و یا اینکه جواب اشتباه به کاربر برگرداند. در نتیجه کاربر یا آدرسِ آی‌پی دریافت نخواهد کرد و یا اینکه آی‌پی سرورهای فیلترینگ (مثلا 10.10.34.3) را به جای آدرس اصلی دریافت می‌کند و صفحه‌ی معروف فیلترینگ به جای سایت اصلی به او نمایش داده خواهد شد.

در روش بعدی، سیستم فیلترینگ ایران قادر است تا همه‌ی درخواست‌ها به یک آی‌پی خاص را مسدود کند که در این صورت همه سایت‌هایی که از این آی‌پی مشترک استفاده می‌کنند، فیلتر خواهند شد. این روش منجر به فیلتر شدن بی دلیلِ شمار زیادی از سایت‌ها و نارضایتی کاربران اینترنت خواهد شد.

هم‌چنین در صورت عدمِ رمزگذاری اطلاعات رفت و برگشتی، سیستم فیلترینگ امکان دسترسی به محتوای سایت را نیز دارد و بدون اینکه همه‌ی سایت فیلتر باشد قادر است تا فقط صفحه‌های خاصی از یک سایت را فیلتر کند، و یا اینکه یک سایت خاص بر روی یک آی‌پی را فیلتر کند، بدون اینکه سایت‌های دیگر روی همان آی‌پی از دسترس خارج شوند.

۲. بازدید از سایت با HTTPS

در نمونه سایت‌ها و سرویس‌هایی که از HTTPS استفاده می‌کنند، کاربر هم‌چنان نیاز دارد که درخواست DNS ارسال کند و آدرس آی‌پی سرور را دریافت کند. از این مرحله به بعد، اتصال کاربر و سرور رمزگذاری شده خواهد بود و سیستم فیلترینگ در حالت عادی امکانِ مشاهده‌ی اطلاعات و محتوای درخواست‌ها را نخواهد داشت.

اپلیکیشن یا مرورگر، پس از دریافت آی‌پی، به آن متصل شده و ارتباط رمزگذاری شده را شروع می‌کند. در این ارتباط آدرسِ صفحه‌های مشاهده شده توسط کاربر، قابل شنود نیست و سیستم فیلترینگ فقط متوجه رفت و برگشت اطلاعات از سمت کاربر به یک آی‌پی خاص است. برای مثال تصویرها و صفحه‌هایی که کاربر در اینستاگرام مشاهده می‌کند قابل شنود نیست و سیستم فیلترینگ فقط متوجه رفت و برگشت اطلاعات بین سرورهای اینستاگرام و کاربر است.

بنابراین سرویس فیلترینگ در این نوع ارتباط رمزگذاری شده، دو راه دارد. یا شنود و دستکاری درخواست‌های DNS بر اساس سایتی که کاربر درخواست داده و یا مسدود کردنِ دسترسی به آی‌پی موردنظر که اطلاعات با آن در حال رد و بدل است. هم‌چنین در این حالت با توجه به رمزگذاری اطلاعات، امکان فیلتر کردن یک صفحه یا محتوای خاص از یک سایت امکان‌پذیر نیست.

۳. دامین فرانتینگ

در اتصال‌هایی که با HTTPS انجام می‌شود، آدرسِ سایت مورد نظرِ کاربر در دو بخش مختلف به سرور اطلاع داده می شود. در این حالت، سرور می‌تواند سایت‌های مختلفی را تنها با یک گواهی‌نامه (Certificate) رمزگذاری شده پشتیبانی کند. با استفاده از این روش، سایت‌ها و سرویس‌های بزرگ به راحتی قادر به پشتیبانی سایت‌های جانبی خواهند بود.

در سرویس‌های بزرگی مانند گوگل که سایت‌ها و دامنه‌های مختلفی برای بخش‌های گوناگون خود دارند، به منظور استفاده‌ی آسان و هم‌چنین متمرکز کردن اتصال‌ها، این امکان وجود دارد که آی‌پی آدرس google.com را درخواست کرد و به آن درخواستِ شروعِ اتصال رمزگذاری شده را فرستاد و بعد درخواست کرد تا آدرس youtube.com نمایش داده شود.

این روش و قابلیت دامین فرانتینگ نامیده می‌شود و فقط محدود به گوگل نیست، بلکه در حال حاضر سرویس‌های بزرگ دیگری چون آمازون و مایکروسافت هم دامین فرانتینگ را فعال کرده‌اند. نکته‌ی مهم این است که این شرکت‌ها، سرورهای ابری برای ارائه به عموم هم دارند. در واقع اگر یک اپلیکیشن از سرورهای گوگل و یا آمازون استفاده کند، این امکان را دارد که علاوه بر اتصال به آدرس خود، در ظاهر به آدرس گوگل هم متصل شود و پس از برقراری اتصالِ رمزگذاری شده، اطلاعات سایت خود را فراخوانی کند.

در ابتدای این نوشته سایت 9gag.com را مثال زدیم. با توجه به اینکه این سایت از سرویس آمازون استفاده می‌کند، شما با آدرسِ https://d3dsacqprgcsqh.cloudfront.net/ هم قابلیت دسترسی به اطلاعات 9gag را خواهید داشت.

با علم به فعال بودن دامین فرانتینگ، می‌توان اتصالِ رمزگذاری شده را به اسم 9gag شروع کرد و سپس درخواست را برای هر سایت دیگری که از این زیرساخت استفاده می‌کند فرستاد. فیلترشکن‌ها هم قادرند تا برای رسیدن به سرورهای خود و عبور از فیلترینگ از این قابلیت استفاده کنند. در نتیجه سیستم فیلترینگ قادر به تشخیص اینکه درخواست به آی‌پی فیلترشکن می‌رود نخواهد بود.

تعداد زیادی از اپلیکیشن‌ها برای مخفی کردنِ مقصدِ نهایی اطلاعات رد و بد شده از دامین فرانتینگ استفاده می‌کنند. با این پنهان‌سازی می‌توان به آسانی از سدِ سیستم‌های فیلترینگ عبور کرد به این دلیل که در ظاهر به نظر می‌رسد کاربر در حالِ‌ استفاده از جستجوی گوگل است و یا اطلاعاتی عادی از سایتی در زیرساخت آمازون را می‌خواند اما در عمل اطلاعات دیگری و به مقصد سایت دیگری روی این زیرساخت‌ها ارسال شده است.

اپلیکیشن‌هایی مانند تور، سایفون، سیگنال، لنترن و به تازگی تلگرام از دامین فرانتینگ برای عبور از فیلترینگ در کشورهایی مانند چین، ایران و روسیه استفاده می‌کنند.

*پی‌نوشت: در این نوشته منظور از آدرس آی‌پی همان آدرس سرور است و وصل شدن به یک آی‌پی به معنای وصل شدن به آن سرور است. به منظور ساده کردن نوشته، آی‌پی و سرور را به یک معنا به کار برده‌ایم.