首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

【防溯源】如何通过域名+CDN 完美隐藏你的 C2

作为云计算领域的专家,同时也是一名开发工程师,我将提供一种使用域名和CDN(内容分发网络)的方法来实现防溯源。首先,我们将使用一个混淆的域名生成一个加密密钥。接着,我们将通过加密的密钥使用TLS或HTTP/3为CDN配置伪服务器。最后,我们将生成一个加密混淆的重定向HTTP/3地址,这将使目标服务器的流量被隐藏。

名词概念:

  1. 防溯源:防止追踪和识别网站及用户来源的过程。
  2. 域名:网站的IP地址。
  3. CDN:内容分发网络。
  4. 混淆的域名:包含字母、数字和特殊字符的域名。
  5. TLS/HTTP/3:传输层安全协议和基于UDP的传输层协议。
  6. 伪服务器:提供服务器服务的CDN节点,但不是真实的物理服务器,以混淆服务器位置。

方法步骤:

  1. 生成一个混淆的域名:可以使用openssl或其他的工具,将网站真正的域名和实际的服务器IP地址拼接起来。这样生成的域名将变得非常复杂,难以追踪。例如,使用openssl rand 25生成25个随机字符作为域名的第一部分,加上服务器IP地址(例如:218.245.173.1,转换为四组十进制数字,如:3039245904,7616193398)。
  2. 计算一个加密的密钥:使用openssl或其他的工具生成一个密钥并将其加密。加密方法可以采用以下步骤之一:
  3. 使用RSA协议生成2048位密钥。
  4. 使用openssl中的RSA_generate_key_encrypt函数生成2048位RSA加密的公私钥对,并利用公钥加密密文。
  5. 使用openssl.asc对RSA密文进行签名。
  6. 配置CDN伪服务器:将生成的包含密钥的TLS或HTTP3证书配置在伪服务器上,并使用setheader设置重定向HTTP/3的重定向URI。
  7. 使用加密混淆的重定向HTTP/3地址:在网站的JavaScript或前端中生成一个链接到加密混淆的域名的重定向HTTP/3地址,并使用CDN部署。使用window.location = new URL(protocol, server, path);进行重定向,将使用TLS安全地进行通信。为了混淆重定向地址,可以使用以下代码:// 生成加密的重定向地址 const encryptedUrl = `encrypted-url-here`;

// 使用CDN混淆服务器部署伪服务器

const = dns.parse(address);

const encryptedAddress = $//encoded.io:$/;

// 将重定向URI设置为伪服务器的URL,使用加密的密钥加密

const serverURL = $;

const destinationUrl = /;

// 将重定向地址设置为网站的前端导航链接

window.location = destinationUrl;

代码语言:txt
复制
  1. 将重定向地址发布在网站上:将加密的混淆重定向地址作为网站的导航链接。这将防止追踪用户的请求来源,同时保持与现有CDN的兼容性。

推荐的腾讯云相关产品和服务介绍链接地址:

  • 推荐的腾讯云CDN产品:CDN-COS4.6
  • 推荐的腾讯云WAF产品:WAF-AntiCC
页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

溯源如何优雅隐藏连接 Webshell 真实 IP

大家好,这里是 渗透攻击红队 第 64 篇文章,本公众号会记录一些红队攻击案例,不定时更新 ?...由于它自带 CDN 这样我们每次请求 Webshell 时候 IP 都是不同,从而达到隐藏 RT 效果!还是那句话,一个合格 RedTeam 被溯源到是很可耻!...如何优雅隐藏连接 Webshell 真实 IP 云函数隐藏 Webshell 真实 IP 首先来到腾讯云后台找到云函数,我们使用自定义模版: ? ?...这个时候 u 参数后面就是一句话:http://111.111.111.111/saulGoodman.php https://service-gh2cn6ys-xxxxx.gz.apigw.tencentcs.com...这个时候每次访问 webshell IP 都不一样!从而隐藏了 RT 真实 IP!

1.9K42

C2配置一个完美隐藏

,红队一个c2隐藏技术我觉非常不错,在加上最近vultr东京和汉城节点又能够开通了,所以就有了接下来一篇文章。...一、 原理 在配置之前我们需要了解一下域前置技术,简单来说就是通过CDN节点将流量转发到真实C2服务器,因为CDN节点ip是通过识别请求Host头进行流量转,利用我们配置域名高可信度,比如微软谷歌等...,可以有效躲避DLP,agent等流量监测,这样就起到了一个隐藏作用。...,使用服务,域名一年大概只需要20元 CDN选择 我使用是免费CDN,只需要邮箱就能注册 我们知道原理是使用IPhost头来定向我们需要找到域名,比如我们现在查看我域名解析IP地址:...测试一下我们是否能通过host头定位到我们域名C2配置:配置文件下载,我们下载完成后,需要把所有的域名转换为我们设置CDN域名: 服务端运行: 然后我们在C2上监听我们端口,我运行在

2.5K40
  • 溯源反制】CDN&域前置&云函数-流量分析|溯源

    CDN隐藏C2地址 使用CDN内容分发网络多节点分布式技术,通过“加速、代理、缓存”隐藏在后面的静态文件或服务;最终实现对外暴露CDN多节点公网域名IP,很难甚至无法溯源真实后端服务器域名或IP...域名必须ICP备案(被溯源可能性就会更大),关键是使用一个不备案域名,否则这个方式毫无用处 2、受控主机还是通过我们自己域名进行回连,对外还是能看到连接域名;且如果使用国内CDN服务(增加了风险...),域名就必须完成ICP备案(增加了风险);而且还有一些方法可能溯源到真实IP 这种技术对http与https没有强制要求,都可以使用,而域前置技术要求是https 域前置隐藏 底层技术还是CDN,但是我们使用了其他正规可靠域名进行连接...(比如:www.baidu.com),通过设置HOST=zh.wikisoft.tk修改host头原理,让CDN将连接指向我们期望C2服务器;最终实现受控主机通过回连!...:本方案使用高信誉域名进行连接,通常安全设备很难检测,也很难封堵; 总结 1、不备案域名+禁用不必要域名解析记录(防止被溯源收集到更多信息) 2、使用HTTPS通讯 3、C2服务器混淆基础特征-

    19210

    当跳板机器不出网,如何不依赖 CobaltStrike 拿到域控?

    随后写了一个 webshell 为了后续有一个半交互 shell: ? 通过信息搜集发现当前是存在域环境: ? 发现当前机器 icmp 是不出网: ?...具体可以参考我这篇文章:【溯源如何通过域名 + CDN 完美隐藏 C2 由于我写过 DNS 上线相关文章,在这里我就不使用 DNS + 域名 + CDN 上线到 CobaltStike 了,...Pystinger 在不出网情况下如何使用 项目地址:https://github.com/FunnyWolf/pystinger 这个东东可以让 Webshell 实现内网 Socks4 代理,让不出网机器上线到...或者其他 C2 才能进行内网渗透!...等有机会我遇到不出网机器我再重写一篇,针对于不出网机器如何打内网,好了,祝兄弟们好运!

    1.1K41

    利用Domain Borrowing对抗流量检测设备

    借用在某些 CDN 实现中发现一些技巧,将它们链接在一起以“借用”域及其有效 HTTPS 证书来隐藏我们 C2 流量,特别是当我们 C2 流量 SNI 和 HOST 相同时。...但是在微步中存在一些官方标记为白名单域名,对于这样利用Domain Borrowing劫持一些官方标记为白名单域名用来对抗威胁情报和防止溯源操作。 常用流量隐藏方法都有什么不足?...目前在国内攻防演练和红队评估中常用来隐藏C2真实IP和伪造通信流量方法有加CDN(但域名是自己)、Domain Fronting和云函数。...1.加CDNCDN也是常见红队来隐藏C2真实IP方法,但是仅仅加个CDN域名还是红队资产,一样存在被溯源分析风险,同时域名基本没有信任度给捕捉加入威胁情报之后一定会给设备自动封闭。...同时我们可以通过CDN和在C2通过Nginx中设置一个流量过滤只允许目标的流量连接到C2,同时也可以把C2真正端口通过Nginx反向代理出来,C2真正端口设置为只允许127.0.0.1访问,那么基本上溯源到真正服务器比较难

    31420

    隐藏源IP,提高溯源难度几种方案

    二、使用CDN 一句话核心原理:使用CDN内容分发网络多节点分布式技术,通过“加速、代理、缓存”隐藏在后面的静态文件或服务;最终实现对外暴露CDN多节点公网域名IP,很难甚至无法溯源真实后端服务器域名或...方案分析: 适合用户:这种隐藏ip方案适合于有公网服务器,通过本方案CDN进行“加速、代理、缓存”实现隐藏服务器真实ip或域名用户;使用国内CDN服务商产品域名必须完成ICP实名备案; 优点:利用...缺点:受控主机还是通过我们自己域名进行回连,对外还是能看到连接域名;且如果使用国内CDN服务(增加了风险),域名就必须完成ICP备案(增加了风险);而且还有一些方法可能溯源到真实IP(请一定要按照原文中参考文章...3.配置listener HTTP Host Header,必须填写域名zh.wikisoft.tk,这是CDN技术原理要求;CDNip都一样,如何判断用户访问时候baidu 还是 qq呢?...防止其他小伙伴扫描hackc2服务!

    3.6K30

    【红队APT】反朔源隐藏&C2项目&CDN域前置&云函数&数据中转&DNS转发

    域前置-CDN隐藏C2真实IP 防止被溯源 国内外云服务上大部分已经不支持域前置了,作者在阿里云刚刚复现成功…… 这里做简单流程演示和相关溯源分析 什么是域前置 区别于单纯CDN隐藏IP技术;域前置技术采用高权重域名进行伪装...就是同服务器上其它一个高可信站点,利用域前置,审查流量时显示就是高可信域名,而看不到我们恶意域名,所以可用来逃避流量审查,隐藏真实IP。...emmm 这里拿自己生成样本payload进行简单溯源 条件:样本Payload, 通过Banner信息测绘与基于样本通信特征扫描方式获取域前置真正Host 1、根据已经拿到资产获取...成功隐藏自己真实IP,因为IP不停在变化,即使封掉该IP也会有其他节点IP进行上线 毕竟使用云函数服务是需要Moneyemmm 腾讯云后台云函数API调用数据 云函数如何溯源 最近面蓝护...请求重定向也可以和之前CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏效果。

    13810

    流量加密之C2隐藏

    所以我们需要加密流量保护CS服务器以免被防守方安全监控检测出来甚至溯源我们CS服务器,目前常用隐藏手段包括域前置、CDN、云函数等,接下来我将介绍这几种常见隐藏C2方式。...因此我们可以通过云函数特性来隐藏CS服务端。...malleable C2 主要通过修改 C2 配置文件、更改 beacon payload 属性和行为来伪造正常通信流量。...与云函数类似,域前置技术主要通过CDN节点将流量转发给真实C2服务器,CDN节点ip可通过识别请求Host头进行流量转发,利用我们配置域名高可信度,那么就可以有效躲避针对DLP、agent等流量监测...中成功执行命令并在受害主机上开启 WireShark 抓包在 WireShark 中跑都是TLS加密流量、目的地址为随机CDN节点,因此无法溯源到我们C2服务器真实IP0x03 总结通过这段时间针对流量加密学习

    12.5K111

    如何隐蔽C2

    如何隐蔽C2 文章首发于安全客:https://www.anquanke.com/post/id/231448 端口特征修改 证书特征修改 修改服务端证书CobaltStrike.store 修改上线证书...流量特征修改 SNI域前置 申请配置CDN 配置CS profile文件 开启Listener 生成木马上线 ESNI域前置 ESNI 在红蓝对抗中,如果攻击者不通过手段隐藏C2服务器,这样可能导致C2...以下内容讲述如何通过手段隐蔽C2。 端口特征修改 CobaltStrike连接端口默认为50050,这是个很明显特征。...流量特征修改 流量特征修改使用域前置技术,域前置是一种用于隐藏真实C2服务器IP且同时能伪装为与高信誉域名通信技术,多用于木马受控端和控制端之间隐蔽通信。...CDN隐藏我们C2服务器),然后再申请一个CDN对我们所申请域名进行加速,在这个过程中CDN会要求我们在域名解析配置中设置相应 CNAME。

    1.8K51

    如何通过隐藏服务器真实IP来防御DDOS攻击

    有哪些手段可以隐藏服务器真实IP呢,我觉得主要有以下几种方案:1、禁用服务器ICMP回显响应互联网上服务器众多,一般情况下我们在公网上服务器被人发现是要一段时间,攻击者会通过IP段来扫描存活机器...隐藏源站真实IPCDN:当一个服务器被不同地方客户端大量访问时候,服务器可能会出现压力,为了减小这些压力,就有CDN出现。...还有一个作用就是隐藏真实IP。原理让CDN转发合法http或者https流量来达到隐藏目的。...效果受害主机上只会有跟CDNIP通信流量,不会有跟真实C2通信流量,可以保护C2IP,但是域名还是会暴露。3、使用高IP 什么是高IP?...高IP目前最常用一种防御DDoS攻击手段,用户可以通过配置DDoS高IP,将攻击流量引流到高IP,防护系统进行流量过滤清洗,再把正常流量返回给服务器,确保源站正常可用

    31410

    红蓝对抗之隐蔽通信应用及防御

    (S)通讯可以很好隐藏通讯内容,但是仍然会泄露IP地址,所以更加高级技巧就是利用CDN服务来隐藏IP。...首先最基础方式就是攻击者注册域名CDN,流量上看到CDNIP,看不到C2真实IP,但是仍会泄露C2恶意域名,容易遭拉黑域名。所以后来又出现配合其他一些技巧来进一步隐藏。...流程是先通过DoH、DoT等方式先获取密钥,再对SNI进行加密得出ESNI,然后使用ESNI和CDN进行通信,这样从流量上就看不出是和哪个域名通信。...另外结合API网关触发器还可以中转HTTP流量,一方面可以当作HTTP代理池使用,另一方面可以隐藏C2,因为API网关域名也是一个相对高信誉平台方域名。...《网络空间安全时代红蓝对抗建设》《以攻促:企业蓝军建设思考》希望通过这个分享可以让大家快速较为全面了解攻击者隐蔽通信,促进提高安全防护能力。感谢大家相互交流分享,一起进步成长。

    2.7K22

    手把手教你如何隐藏C2

    文章来源|MS08067 公众号读者投稿 本文作者:下次一定(白嫖知识星球活动) CDN技术隐藏C2 原理 让cdn转发合法http或者https流量来达到隐藏目的。...技术实现重点: 一个不备案域名,否则这个方式毫无用处 这种技术对http与https没有强制要求,都可以使用,而域前置技术要求是https 域前置技术隐藏C2 原理 域前置技术就是通过CDN节点将流量转发到真实...C2服务器,其中CDN节点ip通过识别请求Host头进行流量转发。...而一般监测机制是不会检测host头。可达到效果:通过一个高信任域名隐藏自己真实域名与ip,且受害主机上流量只有跟cdn通信,不会有跟真实c2。...,使用服务,域名一年大概只需要20元 CDN选择 我使用是免费CDN:https://www.cloudflare.com/ 可以搞到一个免费CDN只需要邮箱就能注册

    2.2K20

    CobaltStrike主机隐藏教程之穷逼版

    在不少攻防演练中,许多人都会使用CDN隐藏真实主机地址来防止溯源,需要攻击者自行购买带有公网IP主机以及域名,一旦被发现真实IP地址和域名并被类似微步这样威胁情报标记,就不得不放弃使用该主机以及域名...以下内容将演示零成本隐藏CobaltStrike主机,仅供技术研究与授权测试,请勿用于非法用途。...演示环境 Kali-Linux-2021.2 Windows 10 专业版 21H1(靶机) 工具清单 cloudflared(基于cloudflare内网穿透工具) ding(基于钉钉内网穿透工具...配置监听器 接下来内容以cloudflared为例,使用ding大同小异。 获取CDN使用IP ? 配置监听器 ? 测试上线 生成后门 ? 上线成功 ? 主机隐藏测试 ?...通过微步云沙箱检测,完美隐藏了CS主机真实IP。

    1.3K30

    C2上线操作 修改特征

    : 配置一个木马并运行: 三、 CDN上线 前提:一台VPS、一个域名、CF账号 原理是CDNIP是多个域名共用,为了做到精确判断,CDN会解析我们HOST头,根据这样方式进行判断通信域名,举一个例子来说...abaokris.cn # 解析我博客网址 curl -H 'Host:abaokris.cn' -v # 查看一下结果 通过 curl 请求IP + host 头方式成功解析到我服务器...利用好这样方式我们可以申请一个域名,然后使用 CF 进行操作,申请成功域名后再到 CF中进行配置解析:添加两个A记录到C2服务器 添加完成以后解析一下我们网站: 得到解析网站,打开C2客户端配置一下监听...)需要做一些反溯源操作。...=public --add-port=53/udp --permanent # 开放53UDP服务 firewall-cmd --reload # 重启 然后配置我们C2监听: 如果只设置了一个

    1.4K10

    实战填坑 | 隐藏C2域名地址技巧

    哈,恭喜肯定被盯上了~ 开个玩笑,话说现在隐藏c2真实地址手段层出不穷,笔者参考了网上众多隐藏技巧,经过一定钻研写下了这篇主要隐藏域名几个思路,但和域前置、云函数技术不同,域前置技术原理: 假设有两个主机...三、匿名CDN & worker 有老哥问了,要是多个c2,还有域名c2ip在国内使用,怎么办?...这里思路是nodecache: ? 注册一个匿名账户,然后通过邮件校验,然后: ? 选择创建服务: ? 把你想添加域名写进去: ? 点击cname: ?...最后会惊奇地发现,刚才添加http://cmd.winupdateck.top可以在国内访问了。其实原理是在cloudflare添加子域名指向国内是受监管,换一个cdn服务商而已。...五、总结 以上几个思路其实结合起来并不难,无非就是域名身后单纯CDN隐藏ip,域名黑了再申一个。 爱惜域名的话,把域名再代理一下,深中更深地隐藏啊。

    5.9K10

    第64篇:史上最严重APT供应链攻击事件,借助Solarwinds攻击欧美的流程图梳理和分析(上篇)

    Sunburst:这是一款极其复杂且隐蔽后门,当用户运行Orion安装包之后,这款后门会等待12到14天后触发,然后使用DGA域名通信方式,将受控服务器域名、计算机名等初始信息发送给C2服务端。...无意中留下后门样本 攻击者在隐藏自身及过流量检测方面做到了极致,以至于安全团队在溯源这起攻击事件时耗费时间长达数月之久。...当C2域名解析IP地址为20.140.0.0/15时,Sunburst后门会永久终止运行(攻击者非常聪明,控制C2域名解析到不同IP,然后Sunburst后门会根据域名解析ip情况去执行不同操作...在此次攻击事件溯源最初几天里,团队们被要求只能通过电话和外部账户进行沟通,防止攻击者通过监视邮件往来得知溯源工作最新情况。 6....后续ABC_123会专门写文章介绍Sunburst后门设计思路,如何绕过层层流量监控以及美国网络安全公司如何将此次攻击事件溯源出来,敬请期待。

    69820

    IP与CDN如何选择

    IP与CDN如何选择1.IP数量高IP都是一个IP防护,并且是单IP独享,而CDN都是共享IP。而CDN是一组IP防护,而且都是共享IP。...当然如果网站被大量攻击有误杀率是很正常,没有哪家公司敢保证100%零误杀但是希望是能减少损失。...服务器用CDN和高IP区别3.隐藏源站高CDN对外暴露是各节点共享IP地址段,通过CDN节点IP实现对源站业务转发,攻击者无法通过业务交互获取真实用户源站,从而保障了源站安全。...4.业务方向高CDN主要是针对网站业务,主要是通过域名访问防御,所以限定开放端口是80、443,这两个端口主要是HTTP和HTTPS端口,因此使用其他端口业务是不能使用高CDN。...高IP针对是服务器IP防护,而不是域名,所以支持业务比较多,像APP、网站业务、游戏、软件等都是可以。而且高IP是支持全端口转发,可以自义端口转发防护。

    3.4K20

    cdn如何ddos攻击 cdnddos攻击要怎么做

    其实,cdn是可以防ddos攻击,但cdn如何ddos攻击?...cdn如何ddos攻击 现在有很多的人都不知道cdn如何ddos攻击,cdn除了能够帮助网络加速以外,还能够防止ddos攻击,这种cdn是高防护,它可以将网站IP地址隐藏起来,因为现在很多黑客攻击都是通过解析...IP地址,隐藏IP地址网站安全性是非常强,能够避免很多有针对性黑客攻击,而且cdn是可以调整防护策略,能够应对各种ddos攻击,所以现在有很多网站都会使用cdn。...现在网络技术非常发达,选择一个正规网络服务商,能够帮助大家更好地配置cdn,能够为大家节约不少时间和成本,所以现在很多人会选择服务商,这些服务商也可以帮助大家注册域名和加强网站建设。...上面已经和大家介绍了cdn如何ddos攻击,一个安全网站,才能够吸引到更多网络用户,带来网络流量,但是现如今网络黑客是非常多,很多人电脑都会受到病毒入侵,但是使用高防护cdn,能够有效防止

    5.3K30

    CDN到底能不能防止DDoS攻击呢?高CDN如何ddos攻击呢?

    CDN到底能不能防止DDoS攻击呢?高CDN如何ddos攻击呢?   随着互联网发展,用户在访问网站时对访问速度越来越重视,为了让不同地区访客都能快速浏览网站,CDN加速服务由此诞生。...但是最近这几年,互联网络技术不断改进同时,网络安全问题日益严峻,在这样互联网环境下,高CDN由此诞生了。高CDN通过智能化系统判断来路,再反馈给用户,可以减轻用户使用过程复杂程度。...通过智能DNS解析,能让网站访问者连接到响应服务器上,以避免某个服务器因访问者过多而瘫痪。   那么高cdnddos攻击吗?高cdn如何ddos攻击呢?...真正帮助服务管理人员提供更多应该被攻击时间,cdn能有效防止ddos攻击,降低对网站带来危害。   普通CDN只是有缓存加速效果,通过提前将网站资源缓存到本地,为访客提供访问加速效果。...而墨者盾高CDN通过不同网络节点在给网站加速同时还可以防御各种DDoS流量攻击,通过cdn域名解析,隐藏服务器源IP,攻击者通过域名看到是高IP,当遭到大流量攻击时,高节点自动清洗,

    6K00

    web安全进阶 - - - 流量隐藏

    一,为什么要流量隐藏 在日常使用服务器进行渗透等攻击方式时候,很容易被溯源到所有我们需要对自己vps进行流量隐藏,这里VPS最好是匿名 ,既然是隐藏自身 那么域名肯定不能使用自己备案域名。...https://www.godaddy.com/zh-sg 注册匿名域名 https://www.cloudflare.com/ 免费CDN 二,什么是CDN CDN 全称是 Content...假设您业务源站域名为 www.test.com ,当域名接入 CDN 开始使用加速服务后,您 用户发起 HTTP 请求,实际处理流程如图所示,根据他处理流程, CDN 最后会将流量转发到真实...IP上,那么我们便能通过 CDN 达到隐藏自身效果。...三,隐藏步骤  1.访问https://www.godaddy.com/zh-sg 选购一个域名  2.选用自己喜欢域名,建议购买.vip等后缀名称(便宜又实惠)  3.根据自身需求选择服务等

    1.4K30
    领券