Bei dem sogenannten „Domain Fronting“ handelt es sich um ein technisch relativ einfaches Verfahren, das den Aufruf bestimmter Domainnamen ermöglicht, obwohl die Datenpakete scheinbar an einen anderen Empfänger gesendet werden. Zu diesem Zweck nutzt das Domain Fronting die Eigenschaften und Fähigkeiten von leistungsfähigen IT-Infrastrukturen, die als Content Delivery oder Content Distribution Networks (CDN) bezeichnet werden. Es wird vor allem in politisch repressiven Systemen eingesetzt, um die staatliche Zensur zu umgehen. Es erlaubt jedoch ebenfalls Cyberkriminellen, Pakete umzuleiten und Adressen zu verschleiern, weshalb immer mehr CDN-Anbieter Domain Fronting verbieten und aktiv unterbinden.
Wie funktioniert Domain Fronting?
Ursprünglich wurde jede Anfrage an eine Internetseite direkt über das Domain Name System (DNS) an einen verantwortlichen Server weitergeleitet und von diesem bearbeitet. Ein CDN agiert jedoch als Stellvertreter (Proxy) und stellt für zahlreiche Domainnamen Inhalte zur Verfügung, die es in einem temporären Speicher (Cache) an unterschiedlichen Standorten lagert. Dabei handelt es sich primär um große Dateien wie zum Beispiel Videostreams, Software oder andere Downloads. Die Verbindung mit dem CDN verwendet eine sichere Verschlüsselung über HTTPS und enthält zwei Möglichkeiten, eine Zieladresse anzugeben:
- DNS über öffentlich lesbare TCP/IP Header in Form von Domainnamen oder IP-Adressen
- In den durch SSL/TLS verschlüsselten HTTPS Datenpaketen
Domain Fronting nutzt diese Angaben, um die wahre Endstelle einer Verbindung zu verschleiern, indem es offiziell eine Anfrage an eine bestimmte, nicht verdächtige Webseite schickt. Der CDN empfängt diese und baut anschließend eine verschlüsselte Kommunikation zu dem Client auf. Anschließend sendet der Client manipulierte HTTPS-Pakete, in denen sich der Empfänger von dem Header unterscheidet. Für die weitere Übertragung einschließlich der Zieladresse nutzen beide Seiten nun einen Kanal mit einer Ende-zu-Ende-Verschlüsselung (E2EE) – der CDN dient dabei ähnlich einem Postamt als offizieller Verwalter und verwendet als Gegenstelle die verschlüsselten Domainnamen statt des öffentlichen DNS.
Welchen Nutzen und welche Gefahren birgt das Domain Fronting?
Seinen Höhepunkt erlebte das Domain Fronting in dem Zeitraum zwischen den Jahren 2014 und 2021, weil damals viele große, weltweit führende CDN inklusive Google, Amazon, Microsoft und CloudFlare keine Abwehrmaßnahmen ergriffen. Während dieser Zeit wurde es aktiv von Aktivisten, Oppositionellen und gezielt von Messenger Diensten wie Signal oder Telegram verwendet, um die Zensur in unterschiedlichen autoritären oder diktatorischen Staaten wie China, Qatar, Russland, Syrien oder Venezuela – später auch Myanmar – zu umgehen.
Wegen seiner einfachen, effizienten Verwendung nutzen jedoch ebenfalls Cyberkriminelle Domain Fronting, um potenzielle Opfer auf scheinbar seriöse Webseiten umzuleiten. Allerdings erfordert die Manipulation der Datenpakete einen aktiven Zugriff auf den Client, so dass es vor allem bei gezielten Attacken oder nach der Installation von Malware oder Trojanern zum Einsatz kommt. Die Gefahr für Nutzer ist deshalb als Mittel einzustufen, sofern sie weder illegale Software noch eventuell kompromittierte Webseiten nutzen. Nach einer Infektion kann Domain Fronting jedoch dazu verwendet werden, Datenflüsse etwa von komprimierten Geräten an illegale Empfänger vor einer Firewall als legitimen Traffic zu tarnen.
Welche Rolle spielt Domain Fronting im heutigen Internet?
Zwischen 2018 und 2020 haben viele weltweit führende IT-Konzerne einschließlich Google, Microsoft, CloudFlare und Amazon Maßnahmen ergriffen, um Domain Fronting zu unterbinden. Seitdem hat seine Bedeutung deutlich abgenommen – allerdings zeigte ein 2023 veröffentlichte Studie, dass weiterhin 22 von 30 CDNs Domain Fronting erlauben. Eine wesentliche Hürde besteht immer noch darin, dass die Webseite und der Server, auf den weitergeleitet werden soll, bei demselben CDN registriert sein müssen. Dies schränkt die Reichweite erheblich ein, nach wie vor wird das Verfahren aber sowohl für legitime Zwecke wie Umgehen einer politischen Zensur und für illegale Ziele eingesetzt.
Tipp: Mehr Informationen zu Schutzmechanismen wie Domain Guard oder Bedrohungen wie SMTP-Smuggling sind im Ratgeber zu finden.
Bild von Gerd Altmann auf Pixabay