hunting-for-domain-fronting-c2-traffic

通过分析代理日志中的 SNI 与 HTTP Host 头不匹配以及使用 pyOpenSSL 进行证书检查,检测域前置(domain fronting)C2 流量和 TLS 证书差异。

9 stars

Best use case

hunting-for-domain-fronting-c2-traffic is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通过分析代理日志中的 SNI 与 HTTP Host 头不匹配以及使用 pyOpenSSL 进行证书检查,检测域前置(domain fronting)C2 流量和 TLS 证书差异。

Teams using hunting-for-domain-fronting-c2-traffic should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/hunting-for-domain-fronting-c2-traffic/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/hunting-for-domain-fronting-c2-traffic/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/hunting-for-domain-fronting-c2-traffic/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How hunting-for-domain-fronting-c2-traffic Compares

Feature / Agenthunting-for-domain-fronting-c2-trafficStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通过分析代理日志中的 SNI 与 HTTP Host 头不匹配以及使用 pyOpenSSL 进行证书检查,检测域前置(domain fronting)C2 流量和 TLS 证书差异。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 狩猎域前置 C2 流量

## 概述

域前置(MITRE ATT&CK T1090.004)是一种攻击技术,攻击者在 TLS SNI 字段和 HTTP Host 头中使用不同的域名,将 C2 流量伪装在合法 CDN 托管域名之后。本技能通过解析代理/Web 网关日志中的 SNI-Host 头不匹配情况、分析 TLS 证书以识别 CDN 提供商、标记 SNI 指向高信誉域名但 Host 头指向攻击者控制域名的连接,以及与已知 CDN 提供商 IP 范围进行关联,来检测域前置行为。

## 前置条件

- 包含 SNI 和 Host 头字段的 Web 代理或安全 Web 网关日志
- Python 3.8+ 及 pyOpenSSL 和 cryptography 库
- 代理上启用 TLS 检查以获得 Host 头可见性
- CDN 提供商 IP 范围列表(CloudFront、Azure CDN、Cloudflare)

## 步骤

1. 解析代理日志,查找同时包含 SNI 和 Host 头字段的连接
2. 将 SNI 域名与 HTTP Host 头进行比较,寻找不匹配情况
3. 使用 pyOpenSSL 提取 TLS 证书的 Subject 和 SAN 字段
4. 通过证书颁发者和 IP 范围识别 CDN 托管连接
5. 标记高置信度的域前置情况(SNI 和 Host 在 CDN IP 上存在差异)
6. 根据域名信誉差异对告警评分
7. 生成包含网络流上下文的检测报告

## 预期输出

JSON 报告,包含检测到的域前置指标及其 SNI-Host 对、证书详情、CDN 提供商识别、置信度评分和 MITRE ATT&CK 技术映射。

Related Skills

performing-threat-hunting-with-yara-rules

9
from killvxk/cybersecurity-skills-zh

使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。

performing-threat-hunting-with-elastic-siem

9
from killvxk/cybersecurity-skills-zh

使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。

performing-subdomain-enumeration-with-subfinder

9
from killvxk/cybersecurity-skills-zh

使用 ProjectDiscovery 的 Subfinder 被动侦察工具枚举目标域名的子域名,在安全评估期间绘制攻击面图谱。

performing-network-traffic-analysis-with-zeek

9
from killvxk/cybersecurity-skills-zh

部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。

performing-network-traffic-analysis-with-tshark

9
from killvxk/cybersecurity-skills-zh

使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)

intercepting-mobile-traffic-with-burpsuite

9
from killvxk/cybersecurity-skills-zh

使用 Burp Suite 代理拦截和分析移动应用的 HTTP/HTTPS 流量,以识别不安全的 API 通信、 认证缺陷、数据泄露和服务器端漏洞。适用于移动应用渗透测试、API 安全评估或 评估客户端-服务器通信模式。适合移动流量拦截、Burp Suite 移动代理、API 安全测试 或移动 HTTPS 分析相关请求。

implementing-ot-network-traffic-analysis-with-nozomi

9
from killvxk/cybersecurity-skills-zh

部署Nozomi Networks Guardian传感器进行被动OT网络流量分析,在不中断运营的情况下实现对工业控制系统的全面资产可见性、实时威胁检测和漏洞评估,利用行为异常检测和协议感知监控能力。

implementing-network-traffic-baselining

9
from killvxk/cybersecurity-skills-zh

使用 Python pandas 从 NetFlow/IPFIX 数据构建网络流量基线,实现统计分析、Z-Score 异常检测以及按小时/按天的流量模式分析。

implementing-network-traffic-analysis-with-arkime

9
from killvxk/cybersecurity-skills-zh

部署并查询 Arkime(前身为 Moloch)进行全包捕获(Full Packet Capture)网络流量分析。使用 Arkime API v3 搜索会话、下载 PCAP 文件、分析连接模式、检测信标行为(Beaconing),并识别可疑网络流量。监控捕获流量中的 DNS 查询、HTTP 流量和 TLS 证书异常。

hunting-living-off-the-land-binaries

9
from killvxk/cybersecurity-skills-zh

检测 Windows 事件日志和 Sysmon 遥测数据中对离地攻击(Living Off The Land Binaries,LOLBAS)的滥用, 包括 certutil、wmic、mshta、regsvr32 和 rundll32 等工具。 通过将进程创建事件与 LOLBAS 项目数据库交叉比对来构建检测规则。 适用于针对无文件攻击技术的威胁狩猎或构建 SIEM 检测规则的场景。

hunting-for-webshells-in-web-servers

9
from killvxk/cybersecurity-skills-zh

通过扫描高熵值文件、可疑的 PHP/JSP/ASP 模式(eval、base64_decode、system、passthru)、 Web 根目录中近期修改的文件以及异常文件大小,检测植入 Web 服务器的 Webshell(网页后门)。 使用香农熵(Shannon entropy)计算标记混淆载荷,并通过正则表达式模式匹配已知 Webshell 特征。

hunting-for-webshell-activity

9
from killvxk/cybersecurity-skills-zh

通过分析 Web 目录中的文件创建行为、Web 服务器异常进程派生以及异常 HTTP 模式,狩猎面向互联网服务器上的 Webshell 部署。