hunting-for-domain-fronting-c2-traffic
通过分析代理日志中的 SNI 与 HTTP Host 头不匹配以及使用 pyOpenSSL 进行证书检查,检测域前置(domain fronting)C2 流量和 TLS 证书差异。
Best use case
hunting-for-domain-fronting-c2-traffic is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
通过分析代理日志中的 SNI 与 HTTP Host 头不匹配以及使用 pyOpenSSL 进行证书检查,检测域前置(domain fronting)C2 流量和 TLS 证书差异。
Teams using hunting-for-domain-fronting-c2-traffic should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/hunting-for-domain-fronting-c2-traffic/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How hunting-for-domain-fronting-c2-traffic Compares
| Feature / Agent | hunting-for-domain-fronting-c2-traffic | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
通过分析代理日志中的 SNI 与 HTTP Host 头不匹配以及使用 pyOpenSSL 进行证书检查,检测域前置(domain fronting)C2 流量和 TLS 证书差异。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 狩猎域前置 C2 流量 ## 概述 域前置(MITRE ATT&CK T1090.004)是一种攻击技术,攻击者在 TLS SNI 字段和 HTTP Host 头中使用不同的域名,将 C2 流量伪装在合法 CDN 托管域名之后。本技能通过解析代理/Web 网关日志中的 SNI-Host 头不匹配情况、分析 TLS 证书以识别 CDN 提供商、标记 SNI 指向高信誉域名但 Host 头指向攻击者控制域名的连接,以及与已知 CDN 提供商 IP 范围进行关联,来检测域前置行为。 ## 前置条件 - 包含 SNI 和 Host 头字段的 Web 代理或安全 Web 网关日志 - Python 3.8+ 及 pyOpenSSL 和 cryptography 库 - 代理上启用 TLS 检查以获得 Host 头可见性 - CDN 提供商 IP 范围列表(CloudFront、Azure CDN、Cloudflare) ## 步骤 1. 解析代理日志,查找同时包含 SNI 和 Host 头字段的连接 2. 将 SNI 域名与 HTTP Host 头进行比较,寻找不匹配情况 3. 使用 pyOpenSSL 提取 TLS 证书的 Subject 和 SAN 字段 4. 通过证书颁发者和 IP 范围识别 CDN 托管连接 5. 标记高置信度的域前置情况(SNI 和 Host 在 CDN IP 上存在差异) 6. 根据域名信誉差异对告警评分 7. 生成包含网络流上下文的检测报告 ## 预期输出 JSON 报告,包含检测到的域前置指标及其 SNI-Host 对、证书详情、CDN 提供商识别、置信度评分和 MITRE ATT&CK 技术映射。
Related Skills
performing-threat-hunting-with-yara-rules
使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。
performing-threat-hunting-with-elastic-siem
使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。
performing-subdomain-enumeration-with-subfinder
使用 ProjectDiscovery 的 Subfinder 被动侦察工具枚举目标域名的子域名,在安全评估期间绘制攻击面图谱。
performing-network-traffic-analysis-with-zeek
部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。
performing-network-traffic-analysis-with-tshark
使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)
intercepting-mobile-traffic-with-burpsuite
使用 Burp Suite 代理拦截和分析移动应用的 HTTP/HTTPS 流量,以识别不安全的 API 通信、 认证缺陷、数据泄露和服务器端漏洞。适用于移动应用渗透测试、API 安全评估或 评估客户端-服务器通信模式。适合移动流量拦截、Burp Suite 移动代理、API 安全测试 或移动 HTTPS 分析相关请求。
implementing-ot-network-traffic-analysis-with-nozomi
部署Nozomi Networks Guardian传感器进行被动OT网络流量分析,在不中断运营的情况下实现对工业控制系统的全面资产可见性、实时威胁检测和漏洞评估,利用行为异常检测和协议感知监控能力。
implementing-network-traffic-baselining
使用 Python pandas 从 NetFlow/IPFIX 数据构建网络流量基线,实现统计分析、Z-Score 异常检测以及按小时/按天的流量模式分析。
implementing-network-traffic-analysis-with-arkime
部署并查询 Arkime(前身为 Moloch)进行全包捕获(Full Packet Capture)网络流量分析。使用 Arkime API v3 搜索会话、下载 PCAP 文件、分析连接模式、检测信标行为(Beaconing),并识别可疑网络流量。监控捕获流量中的 DNS 查询、HTTP 流量和 TLS 证书异常。
hunting-living-off-the-land-binaries
检测 Windows 事件日志和 Sysmon 遥测数据中对离地攻击(Living Off The Land Binaries,LOLBAS)的滥用, 包括 certutil、wmic、mshta、regsvr32 和 rundll32 等工具。 通过将进程创建事件与 LOLBAS 项目数据库交叉比对来构建检测规则。 适用于针对无文件攻击技术的威胁狩猎或构建 SIEM 检测规则的场景。
hunting-for-webshells-in-web-servers
通过扫描高熵值文件、可疑的 PHP/JSP/ASP 模式(eval、base64_decode、system、passthru)、 Web 根目录中近期修改的文件以及异常文件大小,检测植入 Web 服务器的 Webshell(网页后门)。 使用香农熵(Shannon entropy)计算标记混淆载荷,并通过正则表达式模式匹配已知 Webshell 特征。
hunting-for-webshell-activity
通过分析 Web 目录中的文件创建行为、Web 服务器异常进程派生以及异常 HTTP 模式,狩猎面向互联网服务器上的 Webshell 部署。