ቻይና የTLS 1.3 ፕሮቶኮል እና ESNI (የተመሰጠረ የአገልጋይ ስም ማመላከቻ) TLS ቅጥያ የሚጠቀሙ ሁሉም HTTPS ግንኙነቶች፣ ስለተጠየቀው አስተናጋጅ መረጃ ምስጠራን ይሰጣል። ማገድ የሚከናወነው ከቻይና ወደ ውጭው ዓለም እና ከውጪው ዓለም ወደ ቻይና ለሚፈጠሩ ግንኙነቶች በትራንዚት ራውተሮች ላይ ነው።
ማገድ የሚከናወነው ከዚህ ቀደም በSNI የይዘት መራጭ እገዳ ከተደረገው የ RST ፓኬት ምትክ ይልቅ ከደንበኛው ወደ አገልጋዩ ፓኬጆችን በመጣል ነው። ከESNI ጋር አንድ ፓኬት ከታገደ በኋላ፣ ከምንጩ IP፣ ከመድረሻ አይፒ እና ከመድረሻ ወደብ ቁጥር ጋር የሚዛመዱ ሁሉም የአውታረ መረብ ፓኬቶች እንዲሁ ከ120 እስከ 180 ሰከንድ ድረስ ታግደዋል። በአሮጌው የTLS እና TLS 1.3 ስሪቶች ላይ የተመሰረቱ HTTPS ግንኙነቶች እንደተለመደው ይፈቀዳሉ።
በበርካታ የኤችቲቲፒኤስ ጣቢያዎች በአንድ የአይ ፒ አድራሻ ላይ ስራን ለማደራጀት የኤስኤንአይ ቅጥያ መዘጋጀቱን እናስታውስ፣ ኢንክሪፕትድ የተደረገ የግንኙነት ቻናል ከመጫንዎ በፊት በሚተላለፈው የClientHello መልእክት ውስጥ የአስተናጋጁን ስም በግልፅ ፅሁፍ ያስተላልፋል። ይህ ባህሪ ኤችቲቲፒኤስን በሚጠቀሙበት ጊዜ ሙሉ ሚስጥራዊነትን ለማግኘት የማይፈቅደው የኤችቲቲፒኤስ ትራፊክን መርጦ ለማጣራት እና ተጠቃሚው የትኛዎቹን ጣቢያዎች እንደሚከፍት ለመተንተን ከበይነመረብ አቅራቢው በኩል ያስችላል።
አዲሱ የTLS ቅጥያ ECH (የቀድሞው ESNI)፣ ከTLS 1.3 ጋር በጥምረት ጥቅም ላይ ሊውል የሚችለው፣ ይህንን ጉድለት ያስወግዳል እና የኤችቲቲፒኤስ ግንኙነቶችን በሚተነተንበት ጊዜ ስለተጠየቀው ጣቢያ የመረጃ ፍሰትን ሙሉ በሙሉ ያስወግዳል። በይዘት ማቅረቢያ አውታረመረብ በኩል ከመድረስ ጋር በማጣመር፣ የ ECH/ESNI አጠቃቀም ከአቅራቢው የተጠየቀውን ግብዓት የአይፒ አድራሻ ለመደበቅ ያስችላል። የትራፊክ ፍተሻ ሲስተሞች ወደ ሲዲኤን የሚቀርቡ ጥያቄዎችን ብቻ ነው የሚያዩት እና ያለ TLS ክፍለ ጊዜ ማገድን መተግበር አይችሉም፣ በዚህ አጋጣሚ የምስክር ወረቀት ማጭበርበርን በተመለከተ ተዛማጅ ማሳወቂያ በተጠቃሚው አሳሽ ላይ ይታያል። ዲ ኤን ኤስ ሊለቀቅ የሚችል ቻናል ሆኖ ይቆያል፣ ነገር ግን ደንበኛው የደንበኛውን የዲኤንኤስ መዳረሻ ለመደበቅ DNS-over-HTTPS ወይም DNS-over-TLSን መጠቀም ይችላል።
ተመራማሪዎች አስቀድመው አደረጉ በደንበኛው እና በአገልጋዩ በኩል የቻይንኛ ብሎክን ለማለፍ ብዙ መፍትሄዎች አሉ ፣ ግን ተዛማጅነት የሌላቸው ሊሆኑ ይችላሉ እና እንደ ጊዜያዊ መለኪያ ብቻ ሊወሰዱ ይገባል ። ለምሳሌ፣ በአሁኑ ጊዜ ጥቅም ላይ የዋለው የESNI ቅጥያ መታወቂያ 0xffce (የተመሰጠረ_አገልጋይ_ስም) ያላቸው እሽጎች ብቻ ናቸው። አሁን ግን ፓኬጆች ከአሁኑ መለያ 0xff02 (encrypted_client_hello) ጋር ፣ .
ሌላው መፍትሄ መደበኛ ያልሆነ የግንኙነት ድርድር ሂደትን መጠቀም ነው፡ ለምሳሌ፡ ተጨማሪ የ SYN ፓኬት ትክክለኛ ያልሆነ ተከታታይ ቁጥር በቅድሚያ ከተላከ ማገድ አይሰራም፡ ከፓኬት ቁርጥራጭ ባንዲራዎች ጋር መጠቀሚያዎች፡ ከሁለቱም FIN እና SYN ጋር ፓኬት መላክ ባንዲራዎች ተዘጋጅተዋል፣ የ RST ፓኬትን በተሳሳተ የቁጥጥር መጠን መተካት ወይም ከSYN እና ACK ባንዲራዎች ጋር የፓኬት ግንኙነት ድርድር ከመጀመሩ በፊት መላክ። የተገለጹት ዘዴዎች ለመሳሪያው ስብስብ በፕለጊን መልክ ቀድሞውኑ ተተግብረዋል , የሳንሱር ዘዴዎችን ለማለፍ.
ምንጭ: opennet.ru