Кітай
Для блакавання выконваецца адкідванне пакетаў ад кліента да сервера, а не падстаноўка пакетаў са сцягам RST, якая раней выконвалася пры выбарачнай блакіроўцы па змесціва SNI. Пасля спрацоўвання блакавання пакета з ESNI на працягу ад 120 да 180 секунд таксама блакуюцца ўсе сеткавыя пакеты, якія адпавядаюць звязку з зыходнага IP, мэтавага IP і нумары порта прызначэння. HTTPS-злучэнні на аснове старых версій TLS і TLS 1.3 без ESNI прапускаюцца як звычайна.
Нагадаем, што для арганізацыі працы на адным IP-адрасе некалькіх HTTPS-сайтаў было распрацавана пашырэнне SNI, якое ажыццяўляе перадачу імя хаста ў адкрытым выглядзе ў паведамленні ClientHello, якое перадаецца да ўстаноўкі шыфраванага канала сувязі. Падобная асаблівасць дае магчымасць на боку інтэрнэт-правайдэра выбарачна фільтраваць HTTPS-трафік і аналізаваць якія сайты адчыняе карыстач, што не дазваляе дамагчыся поўнай канфідэнцыйнасці пры ўжыванні HTTPS.
Новае TLS-пашырэнне ECH (раней ESNI), якое можа ўжывацца сумесна з TLS 1.3, ухіляе гэты недахоп і цалкам выключае ўцечку звестак аб запытаным сайце пры аналізе HTTPS-злучэнняў. У спалучэнні са зваротам праз сетку дастаўкі кантэнту ўжыванне ECH/ESNI таксама дае магчымасць схаваць ад правайдэра і IP-адрас запытанага рэсурсу. Сістэмы інспектавання трафіку будуць бачыць толькі звароты да CDN і не змогуць ужыць блакіроўку без падмены TLS-сеансу, у выпадку якой у браўзэры карыстача будзе паказана адпаведнае апавяшчэнне аб падмене сертыфіката. Магчымым каналам уцечкі застаецца DNS, але для ўтойвання звароту да DNS кліентам можа прымяняцца DNS-over-HTTPS або DNS-over-TLS.
Даследчыкі ўжо
Іншым варыянтам абыходу з'яўляецца выкарыстанне нестандартнага працэсу ўзгаднення злучэння, напрыклад, блакіроўка не спрацоўвае пры папярэдняй адпраўцы дадатковага SYN-пакета з няслушным нумарам паслядоўнасці, маніпуляцыямі са сцягамі фрагментавання пакетаў, адпраўцы пакета з адначасова выстаўленымі сцягамі FIN і SYN, падстаноўцы RST-пакета з некарэктнай кантрольнай сумай або адпраўцы да пачатку ўзгаднення злучэння пакета са сцягамі SYN і ACK. Апісаныя метады ўжо рэалізаваны ў форме плагіна да інструментара
Крыніца: opennet.ru