Kina
Blokiranje se vrši ispuštanjem paketa sa klijenta na server, a ne zamenom RST paketa koja je prethodno izvršena SNI selektivnim blokiranjem sadržaja. Nakon što se aktivira blokiranje paketa pomoću ESNI, svi mrežni paketi koji odgovaraju kombinaciji izvorne IP adrese, odredišne IP adrese i broja odredišnog porta također se blokiraju na 120 do 180 sekundi. HTTPS veze zasnovane na starijim verzijama TLS-a i TLS 1.3 bez ESNI-a su dozvoljene kao i obično.
Podsjetimo, kako bi se organizirao rad na jednoj IP adresi nekoliko HTTPS stranica, razvijena je SNI ekstenzija, koja prenosi ime hosta u čistom tekstu u ClientHello poruci koja se prenosi prije instaliranja šifriranog komunikacijskog kanala. Ova funkcija omogućava na strani internet provajdera da selektivno filtrira HTTPS promet i analizira koje stranice korisnik otvara, što ne omogućava postizanje potpune povjerljivosti pri korištenju HTTPS-a.
Nova TLS ekstenzija ECH (ranije ESNI), koja se može koristiti u sprezi sa TLS 1.3, eliminiše ovaj nedostatak i potpuno eliminiše curenje informacija o traženom sajtu prilikom analize HTTPS konekcija. U kombinaciji s pristupom putem mreže za isporuku sadržaja, korištenje ECH/ESNI također omogućava sakrivanje IP adrese traženog resursa od provajdera. Sistemi za inspekciju saobraćaja će vidjeti samo zahtjeve prema CDN-u i neće moći primijeniti blokiranje bez lažiranja TLS sesije, u kom slučaju će se odgovarajuće obavještenje o lažiranju certifikata prikazati u pretraživaču korisnika. DNS ostaje mogući kanal za curenje, ali klijent može koristiti DNS-over-HTTPS ili DNS-over-TLS da sakrije DNS pristup klijenta.
Istraživači su već
Drugo zaobilazno rješenje je korištenje nestandardnog procesa pregovaranja o vezi, na primjer, blokiranje ne radi ako se unaprijed pošalje dodatni SYN paket s pogrešnim redoslijedom, manipulacije s oznakama fragmentacije paketa, slanje paketa i sa FIN i SYN postavljene zastavice, zamjena RST paketa s netačnom kontrolnom količinom ili slanje prije nego što započne pregovaranje paketne veze sa SYN i ACK zastavicama. Opisane metode su već implementirane u obliku dodatka za alat
izvor: opennet.ru