China
Die Blockierung erfolgt durch das Verwerfen von Paketen vom Client zum Server und nicht durch die RST-Paketersetzung, die zuvor durch inhaltsselektives SNI-Blockieren durchgeführt wurde. Nachdem die Blockierung eines Pakets mit ESNI ausgelöst wurde, werden alle Netzwerkpakete, die der Kombination aus Quell-IP, Ziel-IP und Ziel-Portnummer entsprechen, ebenfalls für 120 bis 180 Sekunden blockiert. HTTPS-Verbindungen, die auf älteren Versionen von TLS und TLS 1.3 ohne ESNI basieren, werden wie gewohnt durchgelassen.
Erinnern wir uns daran, dass zur Organisation der Arbeit an einer IP-Adresse mehrerer HTTPS-Sites die SNI-Erweiterung entwickelt wurde, die den Hostnamen im Klartext in der ClientHello-Nachricht überträgt, die vor der Installation eines verschlüsselten Kommunikationskanals übertragen wird. Diese Funktion ermöglicht es dem Internetprovider, den HTTPS-Verkehr selektiv zu filtern und zu analysieren, welche Seiten der Benutzer öffnet, was bei der Verwendung von HTTPS keine vollständige Vertraulichkeit ermöglicht.
Die neue TLS-Erweiterung ECH (ehemals ESNI), die in Verbindung mit TLS 1.3 verwendet werden kann, beseitigt dieses Manko und eliminiert den Verlust von Informationen über die angeforderte Site bei der Analyse von HTTPS-Verbindungen vollständig. In Kombination mit dem Zugriff über ein Content-Delivery-Netzwerk ermöglicht der Einsatz von ECH/ESNI auch, die IP-Adresse der angeforderten Ressource vor dem Anbieter zu verbergen. Verkehrskontrollsysteme sehen nur Anfragen an das CDN und können keine Blockierung ohne TLS-Sitzungsspoofing anwenden. In diesem Fall wird im Browser des Benutzers eine entsprechende Benachrichtigung über Zertifikatsspoofing angezeigt. DNS bleibt ein möglicher Leckkanal, aber der Client kann DNS-über-HTTPS oder DNS-über-TLS verwenden, um den DNS-Zugriff durch den Client zu verbergen.
Forscher sind es bereits
Eine weitere Problemumgehung besteht darin, einen nicht standardmäßigen Verbindungsaushandlungsprozess zu verwenden. Beispielsweise funktioniert das Blockieren nicht, wenn im Voraus ein zusätzliches SYN-Paket mit einer falschen Sequenznummer gesendet wird, Manipulationen mit Paketfragmentierungsflags, Senden eines Pakets sowohl mit FIN als auch mit SYN gesetzte Flags, Ersetzung eines RST-Pakets durch eine falsche Kontrollmenge oder Senden vor Beginn der Paketverbindungsaushandlung mit den SYN- und ACK-Flags. Die beschriebenen Methoden wurden bereits in Form eines Plugins für das Toolkit implementiert
Source: opennet.ru