Hiina
Blokeerimiseks kukutatakse paketid kliendilt serverisse, mitte aga RST-pakettide asendamine, mida varem teostas SNI sisuselektiivne blokeerimine. Pärast ESNI-ga paketi blokeerimise käivitamist blokeeritakse 120–180 sekundiks ka kõik võrgupaketid, mis vastavad lähte-IP, sihtkoha IP ja sihtkoha pordi numbri kombinatsioonile. HTTPS-ühendused, mis põhinevad vanematel TLS-i versioonidel ja TLS 1.3-l ilma ESNI-ta, on tavapäraselt lubatud.
Meenutagem, et mitme HTTPS-saidi ühe IP-aadressi kallal töö korraldamiseks töötati välja SNI laiendus, mis edastab enne krüpteeritud sidekanali paigaldamist edastatavas ClientHello sõnumis lahtise tekstina hostinime. See funktsioon võimaldab Interneti-pakkuja poolel HTTPS-i liiklust valikuliselt filtreerida ja analüüsida, milliseid saite kasutaja avab, mis ei võimalda HTTPS-i kasutamisel täielikku konfidentsiaalsust saavutada.
Uus TLS-laiendus ECH (endine ESNI), mida saab kasutada koos TLS 1.3-ga, kõrvaldab selle puuduse ja välistab HTTPS-ühenduste analüüsimisel täielikult teabe lekke soovitud saidi kohta. Koos juurdepääsuga sisu edastamise võrgu kaudu võimaldab ECH/ESNI kasutamine ka taotletud ressursi IP-aadressi pakkuja eest peita. Liiklusjärelevalvesüsteemid näevad ainult CDN-ile suunatud päringuid ja ei saa rakendada blokeerimist ilma TLS-i seansi võltsimiseta, sel juhul kuvatakse kasutaja brauseris vastav teade sertifikaadi võltsimise kohta. DNS jääb võimalikuks lekkekanaliks, kuid klient saab kasutada DNS-i üle HTTPS-i või DNS-üle-TLS-i, et varjata kliendi DNS-i juurdepääsu.
Teadlased on juba
Teine lahendus on kasutada mittestandardset ühenduse läbirääkimisprotsessi, näiteks blokeerimine ei toimi, kui eelnevalt saadetakse vale järjenumbriga täiendav SYN-pakett, manipulatsioonid pakettide killustatuse lippudega, paketi saatmine nii FIN kui ka SYN-iga lipud seatud, RST-paketi asendamine vale kontrollsummaga või saatmine enne pakettühenduse läbirääkimiste algust lipukestega SYN ja ACK. Kirjeldatud meetodid on tööriistakomplekti pistikprogrammi kujul juba rakendatud
Allikas: opennet.ru