China alle HTTPS-ferbiningen dy't it TLS 1.3-protokol brûke en de ESNI (Encrypted Server Name Indication) TLS-útwreiding, dy't fersifering leveret fan gegevens oer de frege host. Blokkearje wurdt útfierd op transit routers sawol foar ferbinings oprjochte fan Sina nei de bûtenwrâld, en fan 'e bûtenwrâld nei Sina.
Blokkearje wurdt dien troch pakketten fan 'e kliïnt nei de tsjinner te fallen, ynstee fan de RST-pakketferfanging dy't earder útfierd waard troch SNI ynhâld-selektyf blokkearjen. Nei it blokkearjen fan in pakket mei ESNI wurdt aktivearre, wurde alle netwurkpakketten dy't oerienkomme mei de kombinaasje fan boarne IP, bestimmings-IP en bestimmingspoartenûmer ek blokkearre foar 120 oan 180 sekonden. HTTPS-ferbiningen basearre op âldere ferzjes fan TLS en TLS 1.3 sûnder ESNI binne tastien troch as gewoanlik.
Lit ús ûnthâlde dat foar it organisearjen fan wurk op ien IP-adres fan ferskate HTTPS-siden, de SNI-útwreiding waard ûntwikkele, dy't de hostnamme yn dúdlike tekst oerstjoert yn it ClientHello-berjocht dat is oerbrocht foardat in fersifere kommunikaasjekanaal oprjochte. Dizze funksje makket it mooglik oan 'e kant fan' e ynternetprovider om selektyf HTTPS-ferkear te filterjen en te analysearjen hokker siden de brûker iepenet, wat net tastean om folsleine fertroulikens te berikken by it brûken fan HTTPS.
De nije TLS-útwreiding ECH (eartiids ESNI), dy't brûkt wurde kin yn kombinaasje mei TLS 1.3, elimineert dit tekoart en elimineert folslein it lekken fan ynformaasje oer de oanfrege side by it analysearjen fan HTTPS-ferbiningen. Yn kombinaasje mei tagong fia in netwurk foar levering fan ynhâld makket it gebrûk fan ECH / ESNI it ek mooglik om it IP-adres fan 'e frege boarne fan' e provider te ferbergjen. Ferkearsynspeksjesystemen sille allinich oanfragen sjen nei it CDN en kinne gjin blokkearjen tapasse sûnder TLS-sesje-spoofing, yn dat gefal sil in korrespondearjende notifikaasje oer sertifikaat-spoofing wurde werjûn yn 'e browser fan de brûker. DNS bliuwt in mooglik lekkanaal, mar de kliïnt kin DNS-over-HTTPS of DNS-over-TLS brûke om DNS-tagong troch de kliïnt te ferbergjen.
Undersikers hawwe al D'r binne ferskate oplossingen om it Sineeske blok oan 'e client- en serverkant te omgean, mar se kinne irrelevant wurde en moatte allinich as tydlike maatregel beskôge wurde. Bygelyks, op it stuit allinich pakketten mei de ESNI-útwreiding ID 0xffce (fersifere_server_namme), dy't brûkt waard yn , mar foar no pakketten mei de aktuele identifier 0xff02 (encrypted_client_hello), foarsteld yn .
In oare oplossing is om in net-standert ferbiningsûnderhannelingsproses te brûken, bygelyks blokkearjen wurket net as in ekstra SYN-pakket mei in ferkeard folchoardernûmer fan tefoaren ferstjoerd wurdt, manipulaasjes mei pakketfragmintaasjeflaggen, it ferstjoeren fan in pakket mei sawol de FIN as SYN flaggen ynsteld, ferfanging fan in RST pakket mei in ferkearde kontrôle bedrach of ferstjoere foardat it pakket ferbining ûnderhanneling mei de SYN en ACK flaggen begjint. De beskreaune metoaden binne al ymplementearre yn 'e foarm fan in plugin foar de toolkit , om sensuermetoaden te omgean.
Boarne: opennet.ru