Sìona a h-uile ceangal HTTPS a bhios a’ cleachdadh protocol TLS 1.3 agus an leudachadh TLS ESNI (Comhradh Ainm frithealaiche crioptaichte), a bheir seachad crioptachadh dàta mun òstair a chaidh iarraidh. Bithear a’ bacadh air routers gluasaid an dà chuid airson ceanglaichean a chaidh a stèidheachadh bho Shìona ris an t-saoghal a-muigh, agus bhon t-saoghal a-muigh gu Sìona.
Tha bacadh air a dhèanamh le bhith a’ leigeil phasganan bhon neach-dèiligidh chun t-seirbheisiche, seach an ionadachadh pacaid RST a chaidh a dhèanamh roimhe seo le bacadh susbaint-roghnach SNI. Às deidh casg a chuir air pasgan le ESNI, tha a h-uile pacaid lìonra a tha co-chosmhail ris a’ mheasgachadh de stòr IP, IP ceann-uidhe agus àireamh port ceann-uidhe cuideachd air am bacadh airson 120 gu 180 diogan. Tha ceanglaichean HTTPS stèidhichte air dreachan nas sine de TLS agus TLS 1.3 gun ESNI ceadaichte troimhe mar as àbhaist.
Cuimhnichidh sinn, gus obair a chuir air dòigh air aon sheòladh IP de ghrunn làraich HTTPS, gun deach an leudachadh SNI a leasachadh, a bhios a’ sgaoileadh an ainm aoigheachd ann an teacsa soilleir anns an teachdaireachd ClientHello a chaidh a chuir a-mach mus cuir thu a-steach sianal conaltraidh crioptaichte. Tha am feart seo ga dhèanamh comasach air taobh solaraiche an eadar-lìn trafaic HTTPS a shìoladh gu roghnach agus sgrùdadh a dhèanamh air na làraich a dh’ fhosglas an neach-cleachdaidh, nach leig le dìomhaireachd iomlan a choileanadh nuair a bhios tu a ’cleachdadh HTTPS.
Tha an leudachadh ùr TLS ECH (ESNI roimhe seo), a dh’ fhaodar a chleachdadh ann an co-bhonn ri TLS 1.3, a’ cur às don easbhaidh seo agus a’ cur às gu tur an aodion fiosrachaidh mun làrach a chaidh iarraidh nuair a thathar a’ dèanamh anailis air ceanglaichean HTTPS. Còmhla ri ruigsinneachd tro lìonra lìbhrigidh susbaint, tha cleachdadh ECH/ESNI cuideachd ga dhèanamh comasach seòladh IP a’ ghoireas a chaidh iarraidh fhalach bhon t-solaraiche. Chan fhaic siostaman sgrùdaidh trafaic ach iarrtasan chun CDN agus chan urrainn dhaibh bacadh a chuir an sàs às aonais spoofing seisean TLS, agus anns an t-suidheachadh sin thèid fios co-fhreagarrach mu spoofing teisteanais a shealltainn ann am brabhsair an neach-cleachdaidh. Tha DNS fhathast na sheanal aodion a dh’ fhaodadh a bhith ann, ach faodaidh an neach-dèiligidh DNS-over-HTTPS no DNS-over-TLS a chleachdadh gus ruigsinneachd DNS leis an neach-dèiligidh fhalach.
Tha luchd-rannsachaidh mu thràth Tha grunn dhòighean-obrach ann gus faighinn seachad air a’ bhloc Sìneach air taobh teachdaiche is frithealaiche, ach dh’ fhaodadh iad a bhith neo-iomchaidh agus cha bu chòir beachdachadh orra ach mar cheum sealach. Mar eisimpleir, an-dràsta chan eil ann ach pacaidean leis an ID leudachaidh ESNI 0xffce (encrypted_server_name), a chaidh a chleachdadh ann an , ach airson a-nis pacaidean leis an aithnichear gnàthach 0xff02 (encrypted_client_hello), air a mholadh ann an .
Is e dòigh-obrach eile a bhith a’ cleachdadh pròiseas co-rèiteachaidh ceangail neo-àbhaisteach, mar eisimpleir, chan obraich bacadh ma thèid pacaid SYN a bharrachd le àireamh sreath ceàrr a chuir ro-làimh, làimhseachadh le brataichean brisidh pacaid, a’ cur pacaid leis an dà chuid FIN agus SYN brataichean air an suidheachadh, cuir an àite pacaid RST le tomhas smachd ceàrr no cuir air falbh mus tòisich co-rèiteachadh ceangail pacaid le brataichean SYN agus ACK. Chaidh na dòighean a chaidh a mhìneachadh a chuir an gnìomh mar-thà ann an cruth plugan airson an inneal , gus faighinn seachad air dòighean caisgireachd.
Source: fosgailtenet.ru