Kína minden HTTPS-kapcsolat, amely a TLS 1.3 protokollt és az ESNI (titkosított kiszolgálónév-jelzés) TLS-bővítményt használja, amely biztosítja a kért gazdagépre vonatkozó adatok titkosítását. A blokkolást tranzit-routereken hajtják végre mind a Kínából a külvilág felé létesített kapcsolatoknál, mind a külvilágból Kínába.
A blokkolás úgy történik, hogy a kliensről a kiszolgálóra csomagokat dobnak le, nem pedig az RST-csomagcserét, amelyet korábban az SNI tartalom-szelektív blokkolása hajtott végre. Miután egy csomag ESNI-vel való blokkolása megtörtént, a forrás IP, a cél IP és a célportszám kombinációjának megfelelő összes hálózati csomag szintén blokkolva van 120-180 másodpercre. A régebbi TLS és TLS 1.3 ESNI nélküli verziókon alapuló HTTPS-kapcsolatok a szokásos módon engedélyezettek.
Emlékezzünk vissza, hogy több HTTPS oldal egy IP-címén végzett munka megszervezésére fejlesztették ki az SNI-bővítményt, amely a titkosított kommunikációs csatorna telepítése előtt elküldött ClientHello üzenetben egyértelmű szöveggel továbbítja a gazdagép nevét. Ez a funkció lehetővé teszi az internetszolgáltató oldalán a HTTPS forgalom szelektív szűrését és elemzését, hogy a felhasználó mely oldalakat nyitja meg, ami nem teszi lehetővé a teljes titoktartás elérését HTTPS használatakor.
Az új ECH (korábban ESNI) TLS-bővítmény, amely a TLS 1.3-mal együtt használható, kiküszöböli ezt a hiányosságot, és teljesen kiküszöböli a HTTPS-kapcsolatok elemzésekor a kért oldallal kapcsolatos információk kiszivárgását. A tartalomszolgáltató hálózaton keresztüli hozzáféréssel kombinálva az ECH/ESNI használata lehetővé teszi a kért erőforrás IP-címének elrejtését is a szolgáltató elől. A forgalomellenőrző rendszerek csak a CDN-hez intézett kéréseket látják, és nem tudják alkalmazni a blokkolást TLS-munkamenet-hamisítás nélkül, ebben az esetben a tanúsítványhamisításról szóló értesítés megjelenik a felhasználó böngészőjében. A DNS továbbra is lehetséges szivárgási csatorna, de az ügyfél a DNS-over-HTTPS vagy DNS-over-TLS használatával elrejtheti az ügyfél DNS-hozzáférését.
A kutatók már megtették Számos megoldás létezik a kínai blokk megkerülésére a kliens és a szerver oldalon, de ezek irrelevánssá válhatnak, és csak ideiglenes intézkedésnek kell tekinteni őket. Például jelenleg csak a 0xffce (titkosított_kiszolgáló_neve) ESNI kiterjesztési azonosítójú csomagok, amelyeket a , de egyelőre az aktuális 0xff02 (encrypted_client_hello) azonosítójú csomagok .
Egy másik megoldás a nem szabványos kapcsolat-egyeztetési folyamat használata, például a blokkolás nem működik, ha egy további SYN-csomagot hibás sorszámmal küldenek előre, manipulációk csomagtöredezési jelzőkkel, csomag küldése FIN és SYN-nel is. zászlók beállítása, egy RST-csomag helytelen vezérlési mennyiséggel való helyettesítése vagy a SYN és ACK jelzőkkel történő csomagkapcsolati egyeztetés megkezdése előtti küldés. A leírt módszereket már implementáltuk egy plugin formájában az eszközkészlethez , hogy megkerüljék a cenzúra módszereket.
Forrás: opennet.ru