China kabeh sambungan HTTPS sing nggunakake TLS 1.3 protokol lan ESNI (Encrypted Server Name Indikasi) extension TLS, sing nyedhiyakake enkripsi data babagan host sing dijaluk. Pamblokiran ditindakake ing router transit kanggo sambungan sing diadegake saka China menyang jagad njaba, lan saka jagad njaba menyang China.
Pamblokiran ditindakake kanthi nyelehake paket saka klien menyang server, tinimbang substitusi paket RST sing sadurunge ditindakake dening pamblokiran selektif konten SNI. Sawise mblokir paket nganggo ESNI dipicu, kabeh paket jaringan sing cocog karo kombinasi IP sumber, IP tujuan lan nomer port tujuan uga diblokir sajrone 120 nganti 180 detik. Sambungan HTTPS adhedhasar versi lawas saka TLS lan TLS 1.3 tanpa ESNI diidini kaya biasane.
Elinga yen kanggo ngatur karya ing siji alamat IP saka sawetara situs HTTPS, ekstensi SNI dikembangake, sing ngirim jeneng host ing teks sing jelas ing pesen ClientHello sing dikirim sadurunge nginstal saluran komunikasi sing dienkripsi. Fitur iki ndadekake panyedhiya Internet bisa nyaring lalu lintas HTTPS kanthi selektif lan nganalisa situs sing dibukak pangguna, sing ora ngidini entuk rahasia lengkap nalika nggunakake HTTPS.
Ekstensi TLS anyar ECH (sadurunge ESNI), sing bisa digunakake bebarengan karo TLS 1.3, ngilangi kekurangan iki lan ngilangi kebocoran informasi babagan situs sing dijaluk nalika nganalisa sambungan HTTPS. Ing kombinasi karo akses liwat jaringan pangiriman konten, panggunaan ECH / ESNI uga bisa ndhelikake alamat IP saka sumber sing dijaluk saka panyedhiya. Sistem inspeksi lalu lintas mung bakal ndeleng panjalukan menyang CDN lan ora bakal bisa nglamar pamblokiran tanpa spoofing sesi TLS, ing kasus iki, kabar sing cocog babagan spoofing sertifikat bakal ditampilake ing browser pangguna. DNS tetep dadi saluran bocor, nanging klien bisa nggunakake DNS-over-HTTPS utawa DNS-over-TLS kanggo ndhelikake akses DNS dening klien.
Peneliti wis Ana sawetara solusi kanggo ngliwati blok Cina ing sisih klien lan server, nanging bisa uga ora relevan lan mung kudu dianggep minangka langkah sementara. Contone, saiki mung paket karo ESNI extension ID 0xffce (encrypted_server_name), sing digunakake ing , nanging saiki paket karo pengenal saiki 0xff02 (encrypted_client_hello), diusulake ing .
Solusi liyane yaiku nggunakake proses negosiasi sambungan non-standar, contone, pamblokiran ora bisa digunakake yen paket SYN tambahan kanthi nomer urutan sing salah dikirim luwih dhisik, manipulasi karo panji fragmentasi paket, ngirim paket karo FIN lan SYN. gendΓ©ra nyetel, substitusi saka paket RST karo jumlah kontrol salah utawa ngirim sadurunge rembugan sambungan paket karo SYN lan ACK flag wiwit. Cara sing diterangake wis dileksanakake ing wangun plugin kanggo toolkit , kanggo ngliwati cara censoring.
Source: opennet.ru