Қытай TLS 1.3 протоколын және сұралған хост туралы деректерді шифрлауды қамтамасыз ететін ESNI (шифрланған сервер атауының көрсеткіші) TLS кеңейтімін пайдаланатын барлық HTTPS қосылымдары. Бұғаттау транзиттік маршрутизаторларда Қытайдан сыртқы әлемге және сыртқы әлемнен Қытайға орнатылған қосылымдар үшін де жүзеге асырылады.
Бұғаттау бұрын SNI мазмұны бойынша таңдаулы бұғаттау арқылы орындалған RST пакеттерін алмастыру орнына клиенттен серверге пакеттерді тастау арқылы жүзеге асырылады. ESNI арқылы пакетті блоктау іске қосылғаннан кейін бастапқы IP, тағайындалған IP және тағайындалған порт нөмірі комбинациясына сәйкес келетін барлық желі пакеттері де 120-180 секундқа блокталады. ESNI жоқ TLS және TLS 1.3 ескі нұсқаларына негізделген HTTPS қосылымдарына әдеттегідей рұқсат етіледі.
Еске салайық, бірнеше HTTPS сайттарының бір IP мекенжайында жұмысты ұйымдастыру үшін шифрланған байланыс арнасын орнатпас бұрын жіберілген ClientHello хабарламасында хост атауын анық мәтінмен жіберетін SNI кеңейтімі әзірленді. Бұл мүмкіндік Интернет провайдеріне HTTPS трафигін таңдап сүзуге және пайдаланушы қай сайттарды ашатынын талдауға мүмкіндік береді, бұл HTTPS пайдалану кезінде толық құпиялылыққа қол жеткізуге мүмкіндік бермейді.
TLS 1.3-пен бірге пайдалануға болатын жаңа TLS кеңейтімі ECH (бұрынғы ESNI) бұл кемшілікті жояды және HTTPS қосылымдарын талдау кезінде сұралған сайт туралы ақпараттың ағып кетуін толығымен жояды. Мазмұнды жеткізу желісі арқылы қол жеткізумен бірге ECH/ESNI пайдалану сонымен қатар сұралған ресурстың IP мекенжайын провайдерден жасыруға мүмкіндік береді. Қозғалысты тексеру жүйелері тек CDN сұрауларын көреді және TLS сеансының спуфингінсіз бұғаттауды қолдана алмайды, бұл жағдайда пайдаланушы браузерінде сертификаттың жалғандығы туралы тиісті хабарлама көрсетіледі. DNS ықтимал ағып кету арнасы болып қала береді, бірақ клиент клиенттің DNS қатынасын жасыру үшін DNS-over-HTTPS немесе DNS-over-TLS пайдалана алады.
Зерттеушілер қазірдің өзінде Клиент пен сервер жағында қытай блогын айналып өту үшін бірнеше уақытша шешімдер бар, бірақ олар маңызды емес болып қалуы мүмкін және тек уақытша шара ретінде қарастырылуы керек. Мысалы, қазіргі уақытта тек ESNI кеңейтімінің идентификаторы 0xffce (шифрланған_сервер_аты) бар пакеттер. , бірақ қазіргі уақытта 0xff02 (encrypted_client_hello) ағымдағы идентификаторы бар пакеттер .
Басқа уақытша шешім стандартты емес қосылым келіссөздер процесін пайдалану болып табылады, мысалы, қате реттік нөмірі бар қосымша SYN пакеті алдын ала жіберілсе, блоктау жұмыс істемейді, пакетті фрагментациялау жалаушалары бар манипуляциялар, FIN және SYN екеуі де пакетті жіберу. жалаушаларды орнату, қате бақылау сомасымен RST пакетін ауыстыру немесе SYN және ACK жалаушаларымен пакеттік қосылым туралы келіссөздер басталғанға дейін жіберу. Сипатталған әдістер құралдар жинағы үшін плагин түрінде қазірдің өзінде енгізілген , цензура әдістерін айналып өту.
Ақпарат көзі: opennet.ru