ಚೀನಾ
SNI ವಿಷಯ-ಆಯ್ದ ನಿರ್ಬಂಧಿಸುವಿಕೆಯಿಂದ ಹಿಂದೆ ನಿರ್ವಹಿಸಲಾದ RST ಪ್ಯಾಕೆಟ್ ಪರ್ಯಾಯದ ಬದಲಿಗೆ ಕ್ಲೈಂಟ್ನಿಂದ ಸರ್ವರ್ಗೆ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಬಿಡುವ ಮೂಲಕ ನಿರ್ಬಂಧಿಸುವಿಕೆಯನ್ನು ಮಾಡಲಾಗುತ್ತದೆ. ESNI ನೊಂದಿಗೆ ಪ್ಯಾಕೆಟ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸಿದ ನಂತರ, 120 ರಿಂದ 180 ಸೆಕೆಂಡುಗಳವರೆಗೆ ಮೂಲ IP, ಗಮ್ಯಸ್ಥಾನ IP ಮತ್ತು ಗಮ್ಯಸ್ಥಾನ ಪೋರ್ಟ್ ಸಂಖ್ಯೆಯ ಸಂಯೋಜನೆಗೆ ಅನುಗುಣವಾದ ಎಲ್ಲಾ ನೆಟ್ವರ್ಕ್ ಪ್ಯಾಕೆಟ್ಗಳನ್ನು ಸಹ ನಿರ್ಬಂಧಿಸಲಾಗುತ್ತದೆ. ESNI ಇಲ್ಲದೆ TLS ಮತ್ತು TLS 1.3 ನ ಹಳೆಯ ಆವೃತ್ತಿಗಳನ್ನು ಆಧರಿಸಿದ HTTPS ಸಂಪರ್ಕಗಳನ್ನು ಎಂದಿನಂತೆ ಅನುಮತಿಸಲಾಗಿದೆ.
ಹಲವಾರು HTTPS ಸೈಟ್ಗಳ ಒಂದು IP ವಿಳಾಸದಲ್ಲಿ ಕೆಲಸವನ್ನು ಸಂಘಟಿಸಲು, SNI ವಿಸ್ತರಣೆಯನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ, ಇದು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಸಂವಹನ ಚಾನಲ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವ ಮೊದಲು ರವಾನಿಸಲಾದ ಕ್ಲೈಂಟ್ಹೆಲೋ ಸಂದೇಶದಲ್ಲಿ ಹೋಸ್ಟ್ ಹೆಸರನ್ನು ಸ್ಪಷ್ಟ ಪಠ್ಯದಲ್ಲಿ ರವಾನಿಸುತ್ತದೆ ಎಂದು ನಾವು ನೆನಪಿಸಿಕೊಳ್ಳೋಣ. ಈ ವೈಶಿಷ್ಟ್ಯವು ಇಂಟರ್ನೆಟ್ ಪೂರೈಕೆದಾರರ ಕಡೆಯಿಂದ HTTPS ಟ್ರಾಫಿಕ್ ಅನ್ನು ಆಯ್ದವಾಗಿ ಫಿಲ್ಟರ್ ಮಾಡಲು ಮತ್ತು ಬಳಕೆದಾರರು ಯಾವ ಸೈಟ್ಗಳನ್ನು ತೆರೆಯುತ್ತಾರೆ ಎಂಬುದನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ, ಇದು HTTPS ಬಳಸುವಾಗ ಸಂಪೂರ್ಣ ಗೌಪ್ಯತೆಯನ್ನು ಸಾಧಿಸಲು ಅನುಮತಿಸುವುದಿಲ್ಲ.
TLS 1.3 ಜೊತೆಯಲ್ಲಿ ಬಳಸಬಹುದಾದ ಹೊಸ TLS ವಿಸ್ತರಣೆ ECH (ಹಿಂದೆ ESNI), ಈ ನ್ಯೂನತೆಯನ್ನು ನಿವಾರಿಸುತ್ತದೆ ಮತ್ತು HTTPS ಸಂಪರ್ಕಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವಾಗ ವಿನಂತಿಸಿದ ಸೈಟ್ನ ಮಾಹಿತಿಯ ಸೋರಿಕೆಯನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ನಿವಾರಿಸುತ್ತದೆ. ವಿಷಯ ವಿತರಣಾ ನೆಟ್ವರ್ಕ್ ಮೂಲಕ ಪ್ರವೇಶದೊಂದಿಗೆ, ECH/ESNI ಬಳಕೆಯು ವಿನಂತಿಸಿದ ಸಂಪನ್ಮೂಲದ IP ವಿಳಾಸವನ್ನು ಒದಗಿಸುವವರಿಂದ ಮರೆಮಾಡಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ. ಟ್ರಾಫಿಕ್ ತಪಾಸಣೆ ವ್ಯವಸ್ಥೆಗಳು CDN ಗೆ ವಿನಂತಿಗಳನ್ನು ಮಾತ್ರ ನೋಡುತ್ತವೆ ಮತ್ತು TLS ಸೆಷನ್ ವಂಚನೆ ಇಲ್ಲದೆ ನಿರ್ಬಂಧಿಸುವಿಕೆಯನ್ನು ಅನ್ವಯಿಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ, ಈ ಸಂದರ್ಭದಲ್ಲಿ ಪ್ರಮಾಣಪತ್ರ ವಂಚನೆಯ ಬಗ್ಗೆ ಅನುಗುಣವಾದ ಅಧಿಸೂಚನೆಯನ್ನು ಬಳಕೆದಾರರ ಬ್ರೌಸರ್ನಲ್ಲಿ ತೋರಿಸಲಾಗುತ್ತದೆ. DNS ಸಂಭವನೀಯ ಸೋರಿಕೆ ಚಾನಲ್ ಆಗಿ ಉಳಿದಿದೆ, ಆದರೆ ಕ್ಲೈಂಟ್ನಿಂದ DNS ಪ್ರವೇಶವನ್ನು ಮರೆಮಾಡಲು ಕ್ಲೈಂಟ್ DNS-over-HTTPS ಅಥವಾ DNS-over-TLS ಅನ್ನು ಬಳಸಬಹುದು.
ಸಂಶೋಧಕರು ಈಗಾಗಲೇ ಮಾಡಿದ್ದಾರೆ
ಮತ್ತೊಂದು ಪರಿಹಾರವೆಂದರೆ ಪ್ರಮಾಣಿತವಲ್ಲದ ಸಂಪರ್ಕ ಸಮಾಲೋಚನಾ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಬಳಸುವುದು, ಉದಾಹರಣೆಗೆ, ತಪ್ಪಾದ ಅನುಕ್ರಮ ಸಂಖ್ಯೆಯೊಂದಿಗೆ ಹೆಚ್ಚುವರಿ SYN ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಮುಂಚಿತವಾಗಿ ಕಳುಹಿಸಿದರೆ ನಿರ್ಬಂಧಿಸುವುದು ಕಾರ್ಯನಿರ್ವಹಿಸುವುದಿಲ್ಲ, ಪ್ಯಾಕೆಟ್ ವಿಘಟನೆಯ ಫ್ಲ್ಯಾಗ್ಗಳೊಂದಿಗೆ ಮ್ಯಾನಿಪ್ಯುಲೇಷನ್ಗಳು, FIN ಮತ್ತು SYN ಎರಡರಲ್ಲೂ ಪ್ಯಾಕೆಟ್ ಕಳುಹಿಸುವುದು ಫ್ಲ್ಯಾಗ್ಗಳನ್ನು ಹೊಂದಿಸಲಾಗಿದೆ, ತಪ್ಪಾದ ನಿಯಂತ್ರಣ ಮೊತ್ತದೊಂದಿಗೆ RST ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಬದಲಿಸುವುದು ಅಥವಾ SYN ಮತ್ತು ACK ಫ್ಲ್ಯಾಗ್ಗಳೊಂದಿಗೆ ಪ್ಯಾಕೆಟ್ ಸಂಪರ್ಕದ ಮಾತುಕತೆ ಪ್ರಾರಂಭವಾಗುವ ಮೊದಲು ಕಳುಹಿಸುವುದು. ವಿವರಿಸಿದ ವಿಧಾನಗಳನ್ನು ಈಗಾಗಲೇ ಟೂಲ್ಕಿಟ್ಗಾಗಿ ಪ್ಲಗಿನ್ ರೂಪದಲ್ಲಿ ಅಳವಡಿಸಲಾಗಿದೆ
ಮೂಲ: opennet.ru