Çînê hemî girêdanên HTTPS yên ku protokola TLS 1.3 û pêveka ESNI (Nîşana Navê Pêşkêşkara Şîfrekirî) TLS bikar tînin, ku şîfrekirina daneyên derheqê mêvandarê daxwazkirî peyda dike. Astengkirin hem ji bo girêdanên ku ji Chinaînê ber bi cîhana derve ve hatine damezrandin, hem jî ji cîhana derve ber bi Chinaînê ve li ser rêwerên transît têne kirin.
Astengkirin bi daxistina pakêtan ji xerîdar ber bi serverê ve, ji şûna veguheztina pakêta RST ya ku berê ji hêla astengkirina naverok-hilbijartî ya SNI ve hatî çêkirin, pêk tê. Piştî ku pakêtek bi ESNI-ê re asteng kirin, hemî pakêtên torê yên ku bi berhevoka IP-ya çavkaniyê, IP-ya armanc û jimareya porta meqsedê re têkildar in jî ji 120 heta 180 çirkeyan têne asteng kirin. Girêdanên HTTPS-ê yên ku li ser guhertoyên kevntir ên TLS û TLS 1.3 bêyî ESNI têne destûr kirin wekî her carê têne destûr kirin.
Ka em bînin bîra xwe ku ji bo organîzekirina xebatê li ser yek navnîşana IP-ya çend malperên HTTPS, pêveka SNI hate pêşve xistin, ku navê mêvandar bi nivîsek zelal di peyama ClientHello de ku berî sazkirina kanalek ragihandinê ya şîfrekirî veguhezîne, vediguhezîne. Vê taybetmendiyê ji hêla pêşkêşkerê Înternetê ve gengaz dike ku bi bijartî seyrûsefera HTTPS-ê fîlter bike û analîz bike ka kîjan malperan bikarhêner vedike, ku destûrê nade ku bigihîje nepenîtiya bêkêmasî dema ku HTTPS bikar tîne.
Berfirehkirina TLS-a nû ECH (berê ESNI), ku dikare bi TLS 1.3 re were bikar anîn, vê kêmasiyê ji holê radike û dema ku girêdanên HTTPS-ê analîz dike bi tevahî vekêşana agahdariya li ser malpera daxwazkirî ji holê radike. Digel gihîştina bi torgilokek radestkirina naverokê, karanîna ECH/ESNI di heman demê de gengaz dike ku navnîşana IP-ya çavkaniya daxwazkirî ji pêşkêşker veşêre. Pergalên çavdêriya trafîkê dê tenê daxwazên CDN-ê bibînin û dê nikaribin astengkirinê bêyî xapandina danişîna TLS-ê bicîh bikin, di vê rewşê de dê di geroka bikarhêner de agahdariyek têkildar di derbarê xapandina sertîfîkayê de were xuyang kirin. DNS kanalek leaksiyonê ya gengaz dimîne, lê xerîdar dikare DNS-ser-HTTPS an DNS-ser-TLS bikar bîne da ku gihîştina DNS-ê ji hêla xerîdar veşêre.
Lêkolîner berê Gelek rêgir hene ku meriv bloka Chineseînî li milê xerîdar û serverê derbas bike, lê dibe ku ew ne girîng bibin û divê tenê wekî pîvanek demkî bêne hesibandin. Mînakî, niha tenê pakêtên bi ID-ya dirêjkirina ESNI 0xffce (navê_server_encrypted), ku di , lê ji bo niha pakêtên bi nasnavê heyî 0xff02 (encrypted_client_hello), di .
Rêbazek din ev e ku meriv pêvajoyek danûstendina pêwendiya ne-standard bikar bîne, mînakî, heke pakêtek SYN-ya zêde ya bi jimareyek rêzek xelet pêş de were şandin, manîpulasyonên bi alayên parçekirina pakêtê, şandina pakêtek bi FIN û SYN-ê re, astengkirin kar nake. danîna alayan, cîgirkirina pakêtek RST bi mîqdarek kontrolê ya nerast an şandina berî ku danûstandina pêwendiya pakêtê bi alayên SYN û ACK re dest pê bike. Rêbazên diyarkirî berê di forma pêvekek ji bo amûrê de hatine bicîh kirin , ji bo rêbazên sansorkirinê derbas bikin.
Source: opennet.ru