China all HTTPS Verbindungen déi den TLS 1.3 Protokoll benotzen an d'ESNI (Encrypted Server Name Indication) TLS Extensioun, déi d'Verschlësselung vun Daten iwwer den ugefrote Host ubitt. D'Blockéierung gëtt op Transitrouter duerchgefouert souwuel fir Verbindunge vu China op d'Äussewelt etabléiert, wéi och vun der Äussewelt op China.
D'Blockéierung gëtt gemaach andeems Dir Pakete vum Client op de Server erofgeet, anstatt d'RST-Paketsubstitutioun, déi virdru vum SNI Inhalt-selektive Blockéierung gemaach gouf. Nodeems d'Blockéierung vun engem Paket mat ESNI ausgeléist gëtt, ginn all Netzwierkpakete, déi der Kombinatioun vu Quell-IP, Destinatiouns-IP an Destinatiounsportnummer entspriechen, och fir 120 bis 180 Sekonnen blockéiert. HTTPS Verbindungen baséiert op eeler Versioune vun TLS an TLS 1.3 ouni ESNI sinn duerch wéi gewinnt erlaabt.
Loosst eis drun erënneren datt fir d'Aarbecht op enger IP Adress vun e puer HTTPS Siten ze organiséieren, gouf d'SNI Extensioun entwéckelt, déi den Hostnumm am Kloertext an der ClientHello Message iwwerdroen ier Dir e verschlësselte Kommunikatiounskanal installéiert. Dës Fonktioun mécht et méiglech op der Säit vum Internet Provider selektiv HTTPS Traffic ze filteren an ze analyséieren wéi eng Säiten de Benotzer opmaacht, wat et net erlaabt eng komplett Vertraulechkeet z'erreechen wann Dir HTTPS benotzt.
Déi nei TLS Extensioun ECH (fréier ESNI), déi a Verbindung mat TLS 1.3 benotzt ka ginn, eliminéiert dëse Mängel an eliminéiert d'Leckage vun Informatioun iwwer de gefrote Site komplett bei der Analyse vun HTTPS Verbindungen. A Kombinatioun mat Zougang duerch en Inhalt Liwwerung Reseau, mécht d'Benotzung vun ECH / ESNI och d'IP Adress vun der ugefrote Ressource vum Provider ze verstoppen. Traffic Inspektiounssystemer gesinn nëmmen Ufroe un d'CDN a kënnen net blockéieren ouni TLS Sessiounspoofing, an deem Fall eng entspriechend Notifikatioun iwwer Zertifikatspoofing am Browser vum Benotzer gewise gëtt. DNS bleift e méigleche Leckkanal, awer de Client kann DNS-over-HTTPS oder DNS-over-TLS benotzen fir den DNS Zougang vum Client ze verstoppen.
Fuerscher hu schonn Et gi verschidde Léisunge fir de chinesesche Block op der Client- a Serversäit ze ëmgoen, awer si kënnen irrelevant ginn a sollten nëmmen als temporär Moossname ugesi ginn. Zum Beispill, momentan nëmme Pakete mat der ESNI Extensioun ID 0xffce (encrypted_server_name), déi benotzt gouf , awer fir de Moment Pakete mam aktuellen Identifizéierer 0xff02 (encrypted_client_hello), proposéiert an .
Eng aner Léisung ass en net-Standard Verbindungsverhandlungsprozess ze benotzen, zum Beispill, d'Blockéierung funktionnéiert net wann en zousätzleche SYN Paket mat enger falscher Sequenznummer am Viraus geschéckt gëtt, Manipulatioune mat Paketfragmentatiounsfändelen, e Paket mat béide FIN an SYN schécken Fändelen gesat, Ersatz vun engem RST Paket mat enger falscher Kontrollbetrag oder schéckt ier de Paketverbindungsverhandlung mat de SYN an ACK Fändelen ufänkt. Déi beschriwwe Methode si scho a Form vun engem Plugin fir den Toolkit ëmgesat ginn , Zensurmethoden ëmzegoen.
Source: opennet.ru