China
D'Blockéierung gëtt gemaach andeems Dir Pakete vum Client op de Server erofgeet, anstatt d'RST-Paketsubstitutioun, déi virdru vum SNI Inhalt-selektive Blockéierung gemaach gouf. Nodeems d'Blockéierung vun engem Paket mat ESNI ausgeléist gëtt, ginn all Netzwierkpakete, déi der Kombinatioun vu Quell-IP, Destinatiouns-IP an Destinatiounsportnummer entspriechen, och fir 120 bis 180 Sekonnen blockéiert. HTTPS Verbindungen baséiert op eeler Versioune vun TLS an TLS 1.3 ouni ESNI sinn duerch wéi gewinnt erlaabt.
Loosst eis drun erënneren datt fir d'Aarbecht op enger IP Adress vun e puer HTTPS Siten ze organiséieren, gouf d'SNI Extensioun entwéckelt, déi den Hostnumm am Kloertext an der ClientHello Message iwwerdroen ier Dir e verschlësselte Kommunikatiounskanal installéiert. Dës Fonktioun mécht et méiglech op der Säit vum Internet Provider selektiv HTTPS Traffic ze filteren an ze analyséieren wéi eng Säiten de Benotzer opmaacht, wat et net erlaabt eng komplett Vertraulechkeet z'erreechen wann Dir HTTPS benotzt.
Déi nei TLS Extensioun ECH (fréier ESNI), déi a Verbindung mat TLS 1.3 benotzt ka ginn, eliminéiert dëse Mängel an eliminéiert d'Leckage vun Informatioun iwwer de gefrote Site komplett bei der Analyse vun HTTPS Verbindungen. A Kombinatioun mat Zougang duerch en Inhalt Liwwerung Reseau, mécht d'Benotzung vun ECH / ESNI och d'IP Adress vun der ugefrote Ressource vum Provider ze verstoppen. Traffic Inspektiounssystemer gesinn nëmmen Ufroe un d'CDN a kënnen net blockéieren ouni TLS Sessiounspoofing, an deem Fall eng entspriechend Notifikatioun iwwer Zertifikatspoofing am Browser vum Benotzer gewise gëtt. DNS bleift e méigleche Leckkanal, awer de Client kann DNS-over-HTTPS oder DNS-over-TLS benotzen fir den DNS Zougang vum Client ze verstoppen.
Fuerscher hu schonn
Eng aner Léisung ass en net-Standard Verbindungsverhandlungsprozess ze benotzen, zum Beispill, d'Blockéierung funktionnéiert net wann en zousätzleche SYN Paket mat enger falscher Sequenznummer am Viraus geschéckt gëtt, Manipulatioune mat Paketfragmentatiounsfändelen, e Paket mat béide FIN an SYN schécken Fändelen gesat, Ersatz vun engem RST Paket mat enger falscher Kontrollbetrag oder schéckt ier de Paketverbindungsverhandlung mat de SYN an ACK Fändelen ufänkt. Déi beschriwwe Methode si scho a Form vun engem Plugin fir den Toolkit ëmgesat ginn
Source: opennet.ru