Хятад улс
Блоклох нь өмнө нь SNI контент-сонгомол хориглолтоор хийгдсэн RST пакет орлуулалтаас илүү үйлчлүүлэгчээс сервер рүү пакетуудыг буулгах замаар хийгддэг. ESNI-ээр пакетыг блоклосны дараа эх сурвалжийн IP, очих газрын IP болон очих портын дугаарын хослолд тохирох бүх сүлжээний пакетууд мөн 120-180 секундын турш хаагдана. ESNI-гүй TLS болон TLS 1.3-ын хуучин хувилбарууд дээр суурилсан HTTPS холболтыг ердийнхөөрөө зөвшөөрдөг.
Хэд хэдэн HTTPS сайтуудын нэг IP хаяг дээр ажиллах ажлыг зохион байгуулахын тулд шифрлэгдсэн холбооны сувгийг суулгахаас өмнө дамжуулсан ClientHello мессеж дэх хост нэрийг тодорхой текстээр дамжуулдаг SNI өргөтгөлийг боловсруулсан гэдгийг санаарай. Энэ функц нь интернетийн үйлчилгээ үзүүлэгчийн талд HTTPS траффикийг сонгон шүүж, хэрэглэгч аль сайтыг нээж байгааг шинжлэх боломжийг олгодог бөгөөд энэ нь HTTPS ашиглах үед бүрэн нууцлалыг хангах боломжийг олгодоггүй.
TLS 1.3-тай хамт ашиглаж болох шинэ TLS өргөтгөл ECH (хуучин нэрээр ESNI) нь энэхүү дутагдлыг арилгаж, HTTPS холболтыг шинжлэх үед хүссэн сайтын талаарх мэдээлэл алдагдлыг бүрэн арилгадаг. Агуулга түгээх сүлжээгээр дамжуулан нэвтрэхтэй хослуулан ECH/ESNI ашиглах нь хүссэн эх сурвалжийн IP хаягийг үйлчилгээ үзүүлэгчээс нуух боломжийг олгодог. Замын хөдөлгөөний хяналтын систем нь зөвхөн CDN-д ирсэн хүсэлтийг харах бөгөөд TLS сессийг хууран мэхлэхгүйгээр блоклох боломжгүй бөгөөд энэ тохиолдолд хэрэглэгчийн хөтөч дээр гэрчилгээг хуурамчаар үйлдэх тухай холбогдох мэдэгдлийг харуулах болно. DNS нь алдагдсан байж болзошгүй суваг хэвээр байгаа боловч үйлчлүүлэгч DNS-over-HTTPS эсвэл DNS-over-TLS ашиглан үйлчлүүлэгчийн DNS хандалтыг нуух боломжтой.
Судлаачид хэдийнэ хийсэн
Өөр нэг шийдвэрлэх арга бол стандарт бус холболтын хэлэлцээрийг ашиглах явдал юм, жишээлбэл буруу дарааллын дугаартай нэмэлт SYN багцыг урьдчилан илгээсэн тохиолдолд блоклох нь ажиллахгүй, пакет хуваагдлын тугуудыг ашиглан залруулга хийх, багцыг FIN болон SYN-ээр илгээх зэрэг болно. туг тавих, RST багцыг буруу хяналтын хэмжээгээр орлуулах эсвэл SYN болон ACK тугуудыг ашиглан пакет холболтын хэлэлцээр эхлэхээс өмнө илгээх. Тайлбарласан аргуудыг багаж хэрэгслийн залгаас хэлбэрээр аль хэдийн хэрэгжүүлсэн
Эх сурвалж: opennet.ru