Хятад улс TLS 1.3 протокол болон ESNI (Шифрлэгдсэн серверийн нэрийн заалт) TLS өргөтгөлийг ашигладаг бүх HTTPS холболтууд нь хүссэн хостын мэдээллийг шифрлэх боломжийг олгодог. Хятадаас гадаад ертөнц болон гадаад ертөнцөөс Хятад руу холбогдсон холболтын хувьд транзит чиглүүлэгчид хаах ажлыг гүйцэтгэдэг.
Блоклох нь өмнө нь SNI контент-сонгомол хориглолтоор хийгдсэн RST пакет орлуулалтаас илүү үйлчлүүлэгчээс сервер рүү пакетуудыг буулгах замаар хийгддэг. ESNI-ээр пакетыг блоклосны дараа эх сурвалжийн IP, очих газрын IP болон очих портын дугаарын хослолд тохирох бүх сүлжээний пакетууд мөн 120-180 секундын турш хаагдана. ESNI-гүй TLS болон TLS 1.3-ын хуучин хувилбарууд дээр суурилсан HTTPS холболтыг ердийнхөөрөө зөвшөөрдөг.
Хэд хэдэн HTTPS сайтуудын нэг IP хаяг дээр ажиллах ажлыг зохион байгуулахын тулд шифрлэгдсэн холбооны сувгийг суулгахаас өмнө дамжуулсан ClientHello мессеж дэх хост нэрийг тодорхой текстээр дамжуулдаг SNI өргөтгөлийг боловсруулсан гэдгийг санаарай. Энэ функц нь интернетийн үйлчилгээ үзүүлэгчийн талд HTTPS траффикийг сонгон шүүж, хэрэглэгч аль сайтыг нээж байгааг шинжлэх боломжийг олгодог бөгөөд энэ нь HTTPS ашиглах үед бүрэн нууцлалыг хангах боломжийг олгодоггүй.
TLS 1.3-тай хамт ашиглаж болох шинэ TLS өргөтгөл ECH (хуучин нэрээр ESNI) нь энэхүү дутагдлыг арилгаж, HTTPS холболтыг шинжлэх үед хүссэн сайтын талаарх мэдээлэл алдагдлыг бүрэн арилгадаг. Агуулга түгээх сүлжээгээр дамжуулан нэвтрэхтэй хослуулан ECH/ESNI ашиглах нь хүссэн эх сурвалжийн IP хаягийг үйлчилгээ үзүүлэгчээс нуух боломжийг олгодог. Замын хөдөлгөөний хяналтын систем нь зөвхөн CDN-д ирсэн хүсэлтийг харах бөгөөд TLS сессийг хууран мэхлэхгүйгээр блоклох боломжгүй бөгөөд энэ тохиолдолд хэрэглэгчийн хөтөч дээр гэрчилгээг хуурамчаар үйлдэх тухай холбогдох мэдэгдлийг харуулах болно. DNS нь алдагдсан байж болзошгүй суваг хэвээр байгаа боловч үйлчлүүлэгч DNS-over-HTTPS эсвэл DNS-over-TLS ашиглан үйлчлүүлэгчийн DNS хандалтыг нуух боломжтой.
Судлаачид хэдийнэ хийсэн Үйлчлүүлэгч болон серверийн тал дээр хятад блокыг тойрч гарах хэд хэдэн тойм арга байдаг боловч тэдгээр нь хамааралгүй болж болзошгүй тул зөвхөн түр зуурын арга хэмжээ гэж үзэх хэрэгтэй. Жишээлбэл, одоогоор зөвхөн ESNI өргөтгөлийн ID 0xffce (шифрлэгдсэн_серверийн_нэр)-тэй пакетуудыг ашиглаж байна. , гэхдээ одоогоор санал болгож буй одоогийн танигч 0xff02 (шифрлэгдсэн_үйлчлүүлэгч_сайн уу) бүхий пакетууд .
Өөр нэг шийдвэрлэх арга бол стандарт бус холболтын хэлэлцээрийг ашиглах явдал юм, жишээлбэл буруу дарааллын дугаартай нэмэлт SYN багцыг урьдчилан илгээсэн тохиолдолд блоклох нь ажиллахгүй, пакет хуваагдлын тугуудыг ашиглан залруулга хийх, багцыг FIN болон SYN-ээр илгээх зэрэг болно. туг тавих, RST багцыг буруу хяналтын хэмжээгээр орлуулах эсвэл SYN болон ACK тугуудыг ашиглан пакет холболтын хэлэлцээр эхлэхээс өмнө илгээх. Тайлбарласан аргуудыг багаж хэрэгслийн залгаас хэлбэрээр аль хэдийн хэрэгжүүлсэн , цензурын аргуудыг тойрч гарах.
Эх сурвалж: opennet.ru