TLS 1.3 ကိုအခြေခံ၍ ဒိုမိန်းမျက်နှာစာ

နိဒါန်း

Cisco၊ BlueCoat၊ FireEye ကဲ့သို့သော ကျော်ကြားသော ထုတ်လုပ်သူများထံမှ ခေတ်မီကော်ပိုရိတ်အကြောင်းအရာ စစ်ထုတ်ခြင်းစနစ်များသည် နိုင်ငံတော်အဆင့်တွင် တက်ကြွစွာ အကောင်အထည်ဖော်လျက်ရှိသည့် ၎င်းတို့၏ ပိုမိုအားကောင်းသော မိတ်ဖက်များ - DPI စနစ်များနှင့် များစွာတူညီပါသည်။ နှစ်ခုလုံး၏အလုပ်၏ အနှစ်သာရမှာ အဝင်အထွက်အင်တာနက်အသွားအလာများကို စစ်ဆေးရန်နှင့် အဖြူ/အမည်းစာရင်းများကို အခြေခံ၍ အင်တာနက်ချိတ်ဆက်မှုကို ပိတ်ပင်ရန် ဆုံးဖြတ်ချက်ချရန်ဖြစ်သည်။ ၎င်းတို့နှစ်ဦးစလုံးသည် ၎င်းတို့၏အလုပ်၏အခြေခံများတွင် အလားတူမူများကို အားကိုးသောကြောင့်၊ ၎င်းတို့ကိုကျော်လွှားရန်နည်းလမ်းများသည် တူညီမှုများလည်းရှိမည်ဖြစ်သည်။

DPI နှင့် ကော်ပိုရိတ်စနစ် နှစ်ခုလုံးကို ထိထိရောက်ရောက် ကျော်ဖြတ်နိုင်စေမည့် နည်းပညာများထဲမှ တစ်ခုမှာ domain-fronting နည်းပညာဖြစ်သည်။ ၎င်း၏အနှစ်သာရမှာ ကျွန်ုပ်တို့သည် ပိတ်ဆို့ထားသော အရင်းအမြစ်တစ်ခုသို့ သွား၍ နာမည်ကောင်းရှိသော အခြားအများပြည်သူပိုင်ဒိုမိန်းနောက်ကွယ်တွင် ပုန်းအောင်းနေခြင်းဖြစ်သည်၊ ဥပမာ၊ မည်သည့်စနစ်ကမှ ပိတ်ဆို့ထားမည်မဟုတ်ကြောင်း သိသာထင်ရှားသော google.com။

ဒီနည်းပညာအကြောင်း ဆောင်းပါးတွေ အများကြီးရေးပြီးပြီ၊ ဥပမာတွေ အများကြီးပေးခဲ့ပြီးပြီ။ သို့သော်၊ လူကြိုက်များပြီး မကြာသေးမီက ဆွေးနွေးထားသော DNS-over-HTTPS နှင့် ကုဒ်ရေးထားသော-SNI နည်းပညာများအပြင် TLS 1.3 ပရိုတိုကော၏ ဗားရှင်းအသစ်သည် domain fronting အတွက် အခြားရွေးချယ်စရာများကို စဉ်းစားနိုင်စေပါသည်။

နည်းပညာကိုနားလည်ခြင်း။

ဦးစွာ၊ ဤအရာအားလုံးကို မည်သူမည်ဝါဖြစ်သည်ကို လူတိုင်းနားလည်သဘောပေါက်နိုင်ရန် အခြေခံသဘောတရားအနည်းငယ်ကို သတ်မှတ်ကြပါစို့။ ဆက်လက်ဆွေးနွေးမည့် လုပ်ငန်းဆောင်ရွက်မှု eSNI ယန္တရားအား ကျွန်ုပ်တို့ဖော်ပြထားပါသည်။ eSNI (ကုဒ်ဝှက်ထားသော ဆာဗာအမည် ညွှန်ပြချက်) ယန္တရားသည် TLS 1.3 ပရိုတိုကောအတွက်သာ ရရှိနိုင်သော SNI ၏ လုံခြုံသောဗားရှင်းဖြစ်သည်။ အဓိက အိုင်ဒီယာမှာ တောင်းဆိုချက် ပေးပို့သည့် ဒိုမိန်းနှင့် ပတ်သက်သည့် အခြားအရာများ အပါအဝင် အချက်အလက်များ ကို စာဝှက်ရန် ဖြစ်သည်။

ယခု eSNI ယန္တရားသည် လက်တွေ့တွင် မည်သို့အလုပ်လုပ်သည်ကို ကြည့်ကြပါစို့။

ခေတ်မီ DPI ဖြေရှင်းချက်ဖြင့် ပိတ်ဆို့ထားသော အင်တာနက် အရင်းအမြစ်တစ်ခုရှိသည် (ဥပမာ၊ နာမည်ကြီး torrent tracker rutracker.nl) ကို ကြည့်ကြပါစို့။ torrent tracker ၏ဝဘ်ဆိုက်ကို ဝင်ရောက်ရန် ကြိုးစားသောအခါ၊ အရင်းအမြစ်ကို ပိတ်ဆို့ထားကြောင်း ဖော်ပြသည့် ပံ့ပိုးပေးသူ၏ စံနမူနာကို ကျွန်ုပ်တို့ တွေ့ရသည်-

RKN ဝဘ်ဆိုက်တွင် ဤဒိုမိန်းကို အမှန်တကယ် ရပ်တန့်စာရင်းများတွင် ဖော်ပြထားပါသည်။

whois ကို သင်မေးမြန်းသောအခါ၊ domain ကိုယ်တိုင်က cloud ပံ့ပိုးပေးသူ Cloudflare နောက်ကွယ်တွင် "ဝှက်ထားသည်" ကို တွေ့နိုင်သည်။

သို့သော် RKN မှ "ကျွမ်းကျင်ပညာရှင်များ" နှင့်မတူဘဲ၊ Beeline မှ နည်းပညာပိုင်းကျွမ်းကျင်သော ၀န်ထမ်းများသည် (သို့မဟုတ် ကျွန်ုပ်တို့၏ကျော်ကြားသော စည်းကမ်းထိန်းသိမ်းရေး၏ ခါးသီးသောအတွေ့အကြုံဖြင့် သင်ကြားပေးသည်) သည် ဆိုက်ကို IP လိပ်စာဖြင့် မိုက်မဲစွာတားမြစ်ခြင်းမပြုဘဲ ဒိုမိန်းအမည်ကို ရပ်တန့်စာရင်းတွင် ထည့်သွင်းခဲ့သည်။ တူညီသော IP လိပ်စာ၏နောက်ကွယ်တွင် ဝှက်ထားသော အခြားဒိုမိန်းများကို ကြည့်ရှုပါက ၎င်းတို့အနက်မှ တစ်ခုကို ဝင်ရောက်ကြည့်ရှုပြီး ဝင်ရောက်ခွင့်ကို ပိတ်ပင်ထားခြင်းမရှိကြောင်းကို အလွယ်တကူ အတည်ပြုနိုင်သည်-

ဒါက ဘယ်လိုဖြစ်တာလဲ။ ဆက်သွယ်ရေးအားလုံး https protocol မှတဆင့်ဖြစ်ပေါ်ပြီး Beeline မှ https လက်မှတ်များကို အစားထိုးခြင်းအား ကျွန်ုပ်တို့ သတိမပြုမိသေးသောကြောင့် ဝန်ဆောင်မှုပေးသူ၏ DPI သည် ကျွန်ုပ်၏ဘရောက်ဆာတွင် မည်သည့်ဒိုမိန်းကိုဖွင့်ထားကြောင်း မည်သို့သိရှိနိုင်သနည်း။ သူသည် အမြင်အာရုံရှိသူလား၊ ဒါမှမဟုတ် ငါနောက်လိုက်နေတာလား။

wireshark မှတဆင့်အသွားအလာကိုကြည့်ရှုခြင်းဖြင့်ဤမေးခွန်းကိုဖြေဆိုကြပါစို့

ပထမဦးစွာ ဘရောက်ဆာသည် DNS မှတစ်ဆင့် ဆာဗာ၏ IP လိပ်စာကို ရယူခဲ့ကြောင်း၊ ထို့နောက် ပုံမှန် TCP လက်ဆွဲနှုတ်ဆက်မှုသည် ဦးတည်ရာဆာဗာနှင့် ဖြစ်ပေါ်ပြီးနောက် ဘရောက်ဆာသည် ဆာဗာနှင့် SSL ချိတ်ဆက်မှုတစ်ခုကို ထူထောင်ရန် ကြိုးစားနေကြောင်း ဖန်သားပြင်တွင် ပြသထားသည်။ ၎င်းကိုလုပ်ဆောင်ရန်၊ ၎င်းသည် ရှင်းလင်းသောစာသားဖြင့်အရင်းအမြစ်ဒိုမိန်းအမည်ပါရှိသော SSL Client Hello ပက်ကတ်ကို ပေးပို့သည်။ ချိတ်ဆက်မှုကို မှန်ကန်စွာ လမ်းကြောင်းပေးနိုင်ရန် ဤအကွက်ကို cloudflare ရှေ့တန်းဆာဗာမှ လိုအပ်ပါသည်။ ဤနေရာတွင် ဝန်ဆောင်မှုပေးသူ DPI က ကျွန်ုပ်တို့ကို ဖမ်းယူလိုက်ပြီး ကျွန်ုပ်တို့၏ချိတ်ဆက်မှုကို ဖြတ်တောက်လိုက်သည်။ တစ်ချိန်တည်းမှာပင်၊ ကျွန်ုပ်တို့သည် ပံ့ပိုးပေးသူထံမှ မည်သည့်ပုဒ်မကိုမျှ လက်ခံရရှိခြင်းမရှိသည့်အပြင် ဆိုက်အား ပိတ်ထားသည် သို့မဟုတ် ရိုးရှင်းစွာ အလုပ်မလုပ်သကဲ့သို့ စံဘရောက်ဆာအမှားကို ကျွန်ုပ်တို့တွေ့မြင်နေရသည်-

ယခု လမ်းညွှန်ချက်များတွင် ရေးထားသည့်အတိုင်း ဘရောက်ဆာတွင် eSNI ယန္တရားကို ဖွင့်ကြည့်ရအောင် Firefox ကို :
ဒါကိုလုပ်ဖို့ Firefox configuration page ကိုဖွင့်ပါ။ about: config ကို ပြီးလျှင် အောက်ပါဆက်တင်များကို အသက်သွင်းပါ။

network.trr.mode = 2;
network.trr.uri = https://mozilla.cloudflare-dns.com/dns-query
network.security.esni.enabled = true

၎င်းပြီးနောက်၊ cloudflare ဝဘ်ဆိုက်တွင် ဆက်တင်များ မှန်ကန်ကြောင်း စစ်ဆေးပါမည်။ link ကို ကျွန်ုပ်တို့၏ torrent tracker ဖြင့် လှည့်ကွက်ကို ထပ်စမ်းကြည့်ရအောင်။

ကဲ ဒါဆိုရင်တော့။ ကျွန်ုပ်တို့၏အကြိုက်ဆုံး ခြေရာခံကိရိယာကို VPN သို့မဟုတ် ပရောက်စီဆာဗာများမပါဘဲ ဖွင့်ထားသည်။ အခုဖြစ်ပျက်ခဲ့တာကိုကြည့်ဖို့ wireshark မှာရှိတဲ့ traffic dump ကိုကြည့်လိုက်ရအောင်။

ယခုတစ်ကြိမ်၊ ssl client hello ပက်ကေ့ဂျ်တွင် ဦးတည်ရာဒိုမိန်း မပါဝင်သော်လည်း၊ ၎င်းအစား အကွက်အသစ်တစ်ခုပေါ်လာသည် - encrypted_server_name - ဤသည်မှာ rutracker.nl ၏တန်ဖိုးပါရှိရာ၊ cloudflare ရှေ့တန်းဆာဗာမှသာလျှင် ၎င်းကို စာဝှက်နိုင်သည် လယ်ကွင်း။ သို့ဆိုလျှင်၊ ဝန်ဆောင်မှုပေးသူ DPI သည် ၎င်း၏လက်များကို ဆေးကြောရန်နှင့် ထိုသို့သောလမ်းကြောင်းများကို ခွင့်ပြုရန်မှလွဲ၍ ရွေးချယ်စရာမရှိတော့ပါ။ စာဝှက်စနစ်ဖြင့် အခြားရွေးချယ်စရာများ မရှိပါ။

ဒါကြောင့် ဘရောက်ဆာမှာ နည်းပညာ ဘယ်လိုအလုပ်လုပ်သလဲဆိုတာကို ကြည့်ပါ။ ယခု ၎င်းကို ပိုမိုတိကျပြီး စိတ်ဝင်စားစရာကောင်းသော အရာများတွင် အသုံးချရန် ကြိုးစားကြပါစို့။ ပထမဦးစွာ၊ ကျွန်ုပ်တို့သည် TLS 1.3 နှင့်အလုပ်လုပ်ရန် eSNI ကိုအသုံးပြုရန်တူညီသော curl ကိုသင်ပေးမည်ဖြစ်ပြီး တစ်ချိန်တည်းတွင် eSNI-based domain fronting ကိုယ်တိုင်မည်သို့အလုပ်လုပ်သည်ကိုတွေ့ရပါမည်။

eSNI ဖြင့် ဒိုမိန်းကို မျက်နှာမူထားသည်။

curl သည် https protocol မှတဆင့်ချိတ်ဆက်ရန် standard openssl စာကြည့်တိုက်ကိုအသုံးပြုသောကြောင့်၊ ပထမဆုံးအနေဖြင့် ကျွန်ုပ်တို့သည် ထိုနေရာတွင် eSNI ပံ့ပိုးမှုပေးရန်လိုအပ်ပါသည်။ openssl မာစတာအကိုင်းအခက်များတွင် eSNI ပံ့ပိုးမှုမရှိသေးသောကြောင့် အထူး openssl ဌာနခွဲကို ဒေါင်းလုဒ်လုပ်ကာ စုစည်းပြီး ထည့်သွင်းရန် လိုအပ်ပါသည်။

ကျွန်ုပ်တို့သည် GitHub မှ repository ကိုပွားပြီး ပုံမှန်အတိုင်း compile လုပ်ပါ။

$ git clone https://github.com/sftcd/openssl
$ cd openssl
$ ./config

$ make
$ cd esnistuff
$ make

ထို့နောက်၊ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏စုစည်းထားသော openssl စာကြည့်တိုက်ကို အသုံးပြု၍ သိုလှောင်ရာကို curl ဖြင့်ပွားပြီး ၎င်း၏စုစည်းမှုကို configure လုပ်သည်-

$ cd $HOME/code
$ git clone https://github.com/niallor/curl.git curl-esni
$ cd curl-esni

$ export LD_LIBRARY_PATH=/opt/openssl
$ ./buildconf
$ LDFLAGS="-L/opt/openssl" ./configure --with-ssl=/opt/openssl --enable-esni --enable-debug

ဤနေရာတွင် openssl တည်ရှိသည့် လမ်းညွှန်များအားလုံးကို မှန်ကန်စွာသတ်မှတ်ရန် အရေးကြီးသည် (ကျွန်ုပ်တို့၏ကိစ္စတွင်၊ ၎င်းမှာ /opt/openssl/) ဖြစ်ပြီး ဖွဲ့စည်းမှုလုပ်ငန်းစဉ်သည် အမှားအယွင်းမရှိဘဲ ဖြတ်သန်းသွားကြောင်း သေချာပါစေ။

ဖွဲ့စည်းမှုအောင်မြင်ပါက၊ ကျွန်ုပ်တို့သည် မျဉ်းကြောင်းကိုမြင်ရပါမည်-

သတိပေးချက်- esni ESNI ကို ဖွင့်ထားသော်လည်း စမ်းသပ်မှုဟု အမှတ်အသားပြုထားသည်။ သတိနဲ့သုံးပါ။

$ make

အထုပ်ကို အောင်မြင်စွာတည်ဆောက်ပြီးနောက်၊ curl ကို configure လုပ်ပြီး run ရန်အတွက် openssl မှ အထူး bash ဖိုင်ကို အသုံးပြုပါမည်။ အဆင်ပြေစေရန် curl ဖြင့် directory သို့ကူးယူကြပါစို့။

cp /opt/openssl/esnistuff/curl-esni 

Wireshark တွင် DNS နှင့် TLS ပက်ကေ့ဂျ်များကို တပြိုင်နက်မှတ်တမ်းတင်နေစဉ် cloudflare ဆာဗာထံ စမ်းသပ်မှု https တောင်းဆိုမှုကို ပြုလုပ်ပါ။

$ ESNI_COVER="www.hello-rkn.ru" ./curl-esni https://cloudflare.com/

ဆာဗာတုံ့ပြန်မှုတွင်၊ openssl နှင့် curl တို့မှ အမှားရှာပြင်ခြင်းဆိုင်ရာ အချက်အလက်များစွာအပြင် cloudflare မှ code 301 ဖြင့် HTTP တုံ့ပြန်မှုကို ကျွန်ုပ်တို့ လက်ခံရရှိမည်ဖြစ်သည်။

HTTP/1.1 301 Moved Permanently
< Date: Sun, 03 Nov 2019 13:12:55 GMT
< Transfer-Encoding: chunked
< Connection: keep-alive
< Cache-Control: max-age=3600
< Expires: Sun, 03 Nov 2019 14:12:55 GMT
< Location: https://www.cloudflare.com/

ကျွန်ုပ်တို့၏တောင်းဆိုချက်ကို ဦးတည်ရာဆာဗာသို့ အောင်မြင်စွာပေးပို့ခဲ့ပြီး၊ ကြားသိရပြီး လုပ်ဆောင်ပြီးစီးကြောင်း ညွှန်ပြပါသည်။

ကဲ wireshark မှာရှိတဲ့ traffic dump ကိုကြည့်ရအောင်၊ i.e. ဤကိစ္စတွင် ဝန်ဆောင်မှုပေးသူ DPI က ဘာကိုမြင်လဲ။

curl သည် cloudflare ဆာဗာအတွက် အများသူငှာ eSNI သော့အတွက် DNS ဆာဗာသို့ ဦးစွာလှည့်ခဲ့သည် - _esni.cloudflare.com (ပက်ကေ့ဂျ်နံပါတ် 13) သို့ TXT DNS တောင်းဆိုမှုကို တွေ့မြင်နိုင်သည်။ ထို့နောက် openssl စာကြည့်တိုက်ကို အသုံးပြု၍ curl သည် SNI အကွက်အား ယခင်အဆင့်တွင်ရရှိသော အများသူငှာသော့ဖြင့် ကုဒ်ဝှက်ထားသော TLS 1.3 တောင်းဆိုချက်ကို cloudflare ဆာဗာထံ ပေးပို့ခဲ့သည်။ သို့သော်၊ eSNI အကွက်အပြင်၊ SSL-hello ပက်ကတ်တွင် ကျွန်ုပ်တို့သည် မည်သည့်အမှာစာဖြင့်မဆို သတ်မှတ်နိုင်သော ပုံမှန်ဖွင့်ထားသော SNI နှင့် အကွက်တစ်ခုပါ၀င်သည် (ဤကိစ္စတွင်၊ www.hello-rkn.ru).

ဤပွင့်လင်းသော SNI အကွက်ကို cloudflare ဆာဗာများက လုပ်ဆောင်သောအခါ မည်သည့်နည်းဖြင့်မျှ ထည့်သွင်းစဉ်းစားခြင်းမပြုဘဲ ပံ့ပိုးပေးသူ DPI အတွက် မျက်နှာဖုံးအဖြစ်သာ ဆောင်ရွက်ခဲ့သည်။ cloudflare ဆာဗာသည် ကျွန်ုပ်တို့၏ ssl-hello ပက်ကတ်ကို လက်ခံရရှိပြီး eSNI ကို စာဝှက်ထားကာ မူရင်း SNI ကို ထိုနေရာမှ ထုတ်ယူပြီး ဘာမှဖြစ်မလာသကဲ့သို့ စီမံဆောင်ရွက်သည် (၎င်းသည် eSNI တီထွင်ချိန်တွင် စီစဉ်ထားသည့်အတိုင်း အရာအားလုံးကို အတိအကျ လုပ်ဆောင်ခဲ့သည်)။

ဤကိစ္စတွင် DPI ရှုထောင့်မှ ဖမ်းမိနိုင်သော တစ်ခုတည်းသောအရာမှာ _esni.cloudflare.com သို့ အဓိက DNS တောင်းဆိုချက်ဖြစ်သည်။ သို့သော် ကျွန်ုပ်တို့သည် အတွင်းပိုင်းမှ ဤယန္တရားအလုပ်လုပ်ပုံကို ပြသရန်အတွက်သာ DNS တောင်းဆိုမှုကို ဖွင့်ထားသည်။

နောက်ဆုံးတွင် DPI အောက်မှ ကော်ဇောကို ဆွဲထုတ်ရန်၊ ဖော်ပြထားပြီးဖြစ်သော DNS-over-HTTPS ယန္တရားကို အသုံးပြုပါသည်။ အနည်းငယ်ရှင်းပြချက် - DOH သည် HTTPS မှတစ်ဆင့် DNS တောင်းဆိုမှုကို ပေးပို့ခြင်းဖြင့် လူအချင်းချင်း အလယ်အလတ်တိုက်ခိုက်မှုကို ကာကွယ်ရန် ခွင့်ပြုသည့် ပရိုတိုကောတစ်ခုဖြစ်သည်။

တောင်းဆိုချက်ကို ထပ်မံလုပ်ဆောင်ကြပါစို့၊ သို့သော် ယခုတစ်ကြိမ်တွင် DNS မဟုတ်ဘဲ https protocol မှတစ်ဆင့် အများသူငှာ eSNI သော့များကို လက်ခံရရှိပါမည်။

ESNI_COVER="www.hello-rkn.ru" DOH_URL=https://mozilla.cloudflare-dns.com/dns-query ./curl-esni https://cloudflare.com/

တောင်းဆိုမှု traffic dump ကို အောက်ပါ screenshot တွင် ပြထားသည်-

curl သည် SNI ကုဒ်ဝှက်ခြင်းအတွက် အများသူငှာသော့များ၏တန်ဖိုးများကို ၎င်းတို့ထံမှရယူရန် DoH ပရိုတိုကော (ဆာဗာ 104.16.249.249) မှတစ်ဆင့် mozilla.cloudflare-dns.com ဆာဗာကို ပထမဆုံးဝင်ရောက်ကြည့်ရှုနိုင်သည်၊ ထို့နောက် ဦးတည်ရာသို့ ဆာဗာ၊ ဒိုမိန်းနောက်ကွယ်မှာ ပုန်းနေတယ်။ www.hello-rkn.ru.

အထက်ဖော်ပြပါ DoH ဖြေရှင်းသူ mozilla.cloudflare-dns.com အပြင်၊ ဥပမာအားဖြင့်၊ နာမည်ကြီး မကောင်းသောကော်ပိုရေးရှင်းမှ အခြားသော နာမည်ကြီး DoH ဝန်ဆောင်မှုများကို ကျွန်ုပ်တို့ အသုံးပြုနိုင်ပါသည်။
အောက်ပါမေးခွန်းကို လုပ်ဆောင်ကြပါစို့။

ESNI_COVER="www.kremlin.ru" DOH_URL=https://dns.google/dns-query ./curl-esni https://rutracker.nl/

ပြီး​တော့ကျွန်​​တော်​တို့အ​ဖြေရပါသည်​-

< HTTP/1.1 301 Moved Permanently
< Date: Sun, 03 Nov 2019 14:10:22 GMT
< Content-Type: text/html
< Transfer-Encoding: chunked
< Connection: keep-alive
< Set-Cookie: __cfduid=da0144d982437e77b0b37af7d00438b1a1572790222; expires=Mon, 02-Nov-20 14:10:22 GMT; path=/; domain=.rutracker.nl; HttpOnly; Secure
< Location: https://rutracker.nl/forum/index.php
< CF-Cache-Status: DYNAMIC
< Expect-CT: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
< Server: cloudflare
< CF-RAY: 52feee696f42d891-CPH

ဤကိစ္စတွင်၊ ကျွန်ုပ်တို့သည် DoH ဖြေရှင်းသူ dns.google ကို အသုံးပြု၍ ပိတ်ဆို့ထားသော rutracker.nl ဆာဗာသို့ လှည့်သွားသည် (ဤနေရာတွင် အမှားအယွင်းမရှိပါ၊ ယခုအခါ နာမည်ကြီးကော်ပိုရေးရှင်းတွင် ၎င်း၏ပထမအဆင့်ဒိုမိန်းရှိပါသည်) နှင့် တင်းကြပ်စွာ ကန့်သတ်ထားသော အခြားဒိုမိန်းတစ်ခုဖြင့် ကျွန်ုပ်တို့ကို ဖုံးအုပ်ထားသည်။ သေခြင်းဝေဒနာအောက်တွင် ပိတ်ဆို့ရန် DPI အားလုံးကို တားမြစ်ထားသည်။ လက်ခံရရှိသည့် တုံ့ပြန်မှုအပေါ် အခြေခံ၍ ကျွန်ုပ်တို့၏ တောင်းဆိုချက်ကို အောင်မြင်စွာ လုပ်ဆောင်ပြီးဖြစ်ကြောင်း သင်နားလည်နိုင်ပါသည်။

ဝန်ဆောင်မှုပေးသူ၏ DPI သည် အဖုံးတစ်ခုအဖြစ် ကျွန်ုပ်တို့ပေးပို့သည့် အဖွင့် SNI ကို တုံ့ပြန်ကြောင်း ထပ်လောင်းစစ်ဆေးမှုတစ်ခုအနေဖြင့်၊ အခြားတားမြစ်ထားသောအရင်းအမြစ်အချို့၏ အသွင်ဆောင်မှုအောက်တွင် ကျွန်ုပ်တို့သည် အခြား "ကောင်းသော" torrent tracker ကို တောင်းဆိုနိုင်ပါသည်။

$ ESNI_COVER="rutor.info" DOH_URL=https://dns.google/dns-query ./curl-esni https://rutracker.nl/

ကျွန်ုပ်တို့သည် ဆာဗာထံမှ တုံ့ပြန်မှုကို ရရှိမည်မဟုတ်သောကြောင့် ... ကျွန်ုပ်တို့၏တောင်းဆိုမှုကို DPI စနစ်ဖြင့် ပိတ်ဆို့သွားပါမည်။

ပထမပိုင်းအတွက် အတိုကောက်ကောက်ချက်တစ်ခု

ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် openssl နှင့် curl ကို အသုံးပြု၍ eSNI ၏လုပ်ဆောင်နိုင်စွမ်းကို သရုပ်ပြနိုင်ခဲ့ပြီး eSNI အပေါ်အခြေခံထားသော domain fronting ၏လုပ်ဆောင်မှုကို စမ်းသပ်နိုင်ခဲ့သည်။ အလားတူပင်၊ ကျွန်ုပ်တို့သည် အခြားဒိုမိန်းများ၏ “ဟန်ဆောင်မှုအောက်တွင်” အလုပ်လုပ်ရန် openssl စာကြည့်တိုက်ကို အသုံးပြုသည့် ကျွန်ုပ်တို့၏အကြိုက်ဆုံးကိရိယာများကို ပြုပြင်ပြောင်းလဲနိုင်ပါသည်။ ဤအကြောင်းအသေးစိတ်ကို ကျွန်ုပ်တို့၏ နောက်ဆောင်းပါးများတွင် ဖော်ပြထားသည်။

source: www.habr.com