တရုတ်နိုင်ငံ TLS 1.3 ပရိုတိုကောကို အသုံးပြုသည့် HTTPS ချိတ်ဆက်မှုအားလုံးနှင့် ESNI (ကုဒ်ဝှက်ထားသော ဆာဗာအမည် ညွှန်ပြမှု) TLS တိုးချဲ့မှု၊ တောင်းဆိုထားသော လက်ခံအိမ်ရှင်နှင့်ပတ်သက်သည့် ဒေတာကို ကုဒ်ဝှက်ခြင်းကို ပံ့ပိုးပေးသည်။ တရုတ်နိုင်ငံမှ ပြင်ပကမ္ဘာသို့ ချိတ်ဆက်မှုများနှင့် ပြင်ပကမ္ဘာမှ တရုတ်နိုင်ငံသို့ ချိတ်ဆက်မှုများအတွက် ဖြတ်သန်းရောက်ရောက်တာများတွင် ပိတ်ဆို့ခြင်းကို လုပ်ဆောင်သည်။
SNI အကြောင်းအရာ-ရွေးချယ်ပိတ်ဆို့ခြင်းမှ ယခင်က လုပ်ဆောင်ခဲ့သော RST ပက်ကတ်အစားထိုးခြင်းထက် ဖောက်သည်မှ ပက်ကေ့ခ်ျများကို ဆာဗာသို့ ချပေးခြင်းဖြင့် ပိတ်ဆို့ခြင်းအား လုပ်ဆောင်သည်။ ESNI နှင့် ပက်ကေ့ခ်ျတစ်ခုကို ပိတ်ဆို့ပြီးနောက် အစပျိုးပြီးနောက်၊ အရင်းအမြစ် IP၊ ပန်းတိုင် IP နှင့် ဦးတည်ရာနေရာ ပို့တ်နံပါတ်တို့ကို ပေါင်းစပ်ထားသည့် ကွန်ရက်ပက်ကေ့ခ်ျအားလုံးကို စက္ကန့် 120 မှ 180 အထိ ပိတ်ဆို့ထားသည်။ ESNI မပါဘဲ TLS နှင့် TLS 1.3 ၏ ဗားရှင်းအဟောင်းများအပေါ် အခြေခံ၍ HTTPS ချိတ်ဆက်မှုများကို ပုံမှန်အတိုင်း ဖြတ်သန်းခွင့်ပြုထားသည်။
HTTPS ဆိုက်များစွာ၏ IP လိပ်စာတစ်ခုတွင် အလုပ်များကို စုစည်းရန်အတွက် SNI တိုးချဲ့မှုကို တီထွင်ခဲ့ပြီး၊ ကုဒ်ဝှက်ထားသော ဆက်သွယ်ရေးချန်နယ်ကို မတပ်ဆင်မီ ပေးပို့သော ClientHello မက်ဆေ့ဂျ်တွင် ရှင်းလင်းသောစာသားဖြင့် လက်ခံဆောင်ရွက်ပေးသူအမည်ကို ပေးပို့သည့် SNI တိုးချဲ့မှုကို သတိရကြပါစို့။ ဤအင်္ဂါရပ်သည် HTTPS ကိုအသုံးပြုသည့်အခါ ပြီးပြည့်စုံသောလျှို့ဝှက်ချက်ကိုရရှိရန် ခွင့်မပြုသည့် HTTPS အသွားအလာကို ရွေးချယ်စစ်ထုတ်ပြီး အသုံးပြုသူဖွင့်သည့်ဆိုက်များကို ခွဲခြမ်းစိတ်ဖြာရန် ဤအင်္ဂါရပ်က အင်တာနက်ဝန်ဆောင်မှုပေးသူဘက်ခြမ်းတွင် ဖြစ်နိုင်ချေရှိသည်။
TLS တိုးချဲ့မှုအသစ် ECH (ယခင် ESNI) သည် TLS 1.3 နှင့် တွဲဖက်အသုံးပြုနိုင်သော ဤချို့ယွင်းချက်ကို ဖယ်ရှားပေးပြီး HTTPS ချိတ်ဆက်မှုများကို ပိုင်းခြားစိတ်ဖြာသည့်အခါ တောင်းဆိုထားသောဆိုက်နှင့်ပတ်သက်သည့် အချက်အလက်ပေါက်ကြားမှုကို လုံးဝဖယ်ရှားပေးပါသည်။ အကြောင်းအရာပေးပို့ခြင်းကွန်ရက်မှတစ်ဆင့် ဝင်ရောက်အသုံးပြုခြင်းနှင့် ပေါင်းစပ်ခြင်းဖြင့် ECH/ESNI ကိုအသုံးပြုခြင်းသည် ပံ့ပိုးပေးသူထံမှ တောင်းဆိုထားသောရင်းမြစ်၏ IP လိပ်စာကို ဝှက်ထားနိုင်စေသည်။ ယာဉ်အသွားအလာစစ်ဆေးရေးစနစ်များသည် CDN ထံ တောင်းဆိုမှုများကိုသာ မြင်တွေ့ရမည်ဖြစ်ပြီး TLS စက်ရှင်ကို လိမ်လည်လှည့်ဖြားခြင်းမရှိဘဲ ပိတ်ဆို့ခြင်းကို ကျင့်သုံးနိုင်မည်မဟုတ်ပါ၊ ယင်းအခြေအနေတွင် သက်သေခံလက်မှတ်အတုအယောင်အကြောင်း သက်ဆိုင်ရာ အကြောင်းကြားချက်ကို သုံးစွဲသူ၏ဘရောက်ဆာတွင် ပြသမည်ဖြစ်သည်။ DNS သည် ဖြစ်နိုင်ချေရှိသော ပေါက်ကြားလမ်းကြောင်းတစ်ခုအဖြစ် ကျန်ရှိနေသော်လည်း client သည် client မှ DNS access ကိုဖျောက်ရန် DNS-over-HTTPS သို့မဟုတ် DNS-over-TLS ကို အသုံးပြုနိုင်သည်။
သုတေသီတွေ ရှိပြီးသားပါ။ client နှင့် server ဘက်ခြမ်းရှိ Chinese block ကို ကျော်ဖြတ်ရန် ဖြေရှင်းနည်းများစွာရှိသော်လည်း ၎င်းတို့သည် မသက်ဆိုင်တော့ဘဲ ယာယီအတိုင်းအတာအဖြစ်သာ ယူဆသင့်ပါသည်။ ဥပမာအားဖြင့်၊ လက်ရှိတွင် အသုံးပြုခဲ့သည့် ESNI extension ID 0xffce (encrypted_server_name) ပါသည့် ပက်ကတ်များကိုသာ၊ ဒါပေမယ့် အခုလက်ရှိ identifier 0xff02 (encrypted_client_hello) ပါတဲ့ packets တွေကို ၊ .
အခြားဖြေရှင်းနည်းမှာ ပုံမှန်မဟုတ်သော ချိတ်ဆက်ညှိနှိုင်းမှုလုပ်ငန်းစဉ်ကို အသုံးပြုရန်၊ ဥပမာ၊ မှားယွင်းနေသော စီကိန်းနံပါတ်ပါသော SYN ပက်ကေ့ဂျ်ကို ကြိုတင်ပေးပို့ပါက ပိတ်ဆို့ခြင်းအလုပ်မလုပ်ပါ၊ ပက်ကက်ခွဲခြမ်းကွဲခြင်းအလံများဖြင့် စီမံဆောင်ရွက်ခြင်း၊ FIN နှင့် SYN နှစ်ခုလုံးပါသည့် ပက်ကေ့ခ်ျတစ်ခုပေးပို့ခြင်း အလံများသတ်မှတ်ခြင်း၊ မှားယွင်းသောထိန်းချုပ်မှုပမာဏဖြင့် RST ပက်ကတ်ကိုအစားထိုးခြင်း သို့မဟုတ် SYN နှင့် ACK အလံများနှင့်ပက်ကက်ချိတ်ဆက်မှုညှိနှိုင်းမှုမစတင်မီပေးပို့ခြင်း။ ဖော်ပြထားသော နည်းလမ်းများကို toolkit အတွက် ပလပ်အင်ပုံစံဖြင့် အကောင်အထည်ဖော်ပြီးဖြစ်သည်။ , ဆင်ဆာဖြတ်ခြင်းနည်းလမ်းများကို ကျော်လွှားရန်။
source: opennet.ru