چین ټول HTTPS اړیکې چې د TLS 1.3 پروتوکول او ESNI (د کوډ شوي سرور نوم اشاره) TLS توسیع کاروي، کوم چې د غوښتل شوي کوربه په اړه د معلوماتو کوډ کول چمتو کوي. بلاک کول په ټرانزیټ روټرونو کې د چین څخه بهرنۍ نړۍ او له بهرنۍ نړۍ څخه چین ته د رامینځته شوي ارتباطاتو لپاره ترسره کیږي.
بلاک کول د پیرودونکي څخه سرور ته د پاکټونو په غورځولو سره ترسره کیږي، نه د RST پیکټ بدیل چې مخکې د SNI منځپانګې - انتخابي بلاک کولو لخوا ترسره شوي. وروسته له دې چې د ESNI سره د کڅوړې بلاک کول پیل شي ، د شبکې ټولې کڅوړې چې د سرچینې IP ، منزل IP او منزل پورټ نمبر ترکیب سره مطابقت لري هم د 120 څخه تر 180 ثانیو پورې بلاک شوي. د ESNI پرته د TLS او TLS 1.3 د زړو نسخو پراساس HTTPS اړیکې د معمول په څیر اجازه لري.
راځئ چې په یاد ولرو چې د څو HTTPS سایټونو په یوه IP پته کې د کار تنظیم کولو لپاره، د SNI توسیع رامینځته شوی، کوم چې د کوډ شوي ارتباطي چینل نصبولو دمخه لیږدول شوي ClientHello پیغام کې د کوربه نوم په واضح متن کې لیږدوي. دا خصوصیت د انټرنیټ چمتو کونکي اړخ ته دا امکان ورکوي چې د HTTPS ترافیک په غوره توګه فلټر کړي او تحلیل کړي چې کوم سایټونه کارونکي خلاصوي ، کوم چې د HTTPS کارولو پرمهال د بشپړ محرمیت ترلاسه کولو اجازه نه ورکوي.
د نوي TLS توسیع ECH (پخوانی ESNI)، چې د TLS 1.3 سره په ګډه کارول کیدی شي، دا نیمګړتیا له منځه وړي او د HTTPS ارتباطاتو تحلیل کولو په وخت کې د غوښتل شوي سایټ په اړه د معلوماتو لیک په بشپړه توګه له منځه یوسي. د مینځپانګې تحویلي شبکې له لارې د لاسرسي سره په ترکیب کې ، د ECH/ESNI کارول دا امکان هم رامینځته کوي چې د وړاندیز شوي سرچینې IP پته له چمتو کونکي څخه پټ کړي. د ترافیک تفتیش سیسټمونه به یوازې CDN ته غوښتنې وګوري او د TLS سیشن سپوفینګ پرته به د بلاک کولو پلي کولو توان ونلري ، پدې حالت کې به د سند سپوف کولو په اړه ورته خبرتیا د کارونکي براوزر کې وښودل شي. DNS یو احتمالي لیک چینل پاتې دی، مګر پیرودونکي کولی شي د DNS-over-HTTPS یا DNS-over-TLS د پیرودونکي لخوا د DNS لاسرسي پټولو لپاره وکاروي.
څیړونکي لا دمخه لري د پیرودونکي او سرور اړخ کې د چینایي بلاک څخه د تیریدو لپاره ډیری کاري حلونه شتون لري ، مګر دوی ممکن غیر اړونده شي او یوازې د لنډمهاله اقدام په توګه باید په پام کې ونیول شي. د مثال په توګه، اوس مهال یوازې د ESNI توسیع ID 0xffce (encrypted_server_name) سره پاکټونه، کوم چې په کې کارول شوي ، مګر د اوس لپاره د اوسني پیژندونکي 0xff02 (encrypted_client_hello) سره پاکټونه په کې وړاندیز شوي .
بل کار د غیر معیاري اړیکې خبرو اترو پروسې کارول دي ، د مثال په توګه ، بلاک کول کار نه کوي که چیرې د غلط ترتیب شمیرې سره اضافي SYN پاکټ دمخه لیږل شوی وي ، د پاکټ ټوټې کولو بیرغونو سره لاسوهنه ، د FIN او SYN دواړو سره د پاکټ لیږل د بیرغونو ترتیب، د ناسم کنټرول مقدار سره د RST پاکټ بدیل یا د SYN او ACK بیرغونو سره د پیکټ ارتباط خبرې اترې پیل کیدو دمخه لیږل. تشریح شوي میتودونه دمخه د وسیلې کټ لپاره د پلگ ان په توګه پلي شوي , د سانسور کولو میتودونو ته مخه کول.
سرچینه: opennet.ru