چين سڀ HTTPS ڪنيڪشن جيڪي استعمال ڪن ٿا TLS 1.3 پروٽوڪول ۽ ESNI (Encrypted Server Name Indication) TLS ايڪسٽينشن، جيڪا درخواست ڪيل ميزبان بابت ڊيٽا جي انڪريپشن مهيا ڪري ٿي. چين کان ٻاهرين دنيا تائين ۽ ٻاهرين دنيا کان چين تائين قائم ڪيل رابطن لاءِ ٻنهي ٽرانزٽ روٽرن تي بلاڪنگ ڪئي ويندي آهي.
بلاڪنگ ڪلائنٽ کان سرور ڏانهن پيڪيٽ ڇڏڻ سان ڪئي ويندي آهي، بجاءِ RST پيڪٽ جي متبادل جيڪا اڳ ۾ SNI مواد-منتخب بلاڪنگ پاران ڪئي وئي هئي. ESNI سان هڪ پيڪيٽ کي بلاڪ ڪرڻ کان پوءِ شروع ڪيو ويو آهي، سڀني نيٽ ورڪ پيڪيٽس جو ميلاپ سان لاڳاپيل آهي سورس IP، منزل IP ۽ منزل پورٽ نمبر پڻ 120 کان 180 سيڪنڊن لاءِ بلاڪ ڪيا ويا آهن. HTTPS ڪنيڪشن جي بنياد تي TLS ۽ TLS 1.3 جي پراڻن ورزن جي ESNI کان سواءِ معمول موجب اجازت ڏنل آهي.
اچو ته ياد رکون ته ڪيترن ئي HTTPS سائيٽن جي هڪ IP پتي تي ڪم کي منظم ڪرڻ لاء، SNI توسيع ترقي ڪئي وئي هئي، جيڪو هڪ اينڪريٽ ٿيل ڪميونيڪيشن چينل کي نصب ڪرڻ کان اڳ منتقل ڪيل ClientHello پيغام ۾ صاف متن ۾ ميزبان جو نالو منتقل ڪري ٿو. هي خصوصيت انٽرنيٽ فراهم ڪندڙ جي پاسي تي اهو ممڪن بڻائي ٿو ته چونڊيل طور تي HTTPS ٽرئفڪ کي فلٽر ڪرڻ ۽ تجزيو ڪيو ته صارف ڪهڙن سائيٽن کي کولي ٿو، جيڪي HTTPS استعمال ڪرڻ وقت مڪمل رازداري حاصل ڪرڻ جي اجازت نٿا ڏين.
نئون TLS ايڪسٽينشن ECH (اڳوڻي ESNI)، جيڪو استعمال ڪري سگھجي ٿو TLS 1.3 سان گڏ، هن نقص کي ختم ڪري ٿو ۽ مڪمل طور تي ختم ڪري ٿو معلومات جي ليڪ کي ختم ڪري ٿو درخواست ڪيل سائيٽ بابت جڏهن HTTPS ڪنيڪشن جو تجزيو ڪيو وڃي. مواد جي ترسيل نيٽ ورڪ ذريعي رسائي سان گڏ، ECH/ESNI جو استعمال پڻ مهيا ڪندڙ کان درخواست ڪيل وسيلن جي IP پتي کي لڪائڻ ممڪن بڻائي ٿو. ٽريفڪ انسپيڪشن سسٽم صرف CDN ڏانهن درخواستون ڏسندا ۽ TLS سيشن جي اسپفنگ کان سواءِ بلاڪنگ لاڳو ڪرڻ جي قابل نه هوندا، ان صورت ۾ صارف جي برائوزر ۾ سرٽيفڪيٽ جي اسپفنگ بابت هڪ لاڳاپيل نوٽيفڪيشن ڏيکاريو ويندو. DNS هڪ ممڪن ليڪ چينل رهي ٿو، پر ڪلائنٽ استعمال ڪري سگهي ٿو DNS-over-HTTPS يا DNS-over-TLS کي لڪائڻ لاءِ ڪلائنٽ پاران DNS رسائي.
محقق اڳ ۾ ئي آهن ڪلائنٽ ۽ سرور جي پاسي تي چيني بلاڪ کي بائي پاس ڪرڻ لاء ڪيترائي ڪم ڪار آهن، پر اهي شايد غير مناسب ٿي سگهن ٿيون ۽ صرف هڪ عارضي ماپ طور سمجهيو وڃي. مثال طور، في الحال صرف پيڪٽس سان گڏ ESNI ايڪسٽينشن ID 0xffce (encrypted_server_name)، جيڪو استعمال ڪيو ويو ، پر ھاڻي موجوده سڃاڻپ ڪندڙ 0xff02 (encrypted_client_hello) سان گڏ پيڪيٽ لاءِ، تجويز ڪيل ۾ .
ٻيو حل اهو آهي ته هڪ غير معياري ڪنيڪشن ڳالهين جي عمل کي استعمال ڪرڻ، مثال طور، بلاڪ ڪرڻ ڪم نه ڪندو آهي جيڪڏهن هڪ اضافي SYN پيڪٽ هڪ غلط ترتيب نمبر سان اڳواٽ ۾ موڪليو ويو آهي، پيڪٽ جي ورهائڻ واري جھنڊن سان ٺاهه، FIN ۽ SYN ٻنهي سان هڪ پيڪٽ موڪلڻ جھنڊو سيٽ، غلط ڪنٽرول رقم سان RST پيڪٽ جي متبادل يا SYN ۽ ACK جھنڊو سان پيڪٽ ڪنيڪشن جي ڳالهين شروع ٿيڻ کان اڳ موڪلڻ. بيان ڪيل طريقا اڳ ۾ ئي ٽول ڪٽ لاءِ پلگ ان جي صورت ۾ لاڳو ڪيا ويا آهن , سينسرنگ طريقن کي نظرانداز ڪرڻ.
جو ذريعو: opennet.ru