Kina
Blockering görs genom att släppa paket från klienten till servern, snarare än RST-paketsubstitutionen som tidigare utfördes av SNI-innehållsselektiv blockering. Efter att blockering av ett paket med ESNI utlösts, blockeras även alla nätverkspaket som motsvarar kombinationen av käll-IP, destinations-IP och destinationsportnummer i 120 till 180 sekunder. HTTPS-anslutningar baserade på äldre versioner av TLS och TLS 1.3 utan ESNI tillåts som vanligt.
Låt oss komma ihåg att för att organisera arbetet på en IP-adress för flera HTTPS-webbplatser, utvecklades SNI-tillägget, som överför värdnamnet i klartext i ClientHello-meddelandet som skickas innan en krypterad kommunikationskanal etableras. Denna funktion gör det möjligt på internetleverantörens sida att selektivt filtrera HTTPS-trafik och analysera vilka webbplatser användaren öppnar, vilket inte tillåter att man uppnår fullständig konfidentialitet när man använder HTTPS.
Det nya TLS-tillägget ECH (tidigare ESNI), som kan användas tillsammans med TLS 1.3, eliminerar denna brist och eliminerar helt läckage av information om den begärda platsen vid analys av HTTPS-anslutningar. I kombination med åtkomst genom ett innehållsleveransnätverk gör användningen av ECH/ESNI det också möjligt att dölja IP-adressen för den begärda resursen för leverantören. Trafikinspektionssystem kommer bara att se förfrågningar till CDN och kommer inte att kunna tillämpa blockering utan TLS-sessionspoofing, i vilket fall ett motsvarande meddelande om certifikatspoofing kommer att visas i användarens webbläsare. DNS förblir en möjlig läckkanal, men klienten kan använda DNS-over-HTTPS eller DNS-over-TLS för att dölja klientens DNS-åtkomst.
Det har forskare redan gjort
En annan lösning är att använda en icke-standardiserad anslutningsförhandlingsprocess, till exempel fungerar inte blockering om ytterligare ett SYN-paket med ett felaktigt sekvensnummer skickas i förväg, manipulationer med paketfragmenteringsflaggor, skicka ett paket med både FIN och SYN flaggor satta, byte av ett RST-paket med en felaktig kontrollmängd eller sändning innan paketanslutningsförhandlingen med SYN- och ACK-flaggorna börjar. De beskrivna metoderna har redan implementerats i form av en plugin för verktygslådan
Källa: opennet.ru