China miunganisho yote ya HTTPS inayotumia itifaki ya TLS 1.3 na kiendelezi cha TLS cha ESNI (Kielelezo cha Jina la Seva Iliyosimbwa kwa Njia Fiche) ambayo hutoa usimbaji fiche wa data kuhusu seva pangishi iliyoombwa. Uzuiaji unafanywa kwenye vipanga njia vya kupita kwa miunganisho iliyoanzishwa kutoka Uchina hadi ulimwengu wa nje, na kutoka kwa ulimwengu wa nje hadi Uchina.
Kuzuia hufanywa kwa kudondosha pakiti kutoka kwa mteja hadi kwa seva, badala ya uingizwaji wa pakiti ya RST ambayo hapo awali ilifanywa na uzuiaji wa kuchagua maudhui wa SNI. Baada ya kuzuia pakiti na ESNI imeanzishwa, pakiti zote za mtandao zinazofanana na mchanganyiko wa IP ya chanzo, IP ya marudio na nambari ya bandari ya marudio pia imefungwa kwa sekunde 120 hadi 180. Miunganisho ya HTTPS kulingana na matoleo ya zamani ya TLS na TLS 1.3 bila ESNI inaruhusiwa kupitia kama kawaida.
Hebu tukumbuke kwamba ili kuandaa kazi kwenye anwani moja ya IP ya tovuti kadhaa za HTTPS, ugani wa SNI ulitengenezwa, ambao hupeleka jina la mwenyeji kwa maandishi wazi katika ujumbe wa ClientHello uliopitishwa kabla ya kufunga njia ya mawasiliano iliyosimbwa. Kipengele hiki kinawezesha kwa upande wa mtoa huduma wa Intaneti kuchuja kwa kuchagua trafiki ya HTTPS na kuchanganua ni tovuti zipi mtumiaji hufungua, jambo ambalo haliruhusu kufikia usiri kamili unapotumia HTTPS.
Kiendelezi kipya cha TLS ECH (zamani ESNI), ambacho kinaweza kutumika kwa kushirikiana na TLS 1.3, huondoa kasoro hii na huondoa kabisa uvujaji wa maelezo kuhusu tovuti iliyoombwa wakati wa kuchanganua miunganisho ya HTTPS. Kwa kuchanganya na upatikanaji kupitia mtandao wa utoaji wa maudhui, matumizi ya ECH/ESNI pia hufanya iwezekanavyo kuficha anwani ya IP ya rasilimali iliyoombwa kutoka kwa mtoa huduma. Mifumo ya ukaguzi wa trafiki itaona maombi kwa CDN pekee na haitaweza kutekeleza uzuiaji bila upotoshaji wa kipindi cha TLS, katika hali ambayo arifa inayolingana kuhusu udukuzi wa cheti itaonyeshwa kwenye kivinjari cha mtumiaji. DNS inasalia kuwa njia inayoweza kuvuja, lakini mteja anaweza kutumia DNS-over-HTTPS au DNS-over-TLS kuficha ufikiaji wa DNS kwa mteja.
Watafiti tayari Kuna njia kadhaa za kuepusha kizuizi cha Kichina kwenye upande wa mteja na seva, lakini zinaweza kuwa zisizo na maana na zinapaswa kuzingatiwa tu kama hatua ya muda. Kwa mfano, kwa sasa ni pakiti pekee zilizo na kitambulisho cha kiendelezi cha ESNI 0xffce (encrypted_server_name), ambacho kilitumika katika , lakini kwa sasa pakiti zilizo na kitambulisho cha sasa 0xff02 (encrypted_client_hello), kilichopendekezwa katika .
Njia nyingine ya kufanya kazi ni kutumia mchakato wa mazungumzo yasiyo ya kawaida ya uunganisho, kwa mfano, kuzuia haifanyi kazi ikiwa pakiti ya ziada ya SYN iliyo na nambari isiyo sahihi ya mlolongo imetumwa mapema, ghiliba na bendera za kugawanyika kwa pakiti, kutuma pakiti na FIN na SYN zote mbili. bendera zimewekwa, uingizwaji wa pakiti ya RST yenye kiasi cha udhibiti usio sahihi au kutuma kabla ya mazungumzo ya kuunganisha pakiti na bendera za SYN na ACK kuanza. Mbinu zilizoelezwa tayari zimetekelezwa katika mfumo wa programu-jalizi ya zana ya zana , kupita njia za udhibiti.
Chanzo: opennet.ru
