Tsina
Ang pagharang ay ginagawa sa pamamagitan ng pag-drop ng mga packet mula sa client patungo sa server, sa halip na ang RST packet substitution na dati nang ginawa ng SNI content-selective blocking. Matapos ma-trigger ang pag-block sa isang packet na may ESNI, ang lahat ng network packet na tumutugma sa kumbinasyon ng source IP, destination IP at destination port number ay na-block din sa loob ng 120 hanggang 180 segundo. Ang mga koneksyon sa HTTPS batay sa mga mas lumang bersyon ng TLS at TLS 1.3 na walang ESNI ay pinapayagan gaya ng dati.
Alalahanin natin na upang ayusin ang trabaho sa isang IP address ng ilang mga HTTPS site, binuo ang extension ng SNI, na nagpapadala ng pangalan ng host sa malinaw na teksto sa mensahe ng ClientHello na ipinadala bago mag-install ng naka-encrypt na channel ng komunikasyon. Ginagawang posible ng feature na ito sa panig ng Internet provider na piliing i-filter ang trapiko ng HTTPS at suriin kung aling mga site ang bubuksan ng user, na hindi nagpapahintulot sa pagkamit ng kumpletong pagiging kumpidensyal kapag gumagamit ng HTTPS.
Tinatanggal ng bagong extension ng TLS na ECH (dating ESNI), na maaaring gamitin kasabay ng TLS 1.3, ang pagkukulang na ito at ganap na inaalis ang pagtagas ng impormasyon tungkol sa hiniling na site kapag sinusuri ang mga koneksyon sa HTTPS. Sa kumbinasyon ng pag-access sa pamamagitan ng network ng paghahatid ng nilalaman, ginagawang posible rin ng paggamit ng ECH/ESNI na itago ang IP address ng hiniling na mapagkukunan mula sa provider. Ang mga sistema ng inspeksyon ng trapiko ay makakakita lamang ng mga kahilingan sa CDN at hindi makakapaglapat ng pagharang nang walang TLS session spoofing, kung saan ang isang kaukulang notification tungkol sa certificate spoofing ay ipapakita sa browser ng user. Ang DNS ay nananatiling isang posibleng leak na channel, ngunit ang kliyente ay maaaring gumamit ng DNS-over-HTTPS o DNS-over-TLS upang itago ang DNS access ng kliyente.
Ang mga mananaliksik ay mayroon na
Ang isa pang solusyon ay ang paggamit ng hindi karaniwang proseso ng negosasyon sa koneksyon, halimbawa, hindi gagana ang pagharang kung ang karagdagang SYN packet na may maling sequence number ay ipinadala nang maaga, mga manipulasyon na may mga packet fragmentation flag, pagpapadala ng packet na may parehong FIN at SYN itinakda ang mga flag, pagpapalit ng isang RST packet na may maling halaga ng kontrol o pagpapadala bago magsimula ang negosasyon sa koneksyon ng packet sa mga flag ng SYN at ACK. Naipatupad na ang mga inilarawang pamamaraan sa anyo ng isang plugin para sa toolkit
Pinagmulan: opennet.ru