Çin TLS 1.3 protokolünü ve istenen ana bilgisayar hakkındaki verilerin şifrelenmesini sağlayan ESNI (Şifrelenmiş Sunucu Adı Göstergesi) TLS uzantısını kullanan tüm HTTPS bağlantıları. Hem Çin'den dış dünyaya, hem de dış dünyadan Çin'e kurulan bağlantılarda transit yönlendiricilerde engelleme yapılıyor.
Engelleme, daha önce SNI içerik seçici engellemeyle gerçekleştirilen RST paket değişimi yerine, paketleri istemciden sunucuya bırakarak yapılır. Bir paketin ESNI ile engellenmesi tetiklendikten sonra, kaynak IP, hedef IP ve hedef port numarası kombinasyonuna karşılık gelen tüm ağ paketleri de 120 ila 180 saniye süreyle engellenir. TLS'nin eski sürümlerini ve ESNI'siz TLS 1.3'ü temel alan HTTPS bağlantılarına her zamanki gibi izin verilir.
Birkaç HTTPS sitesinin tek bir IP adresi üzerinde çalışmayı organize etmek için, şifreli bir iletişim kanalı kurulmadan önce iletilen ClientHello mesajında ana bilgisayar adını açık metin olarak ileten SNI uzantısının geliştirildiğini hatırlayalım. Bu özellik, İnternet sağlayıcısının HTTPS trafiğini seçici olarak filtrelemesini ve kullanıcının hangi siteleri açtığını analiz etmesini mümkün kılar, bu da HTTPS kullanırken tam bir gizlilik elde edilmesine izin vermez.
TLS 1.3 ile birlikte kullanılabilen yeni TLS uzantısı ECH (eski adıyla ESNI), bu eksikliği ortadan kaldırır ve HTTPS bağlantılarını analiz ederken istenen site hakkında bilgi sızıntısını tamamen ortadan kaldırır. İçerik dağıtım ağı aracılığıyla erişimle birlikte ECH/ESNI kullanımı, talep edilen kaynağın IP adresinin sağlayıcıdan gizlenmesini de mümkün kılar. Trafik inceleme sistemleri yalnızca CDN'ye yapılan istekleri görecek ve TLS oturumu sahtekarlığı olmadan engelleme uygulayamayacaktır; bu durumda kullanıcının tarayıcısında sertifika sahtekarlığına ilişkin ilgili bir bildirim gösterilecektir. DNS olası bir sızıntı kanalı olmayı sürdürüyor ancak istemci, istemcinin DNS erişimini gizlemek için DNS-over-HTTPS veya DNS-over-TLS'yi kullanabilir.
Araştırmacılar zaten İstemci ve sunucu tarafında Çin bloğunu atlamanın birkaç geçici çözümü vardır, ancak bunlar ilgisiz hale gelebilir ve yalnızca geçici bir önlem olarak değerlendirilmelidir. Örneğin, şu anda yalnızca ESNI uzantı kimliği 0xffce'ye (şifreli_sunucu_adı) sahip paketler , ancak şimdilik önerilen 0xff02 (encrypted_client_hello) geçerli tanımlayıcısına sahip paketler .
Diğer bir geçici çözüm, standart olmayan bir bağlantı anlaşması süreci kullanmaktır; örneğin, yanlış sıra numarasına sahip ek bir SYN paketi önceden gönderilirse engelleme işe yaramaz, paket parçalanma bayraklarıyla manipülasyonlar, hem FIN hem de SYN ile bir paket gönderme bayrakların ayarlanması, bir RST paketinin yanlış kontrol miktarıyla değiştirilmesi veya SYN ve ACK bayraklarıyla paket bağlantısı anlaşması başlamadan önce gönderilmesi. Açıklanan yöntemler, araç seti için bir eklenti biçiminde zaten uygulanmıştır. , sansürleme yöntemlerini atlamak için.
Kaynak: opennet.ru