Xitoy TLS 1.3 protokoli va so'ralgan xost haqidagi ma'lumotlarni shifrlashni ta'minlaydigan ESNI (Encrypted Server Name Indication) TLS kengaytmasidan foydalanadigan barcha HTTPS ulanishlari. Bloklash tranzit routerlarda ham Xitoydan tashqi dunyoga, ham tashqi dunyodan Xitoyga o'rnatilgan ulanishlar uchun amalga oshiriladi.
Bloklash avval SNI kontent-tanlab blokirovkasi orqali amalga oshirilgan RST paketini almashtirish o‘rniga mijozdan serverga paketlarni tashlash orqali amalga oshiriladi. ESNI bilan paketni bloklash ishga tushirilgandan so'ng, manba IP, maqsad IP va maqsad port raqami kombinatsiyasiga mos keladigan barcha tarmoq paketlari ham 120-180 soniya davomida bloklanadi. ESNIsiz TLS va TLS 1.3 ning eski versiyalari asosidagi HTTPS ulanishlariga odatdagidek ruxsat beriladi.
Eslatib o'tamiz, bir nechta HTTPS saytlarining bitta IP-manzilida ishlashni tashkil qilish uchun SNI kengaytmasi ishlab chiqilgan bo'lib, u shifrlangan aloqa kanalini o'rnatishdan oldin uzatilgan ClientHello xabarida xost nomini aniq matnda uzatadi. Ushbu xususiyat Internet-provayder tomonidan HTTPS trafigini tanlab filtrlash va foydalanuvchi qaysi saytlarni ochishini tahlil qilish imkonini beradi, bu HTTPS-dan foydalanishda to'liq maxfiylikka erishishga imkon bermaydi.
TLS 1.3 bilan birgalikda ishlatilishi mumkin bo'lgan yangi TLS kengaytmasi ECH (sobiq ESNI) bu kamchilikni bartaraf qiladi va HTTPS ulanishlarini tahlil qilishda so'ralgan sayt haqidagi ma'lumotlarning sizib chiqishini butunlay yo'q qiladi. Kontentni etkazib berish tarmog'i orqali kirish bilan birgalikda, ECH/ESNI dan foydalanish, shuningdek, so'ralgan manbaning IP-manzilini provayderdan yashirish imkonini beradi. Yo'l harakati tekshiruvi tizimlari faqat CDNga so'rovlarni ko'radi va TLS seansi spoofingisiz bloklashni qo'llay olmaydi, bu holda foydalanuvchi brauzerida sertifikatni buzish haqida tegishli bildirishnoma ko'rsatiladi. DNS mumkin bo'lgan oqish kanali bo'lib qolmoqda, ammo mijoz DNS-ga kirishni yashirish uchun DNS-over-HTTPS yoki DNS-over-TLS dan foydalanishi mumkin.
Tadqiqotchilar allaqachon Mijoz va server tomonida Xitoy blokini chetlab o'tish uchun bir nechta vaqtinchalik echimlar mavjud, ammo ular ahamiyatsiz bo'lib qolishi mumkin va faqat vaqtinchalik chora sifatida ko'rib chiqilishi kerak. Masalan, hozirda faqat ESNI kengaytmali identifikatori 0xffce (shifrlangan_server_nomi) bo'lgan paketlar. , lekin hozircha joriy identifikator 0xff02 (encrypted_client_hello) bo'lgan paketlar .
Boshqa vaqtinchalik yechim - nostandart ulanish muzokaralar jarayonidan foydalanish, masalan, noto'g'ri tartib raqamiga ega qo'shimcha SYN paketi oldindan yuborilsa, paketlarni parchalash bayroqlari bilan manipulyatsiyalar, FIN va SYN bilan paket yuborish bo'lsa, blokirovka ishlamaydi. bayroqlarni o'rnatish, noto'g'ri nazorat miqdori bilan RST paketini almashtirish yoki SYN va ACK bayroqlari bilan paketga ulanish bo'yicha muzokaralar boshlanishidan oldin yuborish. Ta'riflangan usullar allaqachon asboblar to'plami uchun plagin shaklida amalga oshirilgan , tsenzura usullarini chetlab o'tish.
Manba: opennet.ru