Xitoy
Bloklash avval SNI kontent-tanlab blokirovkasi orqali amalga oshirilgan RST paketini almashtirish o‘rniga mijozdan serverga paketlarni tashlash orqali amalga oshiriladi. ESNI bilan paketni bloklash ishga tushirilgandan so'ng, manba IP, maqsad IP va maqsad port raqami kombinatsiyasiga mos keladigan barcha tarmoq paketlari ham 120-180 soniya davomida bloklanadi. ESNIsiz TLS va TLS 1.3 ning eski versiyalari asosidagi HTTPS ulanishlariga odatdagidek ruxsat beriladi.
Eslatib o'tamiz, bir nechta HTTPS saytlarining bitta IP-manzilida ishlashni tashkil qilish uchun SNI kengaytmasi ishlab chiqilgan bo'lib, u shifrlangan aloqa kanalini o'rnatishdan oldin uzatilgan ClientHello xabarida xost nomini aniq matnda uzatadi. Ushbu xususiyat Internet-provayder tomonidan HTTPS trafigini tanlab filtrlash va foydalanuvchi qaysi saytlarni ochishini tahlil qilish imkonini beradi, bu HTTPS-dan foydalanishda to'liq maxfiylikka erishishga imkon bermaydi.
TLS 1.3 bilan birgalikda ishlatilishi mumkin bo'lgan yangi TLS kengaytmasi ECH (sobiq ESNI) bu kamchilikni bartaraf qiladi va HTTPS ulanishlarini tahlil qilishda so'ralgan sayt haqidagi ma'lumotlarning sizib chiqishini butunlay yo'q qiladi. Kontentni etkazib berish tarmog'i orqali kirish bilan birgalikda, ECH/ESNI dan foydalanish, shuningdek, so'ralgan manbaning IP-manzilini provayderdan yashirish imkonini beradi. Yo'l harakati tekshiruvi tizimlari faqat CDNga so'rovlarni ko'radi va TLS seansi spoofingisiz bloklashni qo'llay olmaydi, bu holda foydalanuvchi brauzerida sertifikatni buzish haqida tegishli bildirishnoma ko'rsatiladi. DNS mumkin bo'lgan oqish kanali bo'lib qolmoqda, ammo mijoz DNS-ga kirishni yashirish uchun DNS-over-HTTPS yoki DNS-over-TLS dan foydalanishi mumkin.
Tadqiqotchilar allaqachon
Boshqa vaqtinchalik yechim - nostandart ulanish muzokaralar jarayonidan foydalanish, masalan, noto'g'ri tartib raqamiga ega qo'shimcha SYN paketi oldindan yuborilsa, paketlarni parchalash bayroqlari bilan manipulyatsiyalar, FIN va SYN bilan paket yuborish bo'lsa, blokirovka ishlamaydi. bayroqlarni o'rnatish, noto'g'ri nazorat miqdori bilan RST paketini almashtirish yoki SYN va ACK bayroqlari bilan paketga ulanish bo'yicha muzokaralar boshlanishidan oldin yuborish. Ta'riflangan usullar allaqachon asboblar to'plami uchun plagin shaklida amalga oshirilgan
Manba: opennet.ru