China gbogbo awọn asopọ HTTPS ti o lo ilana TLS 1.3 ati ESNI (Itọkasi Orukọ olupin ti paroko) itẹsiwaju TLS, eyiti o pese fifi ẹnọ kọ nkan data nipa agbalejo ti o beere. Idilọwọ ni a ṣe lori awọn onimọ-ọna gbigbe mejeeji fun awọn asopọ ti iṣeto lati Ilu China si agbaye ita, ati lati ita ita si China.
Idinamọ jẹ ṣiṣe nipasẹ sisọ awọn apo-iwe silẹ lati ọdọ alabara si olupin, dipo iyipada apo-iwe RST ti a ṣe tẹlẹ nipasẹ didi akoonu SNI yiyan. Lẹhin ti idinamọ apo-iwe kan pẹlu ESNI ti nfa, gbogbo awọn apo-iwe nẹtiwọọki ti o baamu si apapọ orisun IP, IP ibi-afẹde ati nọmba ibudo opin irin ajo tun dina fun 120 si 180 awọn aaya. Awọn asopọ HTTPS ti o da lori awọn ẹya agbalagba ti TLS ati TLS 1.3 laisi ESNI ni a gba laaye nipasẹ bi igbagbogbo.
Jẹ ki a ranti pe lati le ṣeto iṣẹ lori adiresi IP kan ti awọn aaye HTTPS pupọ, itẹsiwaju SNI ti ni idagbasoke, eyiti o ṣe agbejade orukọ agbalejo ni ọrọ ti o han gbangba ninu ifiranṣẹ ClientHello ti a gbejade ṣaaju fifi sori ikanni ibaraẹnisọrọ ti paroko kan. Ẹya yii jẹ ki o ṣee ṣe ni ẹgbẹ olupese Intanẹẹti lati yan àlẹmọ ijabọ HTTPS ati itupalẹ iru awọn aaye ti olumulo ṣii, eyiti ko gba laaye iyọrisi aṣiri pipe nigba lilo HTTPS.
Ifaagun TLS tuntun ECH (eyiti o jẹ ESNI tẹlẹ), eyiti o le ṣee lo ni apapo pẹlu TLS 1.3, yọkuro aito kukuru yii ati imukuro jijo alaye nipa aaye ti o beere nigbati o ṣe itupalẹ awọn asopọ HTTPS. Ni apapo pẹlu wiwọle nipasẹ nẹtiwọọki ifijiṣẹ akoonu, lilo ECH/ESNI tun jẹ ki o ṣee ṣe lati tọju adiresi IP ti orisun ti o beere lati ọdọ olupese. Awọn ọna ṣiṣe ayewo opopona yoo rii awọn ibeere nikan si CDN ati pe kii yoo ni anfani lati lo idinamọ laisi fifọ igba igba TLS, ninu ọran eyiti ifitonileti ti o baamu nipa jijẹ ijẹrisi yoo han ni ẹrọ aṣawakiri olumulo. DNS jẹ ikanni jo ṣee ṣe, ṣugbọn alabara le lo DNS-over-HTTPS tabi DNS-over-TLS lati tọju iwọle DNS nipasẹ alabara.
Awọn oniwadi ti tẹlẹ Awọn ibi-itọju pupọ lo wa lati fori bulọọki Kannada lori alabara ati ẹgbẹ olupin, ṣugbọn wọn le di ko ṣe pataki ati pe o yẹ ki o gbero bi iwọn igba diẹ. Fun apẹẹrẹ, awọn apo-iwe lọwọlọwọ nikan pẹlu ID itẹsiwaju ESNI 0xffce (encrypted_server_name), eyiti a lo ninu , ṣugbọn fun awọn apo-iwe bayi pẹlu idanimọ lọwọlọwọ 0xff02 (encrypted_client_hello), ti a dabaa ni .
Iṣeduro miiran ni lati lo ilana idunadura asopọ asopọ ti kii ṣe deede, fun apẹẹrẹ, idinamọ ko ṣiṣẹ ti apo SYN afikun pẹlu nọmba ọkọọkan ti ko tọ ti firanṣẹ siwaju, awọn ifọwọyi pẹlu awọn asia fragmentation packet, fifiranṣẹ soso kan pẹlu mejeeji FIN ati SYN ṣeto awọn asia, fidipo apo RST kan pẹlu iye iṣakoso ti ko tọ tabi fifiranṣẹ ṣaaju idunadura asopọ soso pẹlu SYN ati awọn asia ACK bẹrẹ. Awọn ọna ti a ṣalaye tẹlẹ ti ni imuse ni irisi ohun itanna fun ohun elo irinṣẹ , lati fori awọn ọna ihamon.
orisun: opennet.ru