«Великий китайский файрвол» начал блокировать весь HTTPS-трафик, который шифруется с помощью TLS 1.3 и ESNI09.08.2020 09:17

gdu_wduvrrmxw3tkctouq5d9kp0.jpeg

Эксперты обнаружили, что с конца июля 2020 года Китай обновил свою систему «Великий китайский файрвол» и начал блокировать весь HTTPS-трафик, который шифруется с помощью протокола TLS 1.3 и расширения к этому протоколу под названием ESNI (Encrypted Server Name Indication). Причина блокировки — невозможность отслеживать имена доменов, к которым пытается подключиться пользователь, используя новые сетевые технологии, а также фильтровать и контролировать этот трафик.
Сетевые специалисты организации iYouPort, университета Мэриленда и портала Great Firewall Report в своем совместном отчете рассказали, что новая блокировка в Китае работает уже более недели. Помимо запрета (просто путем отбрасывания пакетов, без инъекции RST) всего HTTPS-трафика, который шифруется с помощью TLS 1.3 и ESNI, также временно банятся на небольшие промежутки времени, которые могут варьироваться от двух до трех минут, все IP-адреса, участвующие в таких защищенных соединениях.

Примечательно, что остальной HTTPS-трафик, который шифруется с помощью TLS 1.1, TLS 1.2 и SNI (Server Name Indication), в настоящее время не блокируется централизованной системой фильтрации страны.

Согласно выводам экспертов, доля HTTPS-трафик, который шифруется с помощью TLS 1.3 в мире в последнее время стала увеличиваться. Таким образом, в Китае серьезно оценили эту ситуацию и уже начали действовать на опережение.

jx1ewa0bevgk6lgkhm67auapwkc.png

Сетевые специалисты iYouPort, университет Мэриленда и Great Firewall Report заявили, что на текущий момент смогли найти несколько способов обхода этой блокировки — шесть на стороне клиента (тройной SYN, десинхронизация TCB, четырехбайтовая сегментация, разборка TCB, переворот TCB, FIN+SYN). Часть из этих методов обхода можно также использовать на стороне сервера. По большей части эти способы используют генетические алгоритмы Geneva (Genetic Evasion) с открытым исходным кодом, репозиторий алгоритма есть на GitHub. «К сожалению, эти способы не могут быть долгосрочным решением, так как по мере развития игры в кошки-мышки специалисты «Великого китайского файрвола», вероятно, продолжат улучшать возможности системы и придется искать новые обходные пути», — пояснили эксперты.

См. также:

© Habrahabr.ru