Как стать автором
Обновить

«Великий китайский файрвол» начал блокировать весь HTTPS-трафик, который шифруется с помощью TLS 1.3 и ESNI

Время на прочтение2 мин
Количество просмотров45K


Эксперты обнаружили, что с конца июля 2020 года Китай обновил свою систему «Великий китайский файрвол» и начал блокировать весь HTTPS-трафик, который шифруется с помощью протокола TLS 1.3 и расширения к этому протоколу под названием ESNI (Encrypted Server Name Indication). Причина блокировки — невозможность отслеживать имена доменов, к которым пытается подключиться пользователь, используя новые сетевые технологии, а также фильтровать и контролировать этот трафик.

Сетевые специалисты организации iYouPort, университета Мэриленда и портала Great Firewall Report в своем совместном отчете рассказали, что новая блокировка в Китае работает уже более недели. Процесс блокировки происходит на транзитных маршрутизаторах как для соединений, устанавливаемых из Китая во внешний мир, так и из внешнего мира в Китай. Помимо запрета просто путем отбрасывания пакетов, без инъекции RST, всего HTTPS-трафика, который шифруется с помощью TLS 1.3 и ESNI, также временно блокируются на небольшие промежутки времени, которые могут варьироваться от двух до трех минут, IP-адреса, участвующие в таких защищенных соединениях — исходный IP и целевой IP.

Примечательно, что остальной HTTPS-трафик, который шифруется с помощью TLS 1.1, TLS 1.2 и SNI (Server Name Indication), в настоящее время не блокируется централизованной системой фильтрации страны. Так как в этом случае система может анализировать, к какому домену пытается подключиться пользователь. Это осуществляется через просмотр поля SNI на ранних этапах HTTPS-соединения. Если же соединение устанавливается с помощью TLS 1.3, то поле SNI можно скрыть посредством ESNI.

Согласно выводам экспертов, доля HTTPS-трафик, который шифруется с помощью TLS 1.3 в мире в последнее время стала увеличиваться. Таким образом, в Китае серьезно оценили эту ситуацию и уже начали действовать на опережение.



Сетевые специалисты iYouPort, университет Мэриленда и Great Firewall Report заявили, что на текущий момент смогли найти несколько способов обхода этой блокировки — шесть на стороне клиента (тройной SYN, десинхронизация TCB, четырехбайтовая сегментация, разборка TCB, переворот TCB, FIN+SYN). Часть из этих методов обхода можно также использовать на стороне сервера. По большей части эти способы используют генетические алгоритмы Geneva (Genetic Evasion) с открытым исходным кодом, репозиторий алгоритма есть на GitHub. «К сожалению, эти способы не могут быть долгосрочным решением, так как по мере развития игры в кошки-мышки специалисты «Великого китайского файрвола», вероятно, продолжат улучшать возможности системы и придется искать новые обходные пути», — пояснили эксперты.

См. также:
Теги:
Хабы:
Всего голосов 40: ↑38 и ↓2+51
Комментарии222

Другие новости

Истории

Работа

Ближайшие события

7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань