Эксперты обнаружили, что с конца июля 2020 года Китай обновил свою систему «Великий китайский файрвол» и начал блокировать весь HTTPS-трафик, который шифруется с помощью протокола TLS 1.3 и расширения к этому протоколу под названием ESNI (Encrypted Server Name Indication). Причина блокировки — невозможность отслеживать имена доменов, к которым пытается подключиться пользователь, используя новые сетевые технологии, а также фильтровать и контролировать этот трафик.
Сетевые специалисты организации iYouPort, университета Мэриленда и портала Great Firewall Report в своем совместном отчете рассказали, что новая блокировка в Китае работает уже более недели. Процесс блокировки происходит на транзитных маршрутизаторах как для соединений, устанавливаемых из Китая во внешний мир, так и из внешнего мира в Китай. Помимо запрета просто путем отбрасывания пакетов, без инъекции RST, всего HTTPS-трафика, который шифруется с помощью TLS 1.3 и ESNI, также временно блокируются на небольшие промежутки времени, которые могут варьироваться от двух до трех минут, IP-адреса, участвующие в таких защищенных соединениях — исходный IP и целевой IP.
Примечательно, что остальной HTTPS-трафик, который шифруется с помощью TLS 1.1, TLS 1.2 и SNI (Server Name Indication), в настоящее время не блокируется централизованной системой фильтрации страны. Так как в этом случае система может анализировать, к какому домену пытается подключиться пользователь. Это осуществляется через просмотр поля SNI на ранних этапах HTTPS-соединения. Если же соединение устанавливается с помощью TLS 1.3, то поле SNI можно скрыть посредством ESNI.
Согласно выводам экспертов, доля HTTPS-трафик, который шифруется с помощью TLS 1.3 в мире в последнее время стала увеличиваться. Таким образом, в Китае серьезно оценили эту ситуацию и уже начали действовать на опережение.
Сетевые специалисты iYouPort, университет Мэриленда и Great Firewall Report заявили, что на текущий момент смогли найти несколько способов обхода этой блокировки — шесть на стороне клиента (тройной SYN, десинхронизация TCB, четырехбайтовая сегментация, разборка TCB, переворот TCB, FIN+SYN). Часть из этих методов обхода можно также использовать на стороне сервера. По большей части эти способы используют генетические алгоритмы Geneva (Genetic Evasion) с открытым исходным кодом, репозиторий алгоритма есть на GitHub. «К сожалению, эти способы не могут быть долгосрочным решением, так как по мере развития игры в кошки-мышки специалисты «Великого китайского файрвола», вероятно, продолжат улучшать возможности системы и придется искать новые обходные пути», — пояснили эксперты.
См. также: