[Информационная безопасность, IT-инфраструктура, Законодательство в IT] «Великий китайский файрвол» начал блокировать весь HTTPS-трафик, который шифруется с помощью TLS 1.3 и ESNI
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Эксперты обнаружили, что с конца июля 2020 года Китай обновил свою систему «Великий китайский файрвол» и начал блокировать весь HTTPS-трафик, который шифруется с помощью протокола TLS 1.3 и расширения к этому протоколу под названием ESNI (Encrypted Server Name Indication). Причина блокировки — невозможность отслеживать имена доменов, к которым пытается подключиться пользователь, используя новые сетевые технологии, а также фильтровать и контролировать этот трафик.
Сетевые специалисты организации iYouPort, университета Мэриленда и портала Great Firewall Report в своем совместном отчете рассказали, что новая блокировка в Китае работает уже более недели. Помимо запрета (просто путем отбрасывания пакетов, без инъекции RST) всего HTTPS-трафика, который шифруется с помощью TLS 1.3 и ESNI, также временно банятся на небольшие промежутки времени, которые могут варьироваться от двух до трех минут, все IP-адреса, участвующие в таких защищенных соединениях.
Примечательно, что остальной HTTPS-трафик, который шифруется с помощью TLS 1.1, TLS 1.2 и SNI (Server Name Indication), в настоящее время не блокируется централизованной системой фильтрации страны.
Согласно выводам экспертов, доля HTTPS-трафик, который шифруется с помощью TLS 1.3 в мире в последнее время стала увеличиваться. Таким образом, в Китае серьезно оценили эту ситуацию и уже начали действовать на опережение.
Сетевые специалисты iYouPort, университет Мэриленда и Great Firewall Report заявили, что на текущий момент смогли найти несколько способов обхода этой блокировки — шесть на стороне клиента (тройной SYN, десинхронизация TCB, четырехбайтовая сегментация, разборка TCB, переворот TCB, FIN+SYN). Часть из этих методов обхода можно также использовать на стороне сервера. По большей части эти способы используют генетические алгоритмы Geneva (Genetic Evasion) с открытым исходным кодом, репозиторий алгоритма есть на GitHub. «К сожалению, эти способы не могут быть долгосрочным решением, так как по мере развития игры в кошки-мышки специалисты «Великого китайского файрвола», вероятно, продолжат улучшать возможности системы и придется искать новые обходные пути», — пояснили эксперты.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Сетевые технологии] Свободу байтам
- Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI
- [Информационная безопасность, Open source, Администрирование баз данных, Открытые данные] Трой Хант открывает исходный код проекта Have I Been Pwned
- [Информационная безопасность, Карьера в IT-индустрии] Изучаем угрозы и рассказываем про атаки: чем занимаются аналитики ИБ в Positive Technologies
- [Информационная безопасность, Хранение данных] 5 стадий неизбежности принятия ISO/IEC 27001 сертификации. Депрессия
- [Законодательство в IT, Транспорт] В Германии запретили сенсорное управление дворниками Tesla после того, как водитель попал в аварию
- [Информационная безопасность, Алгоритмы, Обработка изображений, Искусственный интеллект] В McAfee преобразовали фото так, что система распознавания лиц приняла одного человека за другого
- [Информационная безопасность, Процессоры, IT-компании] У Intel утекли 20 ГБ исходных кодов и внутренней документации
- [Поисковые технологии, Контекстная реклама, Законодательство в IT, Финансы в IT] Онлайн-сервисы пожаловались в ФАС на монополию Яндекса
- [Информационная безопасность, Сетевые технологии, Сетевое оборудование] 1.5 схемы на отечественном IPsec VPN. Тестирую демоверсии
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_itinfrastruktura (IT-инфраструктура), #_zakonodatelstvo_v_it (Законодательство в IT), #_https, #_blokirovka (блокировка), #_tls_1.3, #_esni, #_gfw, #_kitaj (Китай), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_itinfrastruktura (
IT-инфраструктура
), #_zakonodatelstvo_v_it (
Законодательство в IT
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 29-Апр 22:18
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
 Эксперты обнаружили, что с конца июля 2020 года Китай обновил свою систему «Великий китайский файрвол» и начал блокировать весь HTTPS-трафик, который шифруется с помощью протокола TLS 1.3 и расширения к этому протоколу под названием ESNI (Encrypted Server Name Indication). Причина блокировки — невозможность отслеживать имена доменов, к которым пытается подключиться пользователь, используя новые сетевые технологии, а также фильтровать и контролировать этот трафик. Сетевые специалисты организации iYouPort, университета Мэриленда и портала Great Firewall Report в своем совместном отчете рассказали, что новая блокировка в Китае работает уже более недели. Помимо запрета (просто путем отбрасывания пакетов, без инъекции RST) всего HTTPS-трафика, который шифруется с помощью TLS 1.3 и ESNI, также временно банятся на небольшие промежутки времени, которые могут варьироваться от двух до трех минут, все IP-адреса, участвующие в таких защищенных соединениях. Примечательно, что остальной HTTPS-трафик, который шифруется с помощью TLS 1.1, TLS 1.2 и SNI (Server Name Indication), в настоящее время не блокируется централизованной системой фильтрации страны. Согласно выводам экспертов, доля HTTPS-трафик, который шифруется с помощью TLS 1.3 в мире в последнее время стала увеличиваться. Таким образом, в Китае серьезно оценили эту ситуацию и уже начали действовать на опережение.  Сетевые специалисты iYouPort, университет Мэриленда и Great Firewall Report заявили, что на текущий момент смогли найти несколько способов обхода этой блокировки — шесть на стороне клиента (тройной SYN, десинхронизация TCB, четырехбайтовая сегментация, разборка TCB, переворот TCB, FIN+SYN). Часть из этих методов обхода можно также использовать на стороне сервера. По большей части эти способы используют генетические алгоритмы Geneva (Genetic Evasion) с открытым исходным кодом, репозиторий алгоритма есть на GitHub. «К сожалению, эти способы не могут быть долгосрочным решением, так как по мере развития игры в кошки-мышки специалисты «Великого китайского файрвола», вероятно, продолжат улучшать возможности системы и придется искать новые обходные пути», — пояснили эксперты. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_itinfrastruktura ( IT-инфраструктура ), #_zakonodatelstvo_v_it ( Законодательство в IT ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 29-Апр 22:18
Часовой пояс: UTC + 5