政府宣布明年将启动基于 SNI 的过滤。而且我还听说俄罗斯政府和 ISP 已经实施了它。
虽然 Cloudflare 和 Firefox 正在测试 Encrypted SNI,但我认为大多数非 Cloudflare 托管的网站应用 ESNI 需要时间。在那之前,我和我国家的所有其他人都必须使用 VPN 或其他东西。
所以我决定做一个程序,可以任意分片 SNI 字段,这样 ISP 就无法窃听(使用 IP 分片)。我以为它已经被某人实现了,但我发现它没有任何关系。不可行吗?还是没有人成功?
是否可以使用 IP 分片绕过基于 SNI 的审查?
信息安全
tls
2021-08-23 20:46:12
1个回答
IP 碎片不太可能逃避基于 SNI 的审查。原因是 SNI 是 TLS 的一部分,而不是原始 IP。这意味着进行深度数据包检测 (DPI) 的设备很可能会在分析之前有状态地重新组装分段的 IP 数据包。通过分割 IP 地址来规避防火墙限制的日子已经一去不复返了。
唯一真正的解决方案是使用加密或混淆代理或VPN,代理服务器在 SNI 过滤器范围之外运行,例如在另一个国家/地区。延迟会受到轻微影响,尤其是在连接到韩国网站时,但这是必要的。
其它你可能感兴趣的问题