-
Notifications
You must be signed in to change notification settings - Fork 141
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
SNI based DPI detection #81
Comments
Увы, только малая часть DPI у провайдеров пропускает TLS-соединения к заблокированным IP-адресам без SNI. Есть еще другой способ, менее эффективный, но кое-где срабатывает — случайное изменение регистра домена в SNI. |
@LukyanovM, см. #84 |
Прогнал на Tele2 на даче. Результат обнадёживает:
Технологически для линукса это тяжело реализовать? Я хочу болвану pr попробовать сделать, у него уже там фундаментальный труд по DPI. |
Изменение TLS-пакета требует его перешфировки (терминацию SSL). Вряд ли bol-val это будет делать. |
Блокировка HTTPS трафика у многих провайдеров происходит по полю SNI extension:servername . Есть исследование https://hal.inria.fr/hal-01202712/document где показано что при определённых условиях HTTPS сервер отдаст контент клиенту без указания последним servername(это не будет работать для CDN где использется virtualhosts). Можно ли в секцию обхода HTTPS добавить такую проверку? Сейчас в консоли проверяю так:
Без указания servername всё работает.
Принудительно указав servername получаем пустоту.
The text was updated successfully, but these errors were encountered: