История изменений
Исправление Manhunt, (текущая версия) :
ECH сделан так, что у него два имени хоста – не шифрованный фейк и настоящий шифрованный. Подозреваю, что не вскрывая трафик нельзя даже определить наличие ECH как такового.
Спеку я не читал, а на поверхности пишут так: "Encrypted Client Hello is an extension for TLS1.3. Clients that implement support add a new TLS extension to their Client Hello." (https://wiki.mozilla.org/Security/Encrypted_Client_Hello) . То есть в client helo прямо указано, что в броузере активирован ECH. Регулятор легко мог бы встать в позу, что если хотите, чтобы интернет у вас работал - выберите/настройте себе броузер без ECH.
Да, нормальный детект всего этого безобразия требует сильно больше ресурсов, чем работа с трафиком, который никак не пытается обойти DPI. А «топорный» вариант с большой вероятностью положит много легитимного трафика.
Ну я думал о детекте по условно первому ip-пакету tls-хендшейка, без существенного утяжеления в сравнении с нынешним DPI. Если инфы для принятия решения в пакете не хватает, то и дропать пакет этот. Неужели прямо так много легитимного трафика срежется? Даже если резать только для неугодных destination ip (для них же заранее известно, что в tcp-сессии будет именно tls)?
Исправление Manhunt, :
ECH сделан так, что у него два имени хоста – не шифрованный фейк и настоящий шифрованный. Подозреваю, что не вскрывая трафик нельзя даже определить наличие ECH как такового.
Спеку я не читал, а на поверхности пишут так: "Encrypted Client Hello is an extension for TLS1.3. Clients that implement support add a new TLS extension to their Client Hello." (https://wiki.mozilla.org/Security/Encrypted_Client_Hello) . То есть в client helo прямо указано, что в броузере активирован ECH. Регулятор легко мог бы встать в позу, что если хотите, чтобы интернет у вас работал - выберите/настройте себе броузер без ECH.
Да, нормальный детект всего этого безобразия требует сильно больше ресурсов, чем работа с трафиком, который никак не пытается обойти DPI. А «топорный» вариант с большой вероятностью положит много легитимного трафика.
Ну я думал о детекте по условно первому ip-пакету tls-хендшейка, без существенного утяжеления в сравнении с нынешним DPI. Если инфы для принятия решения в пакете не хватает, то и дропать пакет этот. Неужели прямо так много легитимного трафика срежется? Даже если резать только для неугодных destination ip?
Исходная версия Manhunt, :
ECH сделан так, что у него два имени хоста – не шифрованный фейк и настоящий шифрованный. Подозреваю, что не вскрывая трафик нельзя даже определить наличие ECH как такового.
Спеку я не читал, а на поверхности пишут так: "Encrypted Client Hello is an extension for TLS1.3. Clients that implement support add a new TLS extension to their Client Hello." (https://wiki.mozilla.org/Security/Encrypted_Client_Hello) . То есть в client helo прямо указано, что в броузере активирован ECH. Регулятор легко мог бы встать в позу, что если хотите, чтобы интернет у вас работал - выберите/настройте себе броузер без ECH.
Да, нормальный детект всего этого безобразия требует сильно больше ресурсов, чем работа с трафиком, который никак не пытается обойти DPI. А «топорный» вариант с большой вероятностью положит много легитимного трафика.
Ну я думал о детекте по условно первому ip-пакету tls-хендшейка, без существенного утяжеления в сравнении с нынешним DPI. Если инфы для принятия решения не хватает, то и дропать пакет этот. Неужели прямо так много легитимного трафика срежется? Даже если резать только для неугодных destination ip?