Skip to Main Content
vitus_wagner (
vitus_wagner
) wrote
in
beldmit
2019-02-20 11:56 am (UTC)
no subject
Далее, у тебя предполагается что A/AAAA записи на фейковое имя нет.
Value specified in the Fake SNI RR MUST NOT match any hostname
available for the IP address it is valid for.
Это в общем-то цензор может проверить. Дорого, конечно, на каждый ClientHello делать DNS-запрос, но в принцие возможно,
А потом пропускать только такие SNI, которые соответствуют существующей A-записи на тот IP, куда посылается этот пакет.
Причем выполнять эту проверку можно только для тех IP, которые у нас есть в блокировочной базе.
(
15 comments
)
Post a comment in response:
From:
Anonymous
This account has disabled anonymous posting.
OpenID
Identity URL:
Log in?
Dreamwidth account
Account name
Password
Log in?
If you don't have an account you can
create one now
.
Subject
HTML doesn't work in the subject.
Formatting type
Casual HTML
Markdown
Raw HTML
Rich Text Editor
Message
Log in
Account name:
Password:
Remember me
Other options:
Forget your password?
Log in with OpenID?
Close
menu
Log in
Create
Create Account
Display Preferences
Explore
Interests
Directory Search
Site and Journal Search
Latest Things
Random Journal
Random Community
FAQ
Shop
Buy Dreamwidth Services
Gift a Random User
DW Merchandise
Interest
Region
Site and Account
FAQ
Email
no subject
Value specified in the Fake SNI RR MUST NOT match any hostname
available for the IP address it is valid for.
Это в общем-то цензор может проверить. Дорого, конечно, на каждый ClientHello делать DNS-запрос, но в принцие возможно,
А потом пропускать только такие SNI, которые соответствуют существующей A-записи на тот IP, куда посылается этот пакет.
Причем выполнять эту проверку можно только для тех IP, которые у нас есть в блокировочной базе.