防火墙开始屏蔽 ESNI

WestKorea

https://www.solidot.org/story?sid=65185

防火墙被发现开始屏蔽 ESNI（加密服务器名称指示）。TLS1.3 引入了 ESNI（尚未成为正式规格），用加密的 SNI 阻止中间人查看客户端要访问的特定网站。因为不知道用户使用 ESNI 访问的网站，审查者要么不封锁任何 ESNI 连接，要么封锁所有的 ESNI 连接。防火墙选择了后者。测试发现，防火墙通过丢弃从客户端到服务器的数据包来阻止 ESNI 连接。此外，ESNI 封锁不仅会发生在 443 端口，也会发生在 1 到 65535 的所有端口。在阻断 ESNI 握手后，防火墙会继续阻断与（源IP，目标IP，目标端口) 3 元组相关的任何连接一段时间。

大帅锅

加速就完事了，看最后会不会直接物理切断国际出口

ccfiu

"

不是近期。长期以来(esin出现前)，https都只能避免内容被审查，但无法避免访问的域名被检测。比如说某些明确不能访问的网站，即使你用sinproxy或者iptables转发转到可以访问的ip，如果没有esin，也可以被检测并干扰。但是有esin+0rtt的话，就没法探知域名并干扰了。

backlitz

道高一尺魔高一丈

llmwxt

本帖最后由 chr 于 2020-8-8 17:44 编辑

这技术还没普及就屏蔽了，之前还盼着出来体验下

lanjuli

不明觉厉

chr

本来就不能指望直连

wifitry

大神再厉害，有超算厉害？？？

forever8938

总会有新技术出现的ESNI能用来绕beian不

mrw79

又是一刀切。