... {toc}
Как фильтруется HTTPS? Вообще, способов фильтрации используется несколько и одновременно. У провайдера есть возможность включать/отключать способы так, как он считает нужным, рекомендации указаны при установке.
Список подходов:
* DNS фильтрация
* SNI фильтрация
* IP фильтрация
* Проксирование HTTPS-трафика
Фильтруются следующие порты: 443 в любом случае + все нестандартные порты у https-ссылок, имеющиеся в реестре.
h2. DNS
[http://docs.carbonsoft.ru/display/REDUCTOR9/DNS]
|
...
Схема при срабатывании:
{code}
1. Абонент ---TCP SYN--> Сервер
2. Абонент <--TCP SYN/ACK -- Сервер
3. Абонент ---TCP ACK--> Сервер
4. Абонент ---TCP: PSH/ACK SSL: Client Hello --> Сервер
5. Абонент <--TCP RST--- Редуктор
..
x. Сервер ---TCP PSH/ACK SSL: Server Hello --> Абонент
{code}
Но абоненту будет уже не важно.
h3. {color:#000000}{*}IP-фильтрация{*}{color}
В едином реестре запрещенных сайтов содержится большое количество сетевых адресов, которые необходимо заблокировать по всем протоколам и портам без расшифровки трафика. Данный способ является самым простым, чтобы полностью ограничить доступ к ресурсу. Но у него есть один «большой» недостаток. Множество сайтов может использовать один и тот же IP-адрес, следовательно доступ будет закрыт ко всем ресурсам, не только запрещенным. При обнаружении запроса на IP-адрес запрещённого ресурса, абоненту и сайту отправляется TCP-RST пакет.
h3. Фильтрация ресурсов, которые иначе не заблокировать
например:
{code}
https://1.2.3.4/bad/things
{code}
При совпадении IP адресов, попавших в реестр в таком виде, пользователю посылается TCP-RST.
h3. Проксирование трафика
Решение для редиректа и фильтрации с точностью до URL ресурсов, использующих технологию HSTS находится в экспериментальном состоянии.
Большая часть популярных решений не обеспечивают должной производительности при потоке трафика больше 1гбит/c, а способы отправки трафика (BGP/OSPF) требуют знания всех IP-адресов, в которые может отрезолвиться заблокированный ресурс на всех теоретически доступных DNS-серверах машин, проводящих проверку, что маловероятно является возможным.
Пилотные проекты показывают переменный успех, необходимо больше тестирования на большой и реальной нагрузке.
|
