Как работает подмена SNI для обхода блокировки контента?

Подмена SNI (Server Name Indication) для обхода блокировки контента работает путём модификации поля SNI в протоколе TLS. pkg.go.dev

SNI отправляется в незашифрованном виде в процессе рукопожатия TLS, до того, как будет установлено зашифрованное соединение. censorship.fandom.com Это позволяет серверу понять, к какому домену направлен запрос, если сервер обслуживает несколько доменов (например, на одном IP-адресе). censorship.fandom.com

Так как SNI передаётся в незашифрованном виде, системы DPI могут его прочитать и сопоставить с чёрным списком заблокированных доменов. censorship.fandom.com

Для обхода этой блокировки клиент специально разделяет запрос на несколько маленьких пакетов данных. censorship.fandom.com SNI-заголовок, который обычно содержится в первом или одном из первых пакетов соединения, разбивается на несколько частей. censorship.fandom.com DPI может не успеть собрать все фрагменты пакетов для анализа перед отправкой трафика на сервер. censorship.fandom.com

Использование подобных методов обхода блокировок может быть незаконным и привести к юридическим последствиям.