я уже говорил что вообще говоря нет. я об этом даже писал:
но дыма без огня не бывает. так что же может ломать ТСПУ на лету? как не странно это новый и супер защищённый протокол QUIC. взглянем на него по внимательней. вроде бы в него встроен TLS 1.3 и с безопасностью у него должно быть всё хорошо, но все же дырочка есть.
нас интересует самый первый этап соединения. клиент генерирует Destination Connection Id, по некоторому алгоритму генерирует из DCID ключ и отправляет первый пакет серверу в котором виден только DCID все остальное шифруется колючем который генерируется на основе DCID. т.е. алгоритм детерминистический - ключ можно получить на основе открытой информации.
сервер это в общем то и делает. извлекает из DCID ключ и расшифровывает зашифрованную часть.
в зашифрованной части находится SNI - это важная информация для блокировки пример SNI "googlevideo.com"
т.е. ТСПУ ничего не мешает выполнить алгоритм сервера расшифровать закрытую часть начального соединения QUIC. операция это ресурсоёмкая. но можно поступить так: запомнить адреса и порты источника и получателя. в случае когда SNI будет выделен и совпадёт с заблокированным, мы блокируем адрес/порт сервера и соответствующие ему пару порт/адрес клиента. нет смысла блокировать навсегда - пока тайм-аут соединения не выйдет.
похожий алгоритм сейчас используется ТСПУ для сборки TCP фрагментов.
так что что вот: кровавая гэбня следит за вами. как это этого защитится - как не странно способ довольно простой и давно известный ECH. это расширение к протоколу TLS 1.3 надежно скрывает SNI про ECH есть отдельная публикация:
впрочем особенность систем когда SNI блокируется по мере расшифровки или сборки фрагментов это уязвимость этой системы.
- китайский вариант: запоминание портов источника/получателя. по мере расшифрофки порты блокируются на время тайм аута соединения.
- ТСПУ: скоре всего QUIC заблокирован аналогичным образом при помощи пвакетного филтра. осуществляется сборка TCP фрагментов. агоритм такой: фрагменты складываются в буфер и пакет сравнительно быстро отпускается, но как только приходит последний фрагмент и при сборки получился фильтруемый SNI отбрасывается последний пришедший фрагмент, чем рушится вся цепочка фрагментов.
системы архитектурно идентичны. ТСПУ выглядит поновей, но такая архитектура — это потенциальная уязвимость самой системы фильтрации. ничто не мешает закидать систему поддельными пакетами, специально сформированными пакетами увеличивающими расход ресурсов CPU и памяти. т.е. подобные системы по многим причинам бед айдия и они обречены на провал.
и вроде бы "ура!" - мы победили. но... технологии вроде QUIC/ECH дают лишь возможность свободы. задача человека и общества – наполнить эту возможность смыслом и ответственностью. это и есть главный "фильтр" будущего – не внешний, а внутренний, выращенный через образование, рефлексию и практику осознанного потребления информации. боюсь что иного пути у человечества нет. сейчас же человечество в большинстве своём к ответственному потреблению огромного массива информации не готово.