Youtube. Сразу TCP Retransmission. Потом RST. Неужели активный DPI по SNI?

[JudithSummers31]

Сразу TCP Retransmission, потом TCP RST
Неужели активный DPI?

----
# Packet 2 from C:\Downloads\blocked.pcapng
- 110
- 4.627809
- 192.168.1.42
- 64.233.164.198
- TCP
- 66
- 52771 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM

----
# Packet 3 from C:\Downloads\blocked.pcapng
- 114
- 4.639228
- 192.168.1.42
- 64.233.164.198
- TCP
- 54
- 52771 → 443 [ACK] Seq=1 Ack=1 Win=262400 Len=0

----
# Packet 4 from C:\Downloads\blocked.pcapng
- 115
- 4.639585
- 192.168.1.42
- 64.233.164.198
- TLSv1.2
- 1779
- Client Hello (SNI=www.youtube.com)

----
# Packet 5 from C:\Downloads\blocked.pcapng
- 116
- 4.672695
- 192.168.1.42
- 64.233.164.198
- TCP
- 1466
- [TCP Retransmission] 52771 → 443 [PSH, ACK] Seq=314 Ack=1 Win=262400 Len=1412

----
# Packet 6 from C:\Downloads\blocked.pcapng
- 119
- 4.976932
- 192.168.1.42
- 64.233.164.198
- TCP
- 1466
- [TCP Retransmission] 52771 → 443 [ACK] Seq=1 Ack=1 Win=262400 Len=1412

----
# Packet 7 from C:\Downloads\blocked.pcapng
- 135
- 5.585054
- 192.168.1.42
- 64.233.164.198
- TCP
- 1466
- [TCP Retransmission] 52771 → 443 [ACK] Seq=1 Ack=1 Win=262400 Len=1412

----
# Packet 8 from C:\Downloads\blocked.pcapng
- 141
- 5.918623
- 192.168.1.42
- 64.233.164.198
- TCP
- 1466
- [TCP Retransmission] 52769 → 443 [ACK] Seq=1 Ack=1 Win=1025 Len=1412

----
# Packet 9 from C:\Downloads\blocked.pcapng
- 154
- 6.795194
- 192.168.1.42
- 64.233.164.198
- TCP
- 1466
- [TCP Retransmission] 52771 → 443 [ACK] Seq=1 Ack=1 Win=262400 Len=1412

----
# Packet 10 from C:\Downloads\blocked.pcapng
- 183
- 9.196940
- 192.168.1.42
- 64.233.164.198
- TCP
- 1466
- [TCP Retransmission] 52771 → 443 [ACK] Seq=1 Ack=1 Win=262400 Len=1412

----
# Packet 11 from C:\Downloads\blocked.pcapng
- 187
- 9.604819
- 192.168.1.42
- 64.233.164.198
- TCP
- 54
- 52763 → 443 [RST, ACK] Seq=1413 Ack=1 Win=0 Len=0

----
# Packet 12 from C:\Downloads\blocked.pcapng
- 221
- 9.965635
- 192.168.1.42
- 64.233.164.198
- TCP
- 66
- 52772 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM

----
# Packet 13 from C:\Downloads\blocked.pcapng
- 223
- 9.971078
- 192.168.1.42
- 64.233.164.198
- TCP
- 54
- 52772 → 443 [ACK] Seq=1 Ack=1 Win=262400 Len=0

----
# Packet 14 from C:\Downloads\blocked.pcapng
- 224
- 9.971478
- 192.168.1.42
- 64.233.164.198
- TLSv1.2
- 1811
- Client Hello (SNI=www.youtube.com)

----
# Packet 15 from C:\Downloads\blocked.pcapng
- 228
- 10.273552
- 192.168.1.42
- 64.233.164.198
- TCP
- 1466
- [TCP Retransmission] 52772 → 443 [ACK] Seq=1 Ack=1 Win=262400 Len=1412

----
# Packet 16 from C:\Downloads\blocked.pcapng
- 231
- 10.875556
- 192.168.1.42
- 64.233.164.198
- TCP
- 1466
- [TCP Retransmission] 52772 → 443 [ACK] Seq=1 Ack=1 Win=262400 Len=1412

----
# Packet 17 from C:\Downloads\blocked.pcapng
- 248
- 12.081353
- 192.168.1.42
- 64.233.164.198
- TCP
- 1466
- [TCP Retransmission] 52772 → 443 [ACK] Seq=1 Ack=1 Win=262400 Len=1412

----
# Packet 18 from C:\Downloads\blocked.pcapng
- 261
- 14.004895
- 192.168.1.42
- 64.233.164.198
- TCP
- 1466
- [TCP Retransmission] 52771 → 443 [ACK] Seq=1 Ack=1 Win=262400 Len=1412

----
# Packet 19 from C:\Downloads\blocked.pcapng
- 265
- 14.488169
- 192.168.1.42
- 64.233.164.198
- TCP
- 1466
- [TCP Retransmission] 52772 → 443 [ACK] Seq=1 Ack=1 Win=262400 Len=1412

----
# Packet 20 from C:\Downloads\blocked.pcapng
- 278
- 15.521503
- 192.168.1.42
- 64.233.164.198
- TCP
- 54
- 52769 → 443 [RST, ACK] Seq=1413 Ack=1 Win=0 Len=0

[JudithSummers31]

В пакете #4 используется поле SNI=www.youtube.com, которое клиент передает в незашифрованном виде в рамках TLS Handshake. DPI может прочитать это поле и активно заблокировать. Верно? Как лечить?

[JudithSummers31]

Как зашифровать SNI? Хочу роутером. В браузерах Secure DNS не хочу включать.

[bol-van]

В приведенном примере идет стандартное зависание соединения при отключении хождения пакетов по связке src_ip:src_port <-> dest_ip:dest_port
Да, это активный DPI. Сейчас пассивных у нас и не осталось практически.

SNI шифруется через ECH. Для этого его должен поддерживать и сервер, и клиент.
Как правило клиенты не включают ECH, если нет secure DNS.
На win11 fox может учитывать системные настройки secure DNS. Хрому кажется по барабану это вообще. Есть секуре днс или нет. В новых версиях.
В linux фоксу тоже наплевать на секуре DNS. На собственные настройки, а узнать какие в системе не представляетсая возможным, тк нет стандартизированного API

Что-либо менять в TLS невозможно в звене "посередине". Как раз TLS от этого и защищает. Поэтому на рутере зашифровать SNI невозможно, иначе чем перешифровывая TLS, выполняя атаку man-in-the-middle с подменой сертификата